Secure Sockets Layer (SSL) 構成には、クライアントおよびサーバーの SSL
エンドポイントの動作を制御するために必要な属性が含まれています。
SSL 構成は、構成トポロジー内のインバウンドおよびアウトバウンド・ツリー上の特定の管理有効範囲内で作成し、固有の名前をつけます。
このタスクでは、保護の品質やトラストと鍵マネージャーの設定など、SSL 構成の定義方法について説明します。
始める前に
SSL 構成の定義が必要な有効範囲を決定する必要があります。
例えば、セル、ノード・グループ、ノード、サーバー、クラスター、またはエンドポイントの有効範囲など、さまざまなレベルを特定する有効範囲です。
例えば、ノードの有効範囲で SSL 構成を定義する場合は、そのノード内のプロセスのみが SSL 構成をロードできます。
ただし、セル内のエンドポイントのプロセスは、セルの有効範囲の SSL 構成を使用できます。
これは、そのプロセスがトポロジーの上位にあるためです。
また、新規の SSL 構成に関連付ける有効範囲を、その構成が影響するプロセスに応じて決定する必要があります。
例えば、ハードウェア暗号デバイス用の SSL 構成において特定のノードのみで使用可能な鍵ストアが必要な場合や、特定の
SSL ホストおよびポートに接続するための SSL 構成が必要な場合があります。
詳しくは、
Secure Sockets Layer 構成の動的アウトバウンド選択
を参照してください。
このタスクについて
管理コンソールで以下のステップを実行します。
プロシージャー
- 「セキュリティー」>「SSL 証明書および鍵管理」>「エンドポイント・セキュリティー構成の管理」とクリックします。
- 構成するプロセスに応じて、インバウンド・ツリーまたはアウトバウンド・ツリー上の SSL 構成リンクを選択します。
- その有効範囲が構成および別名に既に関連付けられている場合は、SSL 構成の別名および証明書の別名が括弧内に注記されています。
- 括弧付きの情報が含まれていない場合、その有効範囲は関連付けされていません。
代わりに、その有効範囲は、その上にある SSL 構成および証明書の別名に関連付けされた先頭の有効範囲の構成プロパティーを継承します。
セルの有効範囲は、SSL 構成に関連付ける必要があります。
これは、それがトポロジーの先頭にあり、インバウンドおよびアウトバウンド接続用のデフォルト SSL 構成を表しているためです。
- 「関連項目」の下にある「SSL configurations」をクリックします。
この有効範囲で構成されている SSL 構成を表示し、選択できます。
また、そのトポロジーの下位にあるすべての有効範囲の構成を表示し、選択することも可能です。
- 「新規」をクリックして「SSL configuration」パネルを表示します。
構成名を入力して「適用」をクリックするまでは、「追加プロパティー」の下のリンクは選択できません。
- SSL 構成名を入力します。
このフィールドは必須です。この構成名は、SSL 構成の別名です。
この別名は、選択された有効範囲で作成済みの SSL 構成の別名のリストにおいて固有の名前にしてください。
新規 SSL 構成は、別の構成タスクに対してこの別名を使用します。
- ドロップダウン・リストからトラストストア名を選択します。
トラストストア名は、SSL ハンドシェーク中にリモート接続で送信された証明書の信頼性を検証する署名者証明書を保持する特定のトラストストアを意味します。
リスト内にトラストストアがない場合は、鍵ストア構成の作成
を参照して、接続時に信頼関係を確立する役割の鍵ストアとなる新規のトラストストアを作成します。
- ドロップダウン・リストから鍵ストア名を選択します。
鍵ストアには、署名者 ID および秘密鍵を表す個人証明書が含まれています。
これらの情報は、WebSphere Application Server によるデータの暗号化および署名に使用されます。
- 鍵ストア名を変更する場合は「証明書別名の取得」をクリックして、デフォルトの別名を選択する証明書のリストを最新表示します。
WebSphere Application Server は、インバウンド接続に対してサーバーの別名を使用し、アウトバウンド接続に対してクライアントの別名を使用します。
- リストに鍵ストアがない場合は 鍵ストア構成の作成
を参照し、新規の鍵ストアを作成します。
- インバウンド接続用のデフォルト・サーバー証明書の別名を選択します。
別の場所で SSL 構成の別名を指定していないで、さらに証明書の別名を選択していない場合にのみ、デフォルトを選択します。
中央で管理される SSL 構成ツリーにより、デフォルトの別名がオーバーライドされる場合があります。
詳しくは、
Secure Sockets Layer 構成の中央管理
を参照してください。
- アウトバウンド接続用のデフォルト・クライアント証明書の別名を選択します。
サーバーの SSL 構成により SSL クライアント認証が指定されている場合にのみ、デフォルトを選択します。
- SSL 構成の識別済み管理有効範囲を検討します。
このフィールドの管理有効範囲は、ステップ 2 で選択したリンクと同一にします。有効範囲を変更する場合は、トポロジー・ツリー内の別のリンクをクリックして、ステップ 3 から継続する必要があります。
- 「追加プロパティー」を構成する場合は、「適用」をクリックします。
しない場合は、ステップ 24 に進みます。
- 「追加プロパティー」の下の「Quality of protection (QoP) settings」をクリックします。
QoP 設定では、SSL 暗号化の強度、署名者の完全性、および証明書の認証性を定義します。
- クライアント認証設定を選択し、必要に応じて、インバウンド接続および証明書を送信するクライアント用の
SSL 構成を設定します。
- 「なし」を選択した場合、サーバーは、ハンドシェーク時に証明書を送信するようクライアントに要求しません。
- 「サポートあり」を選択した場合、サーバーは、証明書を送信するようクライアントに要求します。
ただし、クライアントに証明書がない場合でも、ハンドシェークが成功する場合があります。
- 「必要」を選択した場合、サーバーは、証明書を送信するようクライアントに要求します。
ただし、クライアントに証明書がない場合は、ハンドシェークが失敗します。
重要: SSL 構成で選択したトラストストア内に、クライアントを表す署名者証明書が存在する必要があります。
デフォルトで、同一セル内のサーバーは相互に信頼します。
これは、それらのサーバーが、構成リポジトリーのセル・ディレクトリーに配置された共通のトラストストア trust.p12 を使用するためです。
ただし、作成した鍵ストアおよびトラストストアを使用する場合は、署名者の交換を実行してから、「サポートあり」または「必要」を選択する必要があります。
- SSL ハンドシェーク用のプロトコルを選択します。
- デフォルトのプロトコル SSL_TLS は、クライアント・プロトコル TLSv1、SSLv3、および SSLv2 をサポートしています。
- TLSv1 プロトコルは TLS および TLSv1 をサポートします。
SSL サーバー接続は、ハンドシェークを進めるためにこのプロトコルをサポートする必要があります。
- SSLv3 プロトコルは SSL および SSLv3 をサポートします。
SSL サーバー接続は、ハンドシェークを進めるためにこのプロトコルをサポートする必要があります。
重要: SSL サーバー接続用には SSLv2 プロトコルを使用しないでください。
クライアント・サイドで必要な場合にのみ使用してください。
Microsoft® Windows Vista™ オペレーティング・システムで SSLv3 プロトコルを使用する場合の制限: Microsoft Windows Vista オペレーティング・システムの
クライアント・ブラウザーおよび WebSphere Application Server の Secure Sockets Layer (SSL) 構成で、
SSLv3 プロトコルだけが構成されている場合、サーバーとクライアントの双方で SSLv3 AES 暗号だけを使用すると、
SSL 接続に失敗することがあります。
- 以下のオプションのいずれかを選択します。
- 定義済み Java Secure Socket Extension (JSSE) プロバイダー。
これをサポートするすべてのプラットフォームにおいて、IBMJSSE2 プロバイダーが推奨されます。
チャネル・フレームワーク SSL チャネルでの使用では、これが必要となります。
連邦情報処理標準 (FIPS) が使用可能になっている場合は、IBMJSSE2 が、IBMJCEFIPS 暗号プロバイダーと組み合わせて使用されます。
- カスタム JSSE プロバイダー。
「カスタム・プロバイダー」フィールドにプロバイダー名を入力します。
- 以下の暗号スイート・グループの中から選択します。
- Strong: WebSphere Application Server は暗号化のために 128 ビットの機密性アルゴリズムを実行して、完全署名アルゴリズムをサポートします。
ただし、強度の暗号スイートは、接続のパフォーマンスに影響する場合があります。
- Medium: WebSphere Application Server は暗号化のために 40 ビットの暗号化アルゴリズムを実行して、完全署名アルゴリズムをサポートします。
- Weak: WebSphere Application Server で完全署名アルゴリズムをサポートしますが、暗号化は実行されません。
このオプションではネットワークを経由するパスワードやその他の機密情報がインターネット・プロトコル (IP) 探知プログラムにより可視になる場合があり、選択には注意が必要です。
- カスタム: 特定の暗号を選択できます。特定の暗号スイート・グループからリストされた暗号に変更すると、グループ名が「カスタム」に変更されます。
- 「Update selected ciphers」をクリックして、それぞれの暗号強度で使用可能な暗号のリストを表示します。
- 「OK」をクリックして、新規「SSL configuration」パネルに戻ります。
- 「追加プロパティー」の下にある「トラストおよび鍵マネージャー」をクリックします。
- 1 次 SSL ハンドシェークのトラスト決定に対してデフォルト・トラスト・マネージャーを選択します。
- 証明書の証明書取り消しリスト (CRL) 配布ポイントを使用した CRL 検査が必要な場合は、IbmPKIX を選択します。
- CRL 検査は必要なく、パフォーマンスの向上が必要な場合は、IbmX509 を選択します。
必要に応じてカスタム・トラスト・マネージャーを構成し、CRL 検査を実行できます。
- 必要な場合はカスタム・トラスト・マネージャーを定義します。 選択したデフォルト・トラスト・マネージャーで実行するカスタム・トラスト・マネージャーを定義できます。
カスタム・トラスト・マネージャーは、JSSE javax.net.ssl.X509TrustManager インターフェースを
実装する必要があり、オプションで com.ibm.wsspi.ssl.TrustManagerExtendedInfo インターフェースを実装して
製品固有の情報を取得することができます。
- 「セキュリティー」>「SSL 証明書および鍵管理」>「エンドポイント・セキュリティー構成の
管理」>「SSL_configuration」>「トラストおよび鍵マネージャー」>
「トラスト・マネージャー」>「新規」をクリックします。
- 固有のトラスト・マネージャー名を入力します。
- 「カスタム」オプションを選択します。
- クラス名を入力します。
- 「OK」をクリックします。 「Trust and key
managers」パネルに戻ると、新規のカスタム・トラスト・マネージャーが「追加の順序付きトラスト・マネージャー
」フィールドに表示されます。
左右のリスト・ボックスを使用し、カスタム・トラスト・マネージャーを追加または除去します。
- SSL 構成用の鍵マネージャーを選択します。
デフォルトで、カスタム鍵マネージャーを作成していなければ、IbmX509 が唯一の鍵マネージャーです。
重要: ユーザー独自の鍵マネージャーの実装を選択した場合は、鍵マネージャーにより鍵ストアから証明書の別名が選択されるため、別名の選択の動作に影響する場合があります。
カスタム鍵マネージャーは、WebSphere Application Server の鍵マネージャー IbmX509 と同様には SSL 構成を解釈しない場合があります。
カスタム鍵マネージャーを定義するには、「セキュリティー」>「セキュア通信」
>「SSL 構成」>「SSL_configuration」>「トラストおよび鍵マネージャー」
>「鍵マネージャー」>「新規」とクリックします。
- 「OK」をクリックしてトラストおよび鍵マネージャーの設定を保管し、新規「SSL configuration」パネルに戻ります。
- 「保管」をクリックして新規 SSL 構成を保管します。
結果
重要: 少なくとも 1 つのカスタム・トラスト・マネージャーを構成し、com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined プロパティーを true
に設定すると、デフォルト・トラスト・マネージャーをオーバーライドできます。
「SSL configuration」パネルの「カスタム・プロパティー」をクリックします。
ただし、デフォルトを変更した場合は、すべてのトラスト決定をカスタム・トラスト・マネージャーのままにしますが、実稼働環境では推奨されません。
テスト環境ではダミーの信頼マネージャーを使用して、証明書検証を回避します。
これらの環境がセキュアでないことを忘れないでください。
次の作業
このリリースの WebSphere Application Server では、以下のいずれかの方法を使用するプロトコルに SSL 構成を関連付けできます。