Liberty で SSL 通信を使用可能にするために、最小限の SSL 構成オプションのセットが用意されています。このセットでほとんどの SSL オプションの役割を担当し、一部の鍵ストア構成情報を必要とします。
このタスクについて
SSL クライアント認証が行われるのは、SSL 証明書を使用した接続ハンドシェーク中です。SSL ハンドシェークとは、接続固有の保護を求めてネゴシエーションするために、SSL プロトコルを介して交換される一連のメッセージです。ハンドシェーク中、セキュア・サーバーは、
認証用の証明書または証明書チェーンを返送するようにクライアントに要求します。Liberty で SSL を使用可能にするには、認証用の鍵ストア情報のコードと共に、ssl-1.0 Liberty フィーチャーを構成ルート文書ファイル server.xml に追加します。
デフォルトで、構成ルート文書ファイルのパスとファイル名は path_to_liberty/wlp/usr/servers/server_name/server.xml です。 path_to_liberty は、Liberty をインストールしたオペレーティング・システム上のロケーションで、server_name はサーバーの名前です。ただし、このパスは変更できます。『Liberty 環境のカスタマイズ』を参照してください。
- server.xml ファイルで ssl-1.0 Liberty フィーチャーを使用可能にします。
<featureManager>
<feature>ssl-1.0</feature>
</featureManager>
注: アプリケーション・セキュリティーが必要で、セキュリティー情報がセキュア・ポートにリダイレクトされる場合、
appSecurity-2.0 Liberty フィーチャーを
server.xml ファイルに追加する必要があります。
- 鍵ストア・サービス・オブジェクト・エントリーを server.xml ファイルに追加します。keyStore エレメントは defaultKeyStore と呼ばれ、鍵ストア・パスワードを含んでいます。パスワードは、平文で入力することも、エンコードすることもできます。securityUtility
encode オプションを使用して、パスワードをエンコードすることができます。
<keyStore id="defaultKeyStore" password="yourPassword" />
最小構成の SAF 鍵リングの例:
<keyStore id="defaultKeyStore" location="safkeyring:///WASKeyring"
type="JCERACFKS" password="password" fileBased="false"
readOnly="true" />
RACF® 鍵リングは、Liberty サーバーで使用するために構成する前に、セットアップする必要があります。サーバーでは、証明書の作成および RACF への追加は行いません。
最低限の SSL 構成用の単一の鍵ストア・エントリーを、ロケーションおよびタイプも含むように拡張することができます。
<keyStore id="defaultKeyStore" location="myKeyStore.p12" password="yourPassword" type="PKCS12"/>
この構成は、SSL 構成の作成に必要な最小限の構成です。この構成で、鍵ストアと証明書が存在しない場合、サーバーは SSL の初期化中にそれらを作成します。指定するパスワードの長さは 6 文字以上でなければなりません。鍵ストアは、key.jks という名前の JKS 鍵ストアで、サーバーの home/resources/security ディレクトリーに含まれていると想定されます。このファイルが存在しない場合、サーバーによって自動的に作成されます。サーバーによって鍵ストア・ファイルが作成されると、その中の証明書も作成されます。この証明書は自己署名証明書で、有効期間は 365 日です。証明書の subjectDN の CN 値は、サーバーが稼働しているマシンのホスト名で、SHA256withRSA の署名アルゴリズムを持っています。
注: Liberty サーバーによって作成される証明書は、実動での使用を目的としていません。それらは、開発者の便宜のために作成されます。実動で使用される証明書は、信頼される認証局によって発行または署名された、適切なチェーン証明書でなければなりません。期間がより長い、またはカスタマイズされた subjectDN を持つ自己署名証明書証明書を使用する場合は、securityUtility createSSLCertificate タスクを使用して作成することができます。
location パラメーターには、鍵ストア・ファイルへの絶対パスを指定できます。これが絶対パスである場合、鍵ストア・ファイルは既に作成されているものと見なされます。鍵ストア・ファイルが既に作成されているのであれば、最低限の SSL 構成で他のタイプの鍵ストアを指定することもできます。最低限の SSL 構成が使用されている場合、SSL ハンドシェークの SSL コンテキストを作成するために SSL 構成のデフォルト値が使用されます。構成プロトコルは、デフォルトでは SSL_TLS です。HIGH 暗号 (128 ビット以上の暗号スイート) を使用できます。