WebSphere Application Server のプロセスが初めて開始されるとき、Secure Sockets Layer (SSL) ランタイムは SSL 構成で指定されたデフォルトの鍵ストアとトラストストアを初期化します。
WebSphere Application Server は、プロファイルの作成中に、key.p12 デフォルト鍵ストア・ファイルと trust.p12 デフォルト・トラストストア・ファイルを作成します。このとき、デフォルトの自己署名証明書も key.p12 ファイルに作成されます。公開鍵の署名者は key.p12 ファイルから抽出され、trust.p12 ファイルに追加されます。プロセスの開始時にこれらのファイルが存在しない場合は、開始時に再作成されます。
DefaultKeyStore および DefaultTrustStore という接尾部が付いているため、鍵ストアとトラスト ストアのデフォルトを簡単に識別することができます。 また、ランタイムがデフォルトの鍵ストアとトラストストアのみを使用するように、SSL 構成では fileBased 属性を true に設定する必要があります。
ベース・アプリケーション・サーバーでは、デフォルトの鍵ストアとトラストストアは、 構成リポジトリーのノード・ディレクトリーに保管されます。 例えば、デフォルトの key.p12 および trust.p12 ストア は、AppSrv01 というプロファイル名、myhostNode01Cell という名前、 および myhostNode01 というノード名で作成されています。 鍵ストアとトラストストアは、次のディレクトリーにあります。
/QIBM/UserData/WebSphere/AppServer/V61/Base/profiles/default/config /cells/myhostNode01Cell/nodes/myhostNode01/key.p12 /QIBM/UserData/WebSphere/AppServer/V61/Base/profiles/default/config /cells/myhostNode01Cell/nodes/myhostNode01/trust.p12
WebSphere Application Server により生成される、 すべてのデフォルトの鍵ストアの デフォルト・パスワードは、WebAS です。 よりセキュアな環境を確保するために、最初の構成後にこのデフォルト・パスワードを変更します。
デフォルトの自己署名証明書は、プロファイルのサーバーおよびクライアントの両方について、そのプロファイルの作成時に作成されます。
ユーザーは、/config および /etc に ある *.p12 ファイルを削除するだけで、 異なる情報が記載された証明書を再作成できます。 下記の 4 つのプロパティーを、証明書に入れる値に変更してから、プロセスを再開します。 これにより、/config にあるサーバー証明書と /etc にあるクライアント証明書が別のものになります。
クライアントとサーバー間に SSL クライアント認証をセットアップする場合は、署名者の交換を実行する必要があります。 ssl.client.props ファイルに存在する、下記の証明書のプロパティーは、サーバー構成には存在しません。 ただし、管理コンソールでこれらの値をカスタム・セキュリティー・プロパティーとして追加することにより、サーバ ー構成で使用することができます。 証明書のプロパティーは ssl.client.props ファイルに表示されますが、サーバー構成には表示されません。 ただし、管理コンソールでこれらの値をカスタム・プロパティーとして追加することにより、サーバー構成で変更すること ができます。
com.ibm.ssl.defaultCertReqAlias=default_alias com.ibm.ssl.defaultCertReqSubjectDN=cn=${hostname},o=IBM,c=US com.ibm.ssl.defaultCertReqDays=365 com.ibm.ssl.defaultCertReqKeySize=1024
default_alias の値がすでに存在している場合、 ランタイムは __# を追加します。 ここでの番号記号 (#) は、 鍵ストア内で固有になるまで増分される番号となります。 ${hostname} は、 最初に作成されたホスト名に解決される変数です。 自己署名証明書のデフォルトの有効期限は、作成日から 1 年です。
ランタイムは、証明書有効期限モニターを使用して、自己署名証明書の有効期限をモニターします。 これらの自己署名証明書は、有効期限しきい値 (通常は有効期限の 30 日前) 内にあるとき、署名者証明書と一緒に自動的に置き換えられます。 デフォルトの鍵サイズは、Java ランタイム環境ポリシー・ファイルが無制限である、すなわち、エクスポートされな い場合にのみ、1024 ビットより大きくすることができます。 詳しくは、証明書有効期限のモニター を参照してください。
<repertoire xmi:id="SSLConfig_1" alias="NodeDefaultSSLSettings" managementScope="ManagementScope_1"> <setting xmi:id="SecureSocketLayer_1" clientAuthentication="false" securityLevel="HIGH" enabledCiphers="" jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS" keyStore="KeyStore_1" trustStore="KeyStore_2" trustManager="TrustManager_1" keyManager="KeyManager_1"/> </repertoire>
デフォルト鍵ストア
<keyStores xmi:id="KeyStore_1" name="NodeDefaultKeyStore" password="{xor}349dkckdd=" provider="IBMJCE" location="${USER_INSTALL_ROOT}/config /cells/myhostNode01Cell/nodes/myhostNode01/key.p12" type="PKCS12" fileBased="true" hostList="" initializeAtStartup="true" managementScope="ManagementScope_1"/>NodeDefaultKeyStore 鍵ストアには、セキュアなエンドポイントの ID を表す個人証明書が含まれています。 鍵ストア参照は、${USER_INSTALL_ROOT} 変数を使用できます。この変数はランタイムによって展開されます。デフォルト鍵ストア・タイプ PKCS12 は、最も相互運用性の高いフォーマットです。つまり、ほとんどのブラウザーにインポートできます。 myhostNode01Cell パスワードはエンコードされています。
<managementScopes xmi:id="ManagementScope_1" scopeName=" (cell):myhostNode01Cell:(node):myhostNode01" scopeType="node"/>管理有効範囲が現在のプロセス有効範囲外にある、security.xml ファイルに保管された構成オブジェクトは、現行プロセスにはロードされません。 代わりに、管理有効範囲は myhostNode01 ノード内に含まれるサーバーによってロードされます。その特定のノード上のアプリケーション ・サーバーは、鍵ストア構成を認識できます。
key.p12 ファイルの内容をリストして自己署名証明書を表示する場合は、識別名 (DN) の共通名 (CN) が、常駐マシンのホスト名であることに気をつけてください。 このリスト表示により、URL 接続でホスト名を確認することができます。さらに、カスタム・トラスト・マネージャーからホスト名を確認することもできます。 詳しくは、トラスト・マネージャーによる X.509 証明書の信頼についての決定の制御 を参照してください。
デフォルト鍵ストアの内容
keytool -list -keystore /QIBM/UserData/WebSphere/AppServer/V61/Base/profiles/default/config /cells/myhostNode01Cell/nodes/myhostNode01/key.p12 -storepass myhostNode01Cell -storetype PKCS12 -v
別名: default 項目タイプ: keyEntry 所有者: CN=myhost.austin.ibm.com, O=IBM, C=US 発行者: CN=myhost.austin.ibm.com, O=IBM, C=US 有効開始日: 10/18/05 4:06 PM until: 10/18/06 4:06 PM 証明書指紋: SHA1: 33:6E:9E:10:65:04:CE:7A:6C:C3:B1:79:8B:9A:05:49:AC:E5:67:F3
デフォルトの 別名と keyEntry 項目タイプは、この秘密鍵が公開鍵とともに保管されていることを示し、これが完全な個人証明書であることを表しています。 証明書は CN=myhost.austin.ibm.com, O=IBM, C=US によって所有され、同じエンティティーによって発行されています。すなわち、これは自己署名です。 デフォルトで、証明書は作成日から 1 年間有効です。
さらに、署名者交換の状態によっては、証明書の指紋により、送信された証明書が変更されていないことが 保証されます。 証明書のハッシュ・アルゴリズム出力である指紋は、WebSphere Application Server ランタイムにより、 クライアント・サイドでの自動署名者交換中に表示されます。クライアントの指紋は、サーバーに表示される指紋と一致する必要があります。 ランタイムは通常、SHA1 ハッシュ・アルゴリズムを使用して証明書の指紋を生成します。
デフォルトのトラストストア
<keyStores xmi:id="KeyStore_2" name="NodeDefaultTrustStore" password="{xor}349dkckdd=" provider="IBMJCE" location="${USER_INSTALL_ROOT} /config/cells/myhostNode01Cell/nodes/myhostNode01/trust.p12" type="PKCS12" fileBased="true" hostList="" initializeAtStartup="true" managementScope="ManagementScope_1"/>
デフォルトのトラストストアの内容
keytool -list -keystore /QIBM/UserData/WebSphere/AppServer/V61/Base/profiles/default/config /cells/myhostNode01Cell/nodes/myhostNode01/trust.p12 -storepass myhostNode01Cell -storetype PKCS12 -v
別名: default_signer 項目タイプ: trustedCertEntry 所有者: CN=myhost.austin.ibm.com, O=IBM, C=US 発行者: CN=myhost.austin.ibm.com, O=IBM, C=US 有効開始日: 10/18/05 4:06 PM until: 10/18/06 4:06 PM 証明書指紋: SHA1: 33:6E:9E:10:65:04:CE:7A:6C:C3:B1:79:8B:9A:05:49:AC:E5:67:F3