WebSphere Application Server 環境の各プロファイルには、プロファイルが作成されたときに作成された固有の自己署名証明書が含まれています。 この証明書は、バージョン 6.1 よりも前のバージョンの WebSphere Application Server に同梱されていたデフォルトのダミー証明書を置き換えます。プロファイルがデプロイメント・マネージャーに統合されると、この自己署名証明書の署名者はセルの共通トラストストアに追加されます。
デフォルトで、クライアントは WebSphere Application Server 環境の異なるプロファイルのサーバーを信頼しません。つまり、クライアントはこれらのサーバーの署名者を含んでいません。 この信頼の確立を支援するために、実行できることがいくつかあります。
C:¥WASX_e0540.11¥AppServer¥profiles¥AppSrv01¥bin¥serverStatus -all ADMU0116I: Tool information is being logged in file C:¥WASX_e0540.11¥AppServer¥profiles¥AppSrv01¥logs¥serverStatus.log ADMU0128I: Starting tool with the AppSrv01 profile ADMU0503I: Retrieving server status for all servers ADMU0505I: Servers found in configuration: ADMU0506I: Server name: dmgr *** SSL SIGNER EXCHANGE PROMPT *** SSL signer from target host 192.168.1.5 is not found in truststore C:¥WebSphere¥AppServer¥profiles¥AppSrv01¥etc¥trust.p12. Here is the signer information (verify the digest value matches what is displayed at the server): Subject DN: CN=myhost.austin.ibm.com, O=IBM, C=US Issuer DN: CN=myhost.austin.ibm.com, O=IBM, C=US Serial number: 1128544457 Expires: Thu Oct 05 15:34:17 CDT 2006 SHA-1 Digest: 91:A1:A9:2D:F2:7D:70:0F:04:06:73:A3:B4:A4:9C:56:9D:A8:A3:BA MD5 Digest: 88:72:C5:88:00:1C:A7:FA:D6:EB:04:88:AC:A1:C9:13 Add signer to the truststore now? (y/n) y A retry of the request may need to occur. ADMU0508I: The Deployment Manager "dmgr" is STARTED
/QIBM/UserData/WebSphere/AppServer/V61/ND/profiles/dmgr/bin/serverStatus -all ADMU0116I: Tool information is being logged in file /QIBM/UserData/WebSphere/AppServer/V61/ND/profiles/dmgr/logs/serverStatus.log ADMU0128I: Starting tool with the dmgr profile ADMU0503I: Retrieving server status for all servers ADMU0505I: Servers found in configuration: ADMU0506I: Server name: dmgr *** SSL SIGNER EXCHANGE PROMPT *** SSL signer from target host 192.168.1.5 is not found in truststore /QIBM/UserData/WebSphere/AppServer/V61/ND/profiles/dmgr/etc/trust.p12. Here is the signer information (verify the digest value matches what is displayed at the server): Subject DN: CN=myhost.austin.ibm.com, O=IBM, C=US Issuer DN: CN=myhost.austin.ibm.com, O=IBM, C=US Serial number: 1128544457 Expires: Thu Oct 05 15:34:17 CDT 2006 SHA-1 Digest: 91:A1:A9:2D:F2:7D:70:0F:04:06:73:A3:B4:A4:9C:56:9D:A8:A3:BA MD5 Digest: 88:72:C5:88:00:1C:A7:FA:D6:EB:04:88:AC:A1:C9:13 Add signer to the truststore now? (y/n) y A retry of the request may need to occur. ADMU0508I: The Deployment Manager "dmgr" is STARTEDこのプロセスを自動化するには、retrieveSigners コマンド を参照してください。
署名者を受け入れるプロンプトが表示されると、ソケット・タイムアウトが発生し、接続が切断する可能性があります。 このため、プロンプトに応答した後で、メッセージ 「A retry of the request may need to occur.」が表示 されます。 メッセージは、ユーザーに要求を再実行依頼するように通知します。 この問題は頻繁には発生しません。また、ある種のプロトコルでは、他のプロトコルよりこの問題が一般的な場合が あります。
表示されている SHA-1 ダイジェストを検証します。これは、サーバーによって送信される証明書の署名です。 サーバーで証明書を確認する場合は、同じ SHA-1 ダイジェストが表示されていることを確認します。
プロンプトを表示させたくない場合は、 retrieveSigners ユーティリティーを実行して特定のセル内のすべての署名者を取り出すことにより、このプロ ンプトを使用不可にできます。 このクライアント・スクリプトを使用して、共通トラストストアを参照することにより、リモート鍵ストアから ローカル鍵ストアに、署名者をダウンロードしたりアップロードすることができます。 詳しくは、デフォルトの自己署名証明書の構成 を参照してください。
参照する一般的なリモート鍵ストアは、CellDefaultTrustStore です。
このトラストストアには、クライアントがプロセスに接続できるようにする署名者が含まれています。 retrieveSigners ユーティリティーは、ターゲット・プロセスの有効範囲内の、ターゲット構成にある鍵スト アを指し、署名者 (証明書項目のみ) を ssl.client.props ファイルのクライアント鍵ストアにダウンロー ドすることができます。C:¥WASX_e0540.11¥AppServer¥profiles¥AppSrv01¥bin¥retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner CWPKI0308I: Adding signer alias "CN=myhost.austin.ibm.com, O=IBM, C=US" to local keystore "ClientDefaultTrustStore" with the following SHA digest: 91:A1:A9:2D:F2:7D:70:0F:04:06:73:A3:B4:A4:9C:56:9D:A8:A3:BA CWPKI0308I: Adding signer alias "default" to local keystore "ClientDefaultTrustStore" with the following SHA digest: 40:20:CF:BE:B4:B2:9C:F0:96:4D:EE:E5:14:92:9E:37:8D:51:A5:47
/QIBM/UserData/WebSphere/AppServer/V61/ND/profiles/dmgr/bin retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore -autoAcceptBootstrapSigner CWPKI0308I: Adding signer alias "CN=myhost.austin.ibm.com, O=IBM, C=US" to local keystore "ClientDefaultTrustStore" with the following SHA digest: 91:A1:A9:2D:F2:7D:70:0F:04:06:73:A3:B4:A4:9C:56:9D:A8:A3:BA CWPKI0308I: Adding signer alias "default" to local keystore "ClientDefaultTrustStore" with the following SHA digest: 40:20:CF:BE:B4:B2:9C:F0:96:4D:EE:E5:14:92:9E:37:8D:51:A5:47-autoAcceptBootstrapSigner オプションを使用すると、 管理接続の署名者を WebSphere Application Server が自動的に取り出し、 受け入れることができるようになります。 操作が完了した後でダイジェストを検証できるように、署名者が追加される間に SHA-1 ダイジェストが印刷されます。
単一の trust.p12 鍵ストア・ファイルに、セルのすべての署名者を集めるには、次のステップを実行しま す。
次の 2 つのコード・サンプルは、変更を行う前と後の表示を示しています。
com.ibm.ssl.protocol=SSL com.ibm.ssl.keyStore=file¥:/// C¥:/SERV1_601_0208/AppServer/profiles/AppSrv01/etc/DummyClientKeyFile.jks com.ibm.ssl.keyStorePassword={xor}CDo9Hgw¥= com.ibm.ssl.keyStoreType=JKS com.ibm.ssl.trustStore=file¥:/// C¥:/SERV1_601_0208/AppServer/profiles/AppSrv01/etc/DummyClientTrustFile.jks com.ibm.ssl.trustStorePassword={xor}CDo9Hgw¥= com.ibm.ssl.trustStoreType=JKS
com.ibm.ssl.protocol=SSL com.ibm.ssl.keyStore=/QIBM/UserData/WebSphere/AppServer/V6/ND/profiles/dmgr/etc/DummyClientKeyFile.jks com.ibm.ssl.keyStorePassword={xor}CDo9Hgw¥= com.ibm.ssl.keyStoreType=JKS com.ibm.ssl.trustStore=/QIBM/UserData/WebSphere/AppServer/V6/ND/profiles/dmgr/etc/DummyClientTrustFile.jks com.ibm.ssl.trustStorePassword={xor}CDo9Hgw¥= com.ibm.ssl.trustStoreType=JKSクライアントの /etc directory ディレクトリーにある共通トラストストア・ファイルに必要な SSL 構成の変更
com.ibm.ssl.protocol=SSL com.ibm.ssl.keyStore=file¥:/// C¥:/SERV1_601_0208/AppServer/profiles/AppSrv01/etc/DummyClientKeyFile.jks com.ibm.ssl.keyStorePassword={xor}CDo9Hgw¥= com.ibm.ssl.keyStoreType=JKS com.ibm.ssl.trustStore=file¥:/// C¥:/SERV1_601_0208/AppServer/profiles/AppSrv01/etc/trust.p12 com.ibm.ssl.trustStorePassword=myhostNode01Cell com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.protocol=SSL com.ibm.ssl.keyStore=/QIBM/UserData/WebSphere/AppServer/V6/ND/profiles/dmgr/etc/DummyClientKeyFile.jks com.ibm.ssl.keyStorePassword={xor}CDo9Hgw¥= com.ibm.ssl.keyStoreType=JKS com.ibm.ssl.trustStore=/QIBM/UserData/WebSphere/AppServer/V6/ND/profiles/dmgr/etc/trust.p12 com.ibm.ssl.trustStorePassword=myhostNode01Cell com.ibm.ssl.trustStoreType=PKCS12
これらの変更を、soap.client.props ファイルで行い、 DummyClientKeyFile.jks ファイルの代わりに key.p12 ファイルを指定することもできます。 ただし、keyStorePassword および keyStoreType の値も変更して、これらをデフォルトの key.p12 ファイルの値に一致させる必要があります。
バージョン 6.1 よりも前のリリースの WebSphere Application Server では、サーバー上で SSL 構成を編集して共通トラストストアを置き換える必要があります。 サーバーが使用する trust.p12 ファイルには、前のリリース・レベルでサーバー間の接続を行うために、デ フォルトのダミー証明書署名者も存在する必要があります。 デフォルトの証明書を DummyServerKeyFile.jks ファイルから 手動で抽出して、構成に追加した trust.p12 ファイルに、 その証明書をインポートしなければならない場合があります。