[AIX Solaris HP-UX Linux Windows][z/OS]

IBM HTTP Server 管理サーバーと Deployment Manager の間の SSL の構成

WebSphere® Application Server の Deployment Manager と IBM® HTTP Server 管理サーバー (adminctl) の間の Secure Sockets Layer (SSL) を 構成します。

このタスクについて

Application Server には新しい SSL 管理機能があり、 この機能は、IBM HTTP Server が SSL 要求を使用して接続できるように適切に管理される必要があります。 初期のリリースの SSL 接続では、IBM HTTP Server と Application Server の間で交換される デフォルトのダミー証明書が使用されました。WebSphere Application Server では、SSL 接続が 承認されてトランザクションが完了するように、Application Server が IBM HTTP Server からの自己署名証明書を 承認するように構成する必要があります。

Application Server および IBM HTTP Server 管理サーバーが適切に構成されない場合、Application Server は、Deployment Manager のログ・ファイルに受信したエラーを 表示します。IBM HTTP Server 管理サーバーが SSL を使用した接続を試行 しており、Application Server が構成されていない場合、 ユーザーは以下のメッセージと類似のエラーを受信するおそれがあります。
-CWPKI0022E: SSL HANDSHAKE FAILURE:  A signer with
SubjectDN "CN=localhost" was sent from target host:port "null:null".
The signer may need to be added to local trust store "c:/619/app2/profiles/Dmgr01/config/cells/rjrCell02/trust.p12"
located in SSL configuration alias "CellDefaultSSLSettings"
 loaded from SSL configuration file "security.xml".
The extended error message from the SSL handshake
 exception is: "No trusted certificate found".

-IOException javax.net.ssl.SSLHandshakeException:
com.ibm.jsse2.util.h: No trusted certificate found

手順

  1. サーバー証明書を取得します。 新しい 自己署名証明書を生成するか、IBM HTTP Server Web サーバー・プラグインの 既存証明書を使用できます。
    • IBM HTTP Server Web サーバー・プラグインの既存の自己署名証明書を使用します。
    • CMS 鍵データベース・ファイルおよび自己署名サーバー証明書を作成します。 分散オペレーティング・システム用 iKeyman ユーティリティーおよび z/OS® オペレーティング・システム用 gskkyman ツールを 使用します。このステップおよび以降のステップでは、 ユーザーが iKeyman ユーティリティーを使用することを想定しています。
      • [AIX Solaris HP-UX Linux Windows]IBM HTTP Server iKeyman ユーティリティーのグラフィカル・ユーザー・インターフェースまたはコマンド行 を使用して、CMS 鍵データベース・ファイルおよび自己署名サーバー証明書を作成します。
        iKeyman ユーティリティーを 使用して、IBM HTTP Server 管理サーバーの自己署名証明書を作成し、 その証明書を /conf/admin.kdb として保存します。
        ベスト・プラクティス ベスト・プラクティス: パスワードを記録してから、「パスワードをファイルに隠しておく (Stash password to a file)」を選択します。bprac
        証明書には以下のフィールドが 必要です。
        ラベル
        adminselfSigned
        共通名
        fully_qualified_host_name
      • [z/OS]IBM HTTP Server は、z/OS gskkyman ツールを鍵管理で使用して、CMS 鍵データベース・ファイル、公開鍵と秘密鍵のペア、および自己署名証明書を作成します。 または、SAF 鍵リングを CMS 鍵データベース・ファイルの 代わりに作成できます。
        • gskkyman については、ネイティブ z/OS 鍵データベースを使用した鍵管理を参照してください。
        • SAF 鍵リングの作成については、 『IBM HTTP Server での SAF による認証および SSL 鍵ファイル・ディレクティブ』を参照してください。
  2. iKeyman ユーティリティーを使用して、証明書をファイルへ抽出します。
    1. ステップ 1 で作成した証明書 (例えば、adminselfSigned) を選択します。
    2. 「Extract Certificate」をクリックします。 抽出するファイルの推奨ファイル名は、C:¥Program Files¥IBM¥HTTPServer¥conf¥cert.arm です。
      トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): データ・タイプを変更しないでください。gotcha
  3. 管理サーバー構成ファイル (admin.conf) を 変更します。
    1. 管理サーバー構成ファイルが IBM SSL モジュールをロードするように構成します。 以下の行の コメントを外します。
      LoadModule ibm_ssl_module     modules/mod_ibm_ssl.so
    2. SSL を有効にして、使用する鍵ファイルを定義します。 以下の行の コメントを外して、SSL を有効にするとともに使用する鍵ファイルを定義します。
      SSLEnable
      SSLServerCert default
      Keyfile "C:/Program Files/IBM/HTTPServer5/conf/admin.kdb"
      トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): 以下の点に注意してください。
      • 鍵ファイル・ディレクティブは、システムにインストールされた 有効な鍵ファイルの名前およびロケーションと一致する必要があります。
      • この作業用に IBM SSL サポートをインストールしておく必要があります。
      • SSLServerCert にある「default」は、 plugin-key.kdb ファイルの作成時に作成された 自己署名証明書のラベル、または名前です。
      • 前の例では、SSLServerCert を使用しています。これは、 plugin-key.kdb 内のデフォルトの自己署名証明書は、 デフォルト証明書としてフラグが立っていないためです。
      gotcha
  4. IBM HTTP Server を始動します。ログ・ファイルに GSKIT エラーが含まれていないことを確認します。
  5. WebSphere Application Server を構成します。
    1. Application Server の管理コンソールにログインして、 Deployment Manager を開始します。
    2. 「セキュリティー」 > 「SSL 証明書および鍵管理」を選択します。
    3. 「エンドポイント・セキュリティー構成の管理」を選択します。 インバウンド・エンドポイントおよびアウトバウンド・エンドポイントのリストが表示されます。
    4. アウトバウンド・セル (cellDefaultSSLSettings,null) を選択します。 アウトバウンド・セルを選択します。それは、このセットアップで、 Application Server の管理コンソールはクライアントであり、IBM HTTP Server 管理サーバーは サーバーであるためです。
      トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): このセットアップは、 IBM HTTP Server プラグインと Application Server の SSL セットアップとは逆の構成です。gotcha
    5. 「関連項目 (Related Items)」セクションで、「鍵ストアおよび証明書 (Key stores and certificates)」をクリックします。
    6. 「CellDefaultTrustStore」をクリックします。
    7. 「追加プロパティー (Additional Properties)」セクションで、「署名者証明書 (Signer Certificates)」をクリックします。
    8. 証明書ファイルを Application Server に FTP でファイル転送します。 データ・タイプを変更しないでください。
    9. 「署名者証明書 (Signer Certificates)」の「コレクション (Collection)」パネルで、「追加 (Add)」をクリックします。 以下の情報をフィールドに入力します。
      表 1. 署名者証明書 情報
      名前
      別名 adminselfSigned
      ファイル名 ファイル名
      例えば、次のように 入力します。
      c:¥program files¥ibm¥httpserver¥conf¥cert.arm
    10. 管理コンソールに対する構成変更を 保存します。
    11. デプロイメント・マネージャーを停止します。
    12. デプロイメント・マネージャーを始動します。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupsslwithwas
ファイル名:tihs_setupsslwithwas.html