本書では、IBM HTTP Server の構成について説明していますが、
代わりにサポートされている別の Web サーバーを使用することも可能です。
始める前に
IBM HTTP Server は、Secure Sockets Layer (SSL) バージョン 2 および
バージョン 3、ならびに Transport Layer Security (TLS) バージョン 1 をサポートして
います。IBM HTTP Server は Apache Web サーバーをベースとしていますが、SSL 構成については
OpenSSL モジュールではなく IBM 提供の SSL モジュール
が必要です。
SSL はデフォルトで使用不可になっているため、SSL を使用可能に
するためには、IBM HTTP Server に提供されている
鍵管理ユーティリティー (iKeyman) を使用して構成ファイルを変更し、
サーバー・サイドの証明書を生成する必要があります。
プロシージャー
- 単一サーバーの場合は、IBM HTTP Server (例えばポート 443) 上で SSL を使用可能にします。
- 証明書をセットアップするには、以下のステップを完了します。 「スタート」>「プログラム」>
「IBM HTTP Server」>「Start Key Management Utility」を
クリックして鍵管理ユーティリティーを開始します。以下を参照してください。CA 署名付き個人証明書の要求、証明書署名要求 (CSR) の作成、CA 署名個人証明書の受信、およびトラストストア・ファイル用の公開証明書の抽出
- 鍵データベースを作成し、「Key Database File」>「新規」とクリックします。
- ファイル名 (例えば serverkey.kdb) およびロケーションのパスを入力します。
「OK」をクリックします。
- パスワードを入力し、「
Stash the password to a file」チェック・ボックスを選択し、「OK」をクリックします。
- IBM HTTP Server の個人証明書を取得します。
鍵管理ユーティリティー・メニューで「Personal Certificate」をクリックします。
「作成」>「New Certificate Request」とクリックします。
「Create New Key and Certificate Request」パネルが表示されます。以下の情報を完了します。
- 鍵ラベル
- Server_Cert
- 鍵サイズ
- 512 または 1024 ビットのいずれかの鍵サイズを選択します。
- 共通名
- droplet.austin.ibm.com
- 組織
- IBM
- 組織単位
- WebSphere
- 場所
- オースティン
- 状態
- テキサス
- 郵便番号
- 76758
- 国
- US
- ファイル名
- Server_certreq.arm
Verisign テスト CA ルート証明書は、署名者証明書のセットに含まれ、IBM HTTP Server の
IKeyMan ユーティリティーに同梱されています。
- http://www.verisign.com に移動し、「Free SSL Trial」をクリックします。
プロファイル情報を入力し、「Submit」をクリックしてから「Continue」を 2 回クリックします。
- 任意のテキスト・エディターを使用して要求ファイル Server_certreq.arm を編集し、
そのファイルの内容全体をブラウザー要求パネルにコピーします。
「継続」をクリックします。
VeriSign が、署名された個人証明書をユーザーの電子メールに送信します。
- この証明書をファイル (例えば Server_Cert.arm) にコピーして貼り付けます。
鍵管理ユーティリティーのメニューから、「
Personal Certificate」をクリックします。「Receive」をクリックします。
ファイル名を Server_Cert.arm と指定して「OK」をクリックします。正常に受信するため、
場合により、VeriSign テスト・ルート証明書を署名者証明書に追加する必要があります。serverkey.kdb ファイルを閉じます。
- IBM HTTP Server で HTTPS (例えば、ポート 443) をサポートできるようにするには、
IBM HTTP Server で SSL を使用可能にします。
IBM HTTP Server の構成ファイル IHS_HOME/conf/httpd.conf を変更します。
SSL は、IBM HTTP Server 管理コンソールを介しても使用可能にすることができます。IHS_HOME/conf/httpd.conf ファイル
を開き、次の行をファイルの下部に追加します。
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Listen 443
<VirtualHost droplet.austin.ibm.com:443>
ServerName droplet.austin.ibm.com
DocumentRoot <install_root>¥htdocs
SSLEnable
#SSLClientAuth required
</VirtualHost>
SSLDisable
Keyfile <IHS_HOME>/serverkey.kdb
注: 鍵ファイルのホスト名とパスは適宜変更してください。
httpd.conf ファイルにある SSLClientAuth ディレクティブを非コメント化
して、Web サーバーがクライアント証明書をサポートするように変更してください。
SSLClientAuth required
- IBM HTTP Server を再始動します。
- ブラウザーと IBM HTTP Server の間の SSL をテストします。 デフォルトの
IBM HTTP Server のポート番号の詳細については、WebSphere Application Server の各バージョンでのポート番号の設定を参照して下さい。
- SSLClientAuth ディレクティブが必要であると設定した場合は、
プロンプトに従って個人証明書を選択します。
- アプリケーション・サーバーで、
ポート 443 を使用して IBM HTTP Server と通信できるようにするには、
default_host にホスト・エイリアスを追加します。
管理コンソールで、
「環境」>「仮想ホスト」>「default_host」をクリックします。
「追加プロパティー」の下で、「ホスト・エイリアス」>「新規」とクリックします。 該当するフィールドに以下の情報を入力します。
- ホスト名
- *
- ポート
- 443
- 「適用」と「保管」をクリックします。
「保管」をクリックすると、情報が security.xml ファイル
に書き込まれ、Web サーバー・プラグインが自動的に更新されます。
- WebSphere Application Server を再始動します。
- 接続をテストします。
結果
Snoop サーブレットに接続できます。
例
IBM HTTP Server と WebSphere Application Server の間の Secure Sockets Layer 通信
を使用可能にします。