WebSphere Application Server for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

クライアント署名者を取り出すためのセキュア・インストール

WebSphere Application Server 環境の各プロファイルには、プロファイルが作成されたときに作成された固有の自己署名証明書が含まれています。 この証明書は、バージョン 6.1 よりも前のバージョンの WebSphere Application Server に同梱されていたデフォルトのダミー証明書を置き換えます。プロファイルがデプロイメント・マネージャーに統合されると、この自己署名証明書の署名者はセルの共通トラストストアに追加されます。

デフォルトで、クライアントは WebSphere Application Server 環境の異なるプロファイルのサーバーを信頼しません。つまり、クライアントはこれらのサーバーの署名者を含んでいません。 この信頼の確立を支援するために、実行できることがいくつかあります。

  1. 署名者交換プロンプトを使用可能にして、接続試行中に署名者を省きます。
  2. 接続を行う前に、retrieveSigners ユーティリティーを実行して、そのシステムから署名者をダウンロー ドします。
  3. サーバー・プロファイルの /config/cells/<cell_name>/nodes/<node_name> ディ レクトリーから、クライアントの /etc ディレクトリーに trust.p12 ファイルをコピーします。 SSL 構成を更新して、新しいファイル名とパスワード (これらが違っている場合) を反映します。 ファイルをコピーすることにより、そのセルのサーバーのすべての署名者を含む trust.p12 が、そのクライアントに提供されます。 また、このステップを、まだ DummyClientTrustFile.jks ファイルを使用しているバックレベルのクライア ントについて、実行する必要がある場合があります。 その場合は、sas.client.props または soap.client.props ファイルを 変更して、新しいトラストストア、トラストストア・パスワード、 およびトラストストア・タイプ (PKCS12) を 反映させる必要がある場合があります。
クライアントがインバンド署名者交換を実行するには、ssl.client.props ファイルを com.ibm.SSL.ConfigURL プロパティーとして、SSL 構成に指定する必要があります。管理対象クライアントについては、これは自動的に行われます。 署名者は、接続中にインバンドとして、またはランタイム時にアウト・オブ・バンドとして指定されます。 また、com.ibm.ssl.enableSignerExchangePrompt 属性は true に設定する必要があります。
ヒント: 有効期限が切れそうなサーバー証明書を置き換えるために、証明書有効期限モニターを構成できます。 クライアントが構成から新しい署名者を取り出す方法について詳しくは、証明書有効期限のモニター を参照してください。

署名者交換プロンプトを使用したクライアントからの署名者の取り出し

プロセスに接続するための署名者をクライアントがまだもっていない場合は、 署名者交換プロンプトを使用可能にできます。このプロンプトは、固有の各証明書と各ノードに対して 1 度表示されます。ノードの署名者が追加された後、 署名者はクライアントのトラストストアに残ります。 次のサンプル・コードは、クライアントから署名者を取り出す、署名者交換プロンプトを示しています。
/QIBM/UserData/WebSphere/AppServer/V61/Base/profiles/default/bin/serverStatus -all
ADMU0116I: Tool information is being logged in file
            /QIBM/UserData/WebSphere/AppServer/V6/Base/profiles/default/logs/serverStatus.log
ADMU0128I: Starting tool with the default profile
ADMU0503I: Retrieving server status for all servers
ADMU0505I: Servers found in configuration:
ADMU0506I: Server name: server1

*** SSL SIGNER EXCHANGE PROMPT ***
SSL signer from target host 192.168.1.5 is not found in truststore
 /QIBM/UserData/WebSphere/AppServer/V61/Base/profiles/default/etc/trust.p12.

Here is the signer information (verify the digest value matches what is
displayed at the server):

Subject DN:    CN=myhost.austin.ibm.com, O=IBM, C=US
Issuer DN:     CN=myhost.austin.ibm.com, O=IBM, C=US
Serial number: 1128544457
Expires:       Thu Oct 05 15:34:17 CDT 2006
SHA-1 Digest:  91:A1:A9:2D:F2:7D:70:0F:04:06:73:A3:B4:A4:9C:56:9D:A8:A3:BA
MD5 Digest:    88:72:C5:88:00:1C:A7:FA:D6:EB:04:88:AC:A1:C9:13

Add signer to the truststore now?  (y/n) y
A retry of the request may need to occur.
ADMU0508I: The Application Manager Manager "server1" is STARTED
このプロセスを自動化するには、retrieveSigners コマンド を参照してください。

署名者を受け入れるプロンプトが表示されると、ソケット・タイムアウトが発生し、接続が切断する可能性があります。 このため、プロンプトに応答した後で、メッセージ 「A retry of the request may need to occur.」が表示 されます。 メッセージは、ユーザーに要求を再実行依頼するように通知します。 この問題は頻繁には発生しません。また、ある種のプロトコルでは、他のプロトコルよりこの問題が一般的な場合が あります。

表示されている SHA-1 ダイジェストを検証します。これは、サーバーによって送信される証明書の署名です。 サーバーで証明書を確認する場合は、同じ SHA-1 ダイジェストが表示されていることを確認します。

プロンプトを表示させたくない場合は、 retrieveSigners ユーティリティーを実行して特定のセル内のすべての署名者を取り出すことにより、このプロ ンプトを使用不可にできます。 このクライアント・スクリプトを使用して、共通トラストストアを参照することにより、リモート鍵ストアから ローカル鍵ストアに、署名者をダウンロードしたりアップロードすることができます。 詳しくは、デフォルトの自己署名証明書の構成 を参照してください。

retrieveSigners ユーティリティーを使用したクライアントの署名者のダウンロード

retrieveSigners ユーティリティーを実行して、指定したクライアント鍵ストアのすべての署名者を 、リモート鍵ストアから取り出すことができます。

参照する一般的なリモート鍵ストアは、NodeDefaultTrustStore です。

このトラストストアには、クライアントがプロセスに接続できるようにする署名者が含まれています。 retrieveSigners ユーティリティーは、ターゲット・プロセスの有効範囲内の、ターゲット構成にある鍵スト アを指し、署名者 (証明書項目のみ) を ssl.client.props ファイルのクライアント鍵ストアにダウンロー ドすることができます。

前のリリースからのクライアントとサーバーの署名者の取得

注: バージョン 6.1 よりも前のリリースのクライアントを、現在のリリースに接続する場合、ハンドシェークを正常に行うために、クライアントは署名者を取得する必要があります。 WebSphere Application Server の以前のリリースを使用しているクライアントは、現行リリースほど簡単に署名者を取得できません。 デプロイメント・マネージャーの共通 トラストストアを、バックレベルのクライアントまたはサーバーにコ ピーしてから、SSL 構成を再構成して、そのトラストストアを直接参照できます。 タイプ PKCS12 のこの共通トラストストアは、構成リポジトリーの /config/cells/<cell_name>/nodes/<node_name> ディレクトリーにあり、デフォルト・パスワードは WebAS です。

単一の trust.p12 鍵ストア・ファイルに、セルのすべての署名者を集めるには、次のステップを実行しま す。

  1. サーバー上の trust.p12 鍵ストア・ファイルをコピーし、それをクライアント上に複製します。 クライアントは、以前のリリースの SSL プロパティーを指定している sas.client.props および soap.client.props ファイルから直接このファイルを参照します。
  2. クライアント・サイドの鍵ストアのパスワードを変更して、コピーした鍵ストアに関連付けられているデフ ォルトのセル名に一致するようにします。
  3. クライアント構成で、trust.p12 ファイルのデフォルト鍵ストア・タイプを、PKCS12 に変更 します。

次の 2 つのコード・サンプルは、変更を行う前と後の表示を示しています。

以前のリリースの sas.client.props のデフォルト SSL 構成
com.ibm.ssl.protocol=SSL
com.ibm.ssl.keyStore=/QIBM/UserData/WebSphere/AppServer/V6/Base/profiles/default/etc/DummyClientKeyFile.jks
com.ibm.ssl.keyStorePassword={xor}CDo9Hgw¥=
com.ibm.ssl.keyStoreType=JKS
com.ibm.ssl.trustStore=/QIBM/UserData/WebSphere/AppServer/V6/Base/profiles/default/etc/DummyClientTrustFile.jks
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw¥=
com.ibm.ssl.trustStoreType=JKS
クライアントの /etc directory ディレクトリーにある共通トラストストア・ファイルに必要な SSL 構成の変更
com.ibm.ssl.protocol=SSL
com.ibm.ssl.keyStore=/QIBM/UserData/WebSphere/AppServer/V6/Base/profiles/default/etc/DummyClientKeyFile.jks
com.ibm.ssl.keyStorePassword={xor}CDo9Hgw¥=
com.ibm.ssl.keyStoreType=JKS
com.ibm.ssl.trustStore=/QIBM/UserData/WebSphere/AppServer/V6/Base/profiles/default/etc/trust.p12
com.ibm.ssl.trustStorePassword=myhostNode01Cell
com.ibm.ssl.trustStoreType=PKCS12
ヒント: /bin ディレクトリーにある PropsFilePasswordEncoder スクリプトを実行して、パスワードをリセットすることができます。

これらの変更を、soap.client.props ファイルで行い、 DummyClientKeyFile.jks ファイルの代わりに key.p12 ファイルを指定することもできます。 ただし、keyStorePassword および keyStoreType の値も変更して、これらをデフォルトの key.p12 ファイルの値に一致させる必要があります。

バージョン 6.1 よりも前のリリースの WebSphere Application Server では、サーバー上で SSL 構成を編集して共通トラストストアを置き換える必要があります。 サーバーが使用する trust.p12 ファイルには、前のリリース・レベルでサーバー間の接続を行うために、デ フォルトのダミー証明書署名者も存在する必要があります。 デフォルトの証明書を DummyServerKeyFile.jks ファイルから 手動で抽出して、構成に追加した trust.p12 ファイルに、 その証明書をインポートしなければならない場合があります。




サブトピック
retrieveSigners コマンド
関連概念
デフォルトの自己署名証明書の構成
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 5:46:14 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.iseries.doc/info/iseries/ae/csec_sslsecinstallclientsignret.html