WebSphere Application Server, Version 6.0.x   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows

             目次と検索結果のパーソナライズ化

Secure Sockets Layer 相互認証のための IBM HTTP Server の構成

本書では、IBM HTTP Server の構成について説明していますが、 代わりにサポートされている別の Web サーバーを使用することも可能です。

始める前に

IBM HTTP Server は、Secure Sockets Layer (SSL) バージョン 2 および バージョン 3、ならびに Transport Layer Security (TLS) バージョン 1 をサポートして います。IBM HTTP Server は Apache Web サーバーをベースとしていますが、SSL 構成については OpenSSL モジュールではなく IBM 提供の SSL モジュール が必要です。

SSL はデフォルトで使用不可になっているため、SSL を使用可能に するためには、IBM HTTP Server に提供されている 鍵管理ユーティリティー (iKeyman) を使用して構成ファイルを変更し、 サーバー・サイドの証明書を生成する必要があります。

プロシージャー

  1. 単一サーバーの場合は、IBM HTTP Server (例えばポート 443) 上で SSL を使用可能にします。
  2. 証明書をセットアップするには、以下のステップを完了します。スタート」>「プログラム」> 「IBM HTTP Server」>「Start Key Management Utility」を クリックして鍵管理ユーティリティーを開始します。以下を参照してください。CA 署名付き個人証明書の要求証明書署名要求 (CSR) の作成CA 署名個人証明書の受信、およびトラストストア・ファイル用の公開証明書の抽出
  3. 鍵データベースを作成し、「Key Database File」>「新規」とクリックします。
  4. ファイル名 (例えば serverkey.kdb) およびロケーションのパスを入力します。 「OK」をクリックします。
  5. パスワードを入力し、「 Stash the password to a file」チェック・ボックスを選択し、「OK」をクリックします。
  6. IBM HTTP Server の個人証明書を取得します。 鍵管理ユーティリティー・メニューで「Personal Certificate」をクリックします。 「作成」>「New Certificate Request」とクリックします。 「Create New Key and Certificate Request」パネルが表示されます。以下の情報を完了します。
    鍵ラベル
    Server_Cert
    鍵サイズ
    512 または 1024 ビットのいずれかの鍵サイズを選択します。
    共通名
    droplet.austin.ibm.com
    組織
    IBM
    組織単位
    WebSphere
    場所
    オースティン
    状態
    テキサス
    郵便番号
    76758
    US
    ファイル名
    Server_certreq.arm
    Verisign テスト CA ルート証明書は、署名者証明書のセットに含まれ、IBM HTTP Server の IKeyMan ユーティリティーに同梱されています。
  7. http://www.verisign.com に移動し、「Free SSL Trial」をクリックします。 プロファイル情報を入力し、「Submit」をクリックしてから「Continue」を 2 回クリックします。
  8. 任意のテキスト・エディターを使用して要求ファイル Server_certreq.arm を編集し、 そのファイルの内容全体をブラウザー要求パネルにコピーします。 「継続」をクリックします。 VeriSign が、署名された個人証明書をユーザーの電子メールに送信します。
  9. この証明書をファイル (例えば Server_Cert.arm) にコピーして貼り付けます。 鍵管理ユーティリティーのメニューから、「 Personal Certificate」をクリックします。「Receive」をクリックします。 ファイル名を Server_Cert.arm と指定して「OK」をクリックします。正常に受信するため、 場合により、VeriSign テスト・ルート証明書を署名者証明書に追加する必要があります。serverkey.kdb ファイルを閉じます。
  10. IBM HTTP Server で HTTPS (例えば、ポート 443) をサポートできるようにするには、 IBM HTTP Server で SSL を使用可能にします。 IBM HTTP Server の構成ファイル IHS_HOME/conf/httpd.conf を変更します。 SSL は、IBM HTTP Server 管理コンソールを介しても使用可能にすることができます。IHS_HOME/conf/httpd.conf ファイル を開き、次の行をファイルの下部に追加します。
    LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
    Listen 443
    <VirtualHost  droplet.austin.ibm.com:443>
    ServerName  droplet.austin.ibm.com
    DocumentRoot <install_root>¥htdocs
    SSLEnable
    #SSLClientAuth required
    </VirtualHost>
    SSLDisable
    Keyfile <IHS_HOME>/serverkey.kdb
    
    注: 鍵ファイルのホスト名とパスは適宜変更してください。 httpd.conf ファイルにある SSLClientAuth ディレクティブを非コメント化 して、Web サーバーがクライアント証明書をサポートするように変更してください。
    SSLClientAuth   required
  11. IBM HTTP Server を再始動します。
  12. ブラウザーと IBM HTTP Server の間の SSL をテストします。 デフォルトの IBM HTTP Server のポート番号の詳細については、WebSphere Application Server の各バージョンでのポート番号の設定を参照して下さい。
  13. SSLClientAuth ディレクティブが必要であると設定した場合は、 プロンプトに従って個人証明書を選択します。
  14. アプリケーション・サーバーで、 ポート 443 を使用して IBM HTTP Server と通信できるようにするには、 default_host にホスト・エイリアスを追加します。 管理コンソールで、 「環境」>「仮想ホスト」>「default_host」をクリックします。 「追加プロパティー」の下で、「ホスト・エイリアス」>「新規」とクリックします。 該当するフィールドに以下の情報を入力します。
    ホスト名
    *
    ポート
    443
  15. 適用」と「保管」をクリックします。 保管」をクリックすると、情報が security.xml ファイル に書き込まれ、Web サーバー・プラグインが自動的に更新されます。
  16. WebSphere Application Server を再始動します。
  17. 接続をテストします。

結果

Snoop サーブレットに接続できます。

IBM HTTP Server と WebSphere Application Server の間の Secure Sockets Layer 通信 を使用可能にします。



関連概念
Secure Sockets Layer
関連タスク
認証局の署名付き個人証明書の要求
CA 署名付き個人証明書の受信
トラストストア・ファイル用の公開証明書の抽出
デジタル証明書の管理
Secure Sockets Layer 接続の定義
Secure Sockets Layer (SSL) の構成
関連資料
WebSphere Application Server バージョンにおけるポート番号設定
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 22, 2008 12:07:38 AM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/tsec_rwsplug.html