証明書有効期限のモニター管理タスクは、 security.xml ファイルに構成されている すべての鍵ストア内を循環し、 指定したしきい値 (通常は 30 日以内) 内に 有効期限が切れる証明書があれば、これを報告します。
各ノードのデフォルトの自己署名証明書は、作成後 365 日間で有効期限が切れます。 証明書の有効期間の変更は、 クライアントの ssl.client.props グローバル・ プロパティー領域にある、com.ibm.ssl.defaultCertReqDays=365 プロパティーの デフォルト値を変更することで、可能となります。 また、管理コンソールで 、このプロパティーをセキュリティー・カスタム・プロパティーとして指定することもできます。 「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」>「カスタム・プロパティー」をクリックします。
特定のスケジュールに従って実行するように、このモニター・タスクを構成することができます。 スケジュールは、構成内で存続する次の開始日を作成し、その日付が来ると WebSphere Application Server がモニ ターを開始してすべての鍵ストアを検査し、有効期限しきい値を満たす証明書を探します。 このタスクは、いつでも手動で開始できます。
<wsCertificateExpirationMonitor xmi:id="WSCertificateExpirationMonitor_1" name="Certificate Expiration Monitor" daysBeforeNotification="30" isEnabled="true" autoReplace="true" deleteOld="true" wsNotification="WSNotification_1" wsSchedule="WSSchedule_2" nextStartDate="1134358204849"/>
有効期限モニターは、有効期限しきい値基準に一致する自己署名証明書のみを自動的に置き換えます。 古い証明書のすべての署名者を、そのセルの構成内のすべての鍵ストアにある新しい証明書に属する署名者と置き換えるには、autoReplace 属性を true に設定します。deleteOld 属性が true の場合、古い個人証明書と古い署名者も鍵ストアから削除されます。 isEnabled 属性は、スケジュールから派生した nextStartDate 属性に基づいて、有効期限モニター・タスクが実行さ れるかどうかを決めます。 nextStartDate 属性は、スケジュールから派生しており、1970 年以降のミリ秒単位で表示されます。これは、System.currentTimeMillis() と同じです。有効期限モニター・プロセスが開始されたときに nextStartDate がすでに過ぎていた場合で、有効期限モニターが使用可能である場合は、このタスクは開始されますが、新しい nextStartDate 値がスケジュールに基づいて設定されます。
<wsSchedules xmi:id="WSSchedule_2" name="ExpirationMonitorSchedule" frequency="30" dayOfWeek="1" hour="21" minute="30"/>dayOfWeek 属性は、スケジュールを調整して特定の曜日に実行するようにします。これは、frequency が 30 または 31 日間に設定されているかどうかにかかわらず、常に同じ日です。24 時 間クロックに基づき、hour と minute 属性は、有効期限モニターが特定の日のいつ開始するかを決定します。
<>wsNotifications xmi:id="WSNotification_1" name="MessageLog" logToSystemOut="true" emailList=""/有効期限モニター通知の場合、メッセージ・ログ、SMTP サーバーを使用した E メール、または両方の通知の方法 を選択できます。 E メール・オプションを構成する場合は、フォーマット user@domain@smtpserver を使用します。SMTP サーバーを指定しない場合は、WebSphere Application Server はデフォルトで E メール・アドレスと同じドメインになります。 例えば、joeuser@ibm.com を構成すると、WebSphere Application Server は smtp-server.ibm.com を呼び出そうとします。 スクリプトを使用して複数の E メール・アドレスを指定するには、 項目の間にパイプ (|) 文字を追加する必要があります。 logToSystemOut 属性を指定する場合は、有効期限モニターの結果が、該当する環境のメッセージ・ログ (通常は SystemOut.log ファイル) に送信されます。