V6.1 にマイグレーションする場合は、SSL 構成フォーマットを更新することも、
V6.0 フォーマットをそのまま使用することも可能です。
既存の SSL 構成用管理スクリプトでエラーが発生した場合は、
このタスクを使用して、手動で SSL 構成を V6.1 フォーマットに変換してください。
始める前に
このタスクについて
V6.1 にマイグレーションする場合は、
WASPreUpgrade コマンドを使用して、
前にインストールしたバージョンの構成をマイグレーション固有のバックアップ・ディレクトリー内に保管します。
マイグレーションの完了後、WASPostUpgrade コマンドを使用して、
保管した構成と WASPostUpgrade スクリプトを取り出し、前の構成をマイグレーションすることができます。
WASPostUpgrade コマンドの -scriptCompatibility パラメーターを使用して、
バージョン 5.x または 6.0.x の構成を維持するか、
フォーマットをバージョン 6.1 構成定義に更新するかを指定します。
マイグレーション時にデフォルト値 -scriptCompatibility true を使用した場合は、
このタスクを実行する必要はありません。
マイグレーション時に scriptCompatibility パラメーターを false に設定した場合、
SSL 構成の既存の管理スクリプトが正しく機能しないことがあります。
このような場合は、このタスクを使用して、
ご使用のバージョン 5.x または 6.0.x の SSL 構成定義をバージョン 6.1 に変換します。
このプロセスにより、既存の構成に基づいて新規 SSL 構成が作成されます。
以下のステップに従って、既存の SSL 構成を変更します。
<repertoire xmi:id="SSLConfig_1" alias="Node02/DefaultSSLSettings">
<setting xmi:id="SecureSocketLayer_1" keyFileName="$install_root/etc/MyServerKeyFile.jks"
keyFilePassword="password" keyFileFormat="JKS" trustFileName="$install_root/etc/MyServerTrustFile.jks"
trustFilePassword="password" trustFileFormat="JKS" clientAuthentication="false" securityLevel="HIGH"
enableCryptoHardwareSupport="false">
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password="{custom}"/>
<properties xmi:id="Property_6" name="com.ibm.ssl.protocol" value="SSL"/>
<properties xmi:id="Property_7" name="com.ibm.ssl.contextProvider" value="IBMJSSE2"/>
</setting>
</repertoire>
プロシージャー
- 以前の構成の鍵ストア属性を参照する鍵ストアを作成します。
- 既存の構成で、keyFileName、keyFilePassword、および keyFileFormat の各属性を検索します。
keyFileName="${install_root}/etc/MyServerKeyFile.jks" keyFilePassword="password" keyFileFormat="JKS"
- keyFileName、keyFilePassword、および keyFileFormat の各属性を使用して、
新規 KeyStore オブジェクトを作成します。
この例では、名前を「DefaultSSLSettings_KeyStore」として設定します。
Jacl を使用:
$AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_KeyStore -keyStoreLocation
${install_root}/etc/MyServerKeyFile.jks -keyStoreType JKS -keyStorePassword
password -keyStorePasswordVerify password }
結果として得られる security.xml ファイルの構成オブジェクトは、次のようになります。
<keyStores xmi:id="KeyStore_1" name="DefaultSSLSettings_KeyStore" password="password"
provider="IBMJCE" location="$install_root/etc/MyServerKeyFile.jks" type="JKS" fileBased="true"
managementScope="ManagementScope_1"/>
注: 構成で cryptoHardware の値を指定する場合は、
代わりにこれらの値を使用して KeyStore オブジェクトを作成します。
-keyStoreLocation パラメーターを libraryFile 属性に、-keyStoreType パラメーターを tokenType 属性に、
さらに -keyStorePassword パラメーターを password 属性に、それぞれ関連付けます。
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password=""/>
- 既存の構成からトラストストア属性を参照する、トラストストアを作成します。
- 既存の構成から trustFileName、trustFilePassword、および trustFileFormat の各属性を検索します。
trustFileName="$install_root/etc/MyServerTrustFile.jks" trustFilePassword="password" trustFileFormat="JKS"
- trustFileName、trustFilePassword、および trustFileFormat の各属性を使用して、
新規 KeyStore オブジェクトを作成します。
この例では、名前を「DefaultSSLSettings_TrustStore」として設定します。
Jacl を使用:
$AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_TrustStore -keyStoreLocation
$install_root/etc/MyServerTrustFile.jks -keyStoreType JKS -keyStorePassword password
-keyStorePasswordVerify password }
結果として得られる security.xml ファイルの構成オブジェクトは、次のようになります。
<keyStores xmi:id="KeyStore_2" name="DefaultSSLSettings_TrustStore" password="password"
provider="IBMJCE" location="$install_root/etc/MyServerTrustFile.jks" type="JKS" fileBased="true"
managementScope="ManagementScope_1"/>
- 新規の鍵ストアとトラストストアを使用して、新規 SSL 構成を作成します。
既存の構成にある、引き続き有効なその他の属性をすべて含めます。
更新した SSL 構成に、新規別名を使用します。
既存の構成と同じ名前を持つ SSL 構成を作成することはできません。
Jacl を使用:
$AdminTask createSSLConfig {-alias DefaultSSLSettings -trustStoreName DefaultSSLSettings_TrustStore
-keyStoreName DefaultSSLSettings_KeyStore -keyManagerName IbmX509 -trustManagerName IbmX509
-clientAuthentication true -securityLevel HIGH -jsseProvider IBMJSSE2 -sslProtocol SSL }
結果
新規 SSL 構成は、次のとおりです。
<repertoire xmi:id="SSLConfig_1" alias="DefaultSSLSettings" managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" securityLevel="HIGH" enabledCiphers=""
jsseProvider="IBMJSSE2" sslProtocol="SSL" keyStore="KeyStore_1" trustStore="KeyStore_2" trustManager="TrustManager_1"
keyManager="KeyManager_1"/>
</repertoire>
注: これが指定されていない場合は、デフォルトの管理有効範囲が使用されます。