SSL での Web サーバー・プラグインのデフォルト構成

新規 Web サーバー定義を作成する場合、WebSphere® Application Server は Web サーバー・プラグインを特定ノードの Certificate Management Services (CMS) 鍵ストアと関連付けます。鍵ストアには、そのノードに所属する自己署名証明書またはチェーン証明書を持つ 現行セルのすべての署名者が含まれています。プラグインは、Secure Sockets Layer (SSL) クライアント認証を使用可能にして構成する場合も、WebSphere Application Server とセキュアに通信することができます。

ノード myhostNode01 上で、Web サーバー定義を webserver1 に設定する場合、 WebSphere Application Server は鍵ストア構成を作成します。この鍵ストアの有効範囲は webserver1 サーバーであるため 、この鍵ストアはこのサーバーに対してのみ可視になります。 他のプロセスは、この鍵ストア定義を使用することはできません。

[IBM i]鍵ストアのデフォルトのパスワードは、WebAS です。管理コンソールまたは該当する AdminTask コマンドを使用して、 デフォルトの鍵ストア・パスワードを変更することができます。 また、管理有効範囲ごとに、1 つの CMSKeyStore 項目のみを作成できます。有効範囲 (cell):myhostCell01:(node):myhostNode01:(server):webserver1 に CMS 鍵ストアが既に存在している場合は、別の CMSKeyStore 項目を作成することはできません。その特定のノードに まだ自己署名証明書が存在していない場合は、WebSphere Application Server ではプラグイン名を使用して 自己署名証明書を作成します。ノードに既に自己署名証明書が存在している場合は、デフォルトで証明書は CMS 鍵ストアに入れられ、セルのすべて の署名者が追加されます。

[AIX Solaris HP-UX Linux Windows][z/OS]次の security.xml ファイルのサンプル・コードは、Web サーバー・プラグインの 構成項目を示しています。
<keyStores xmi:id="KeyStore_1132357815719" name="CMSKeyStore" 
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMCMSProvider"
location="C:¥WASX_e0540.11¥AppServer¥profiles¥AppSrv01/config/cells
 /myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb"
type="CMSKS" fileBased="true" createStashFileForCMS="true"
managementScope="ManagementScope_1132357815718"/>
<managementScopes xmi:id="ManagementScope_1132357815718" scopeName="
(cell):myhostCell01:(node):myhostNode01:(server):webserver1" scopeType="server"/>
[AIX Solaris HP-UX Linux Windows][z/OS]次のサンプル・コードは、security.xml ファイルで CMS 鍵ストアと stash ファイルが生成される方法を示しています。
C:¥WebSphere¥AppServer¥profiles¥Dmgr01¥config¥cells¥myhostCell01¥nodes
¥myhostNode01¥servers¥webserver1¥plugin-key.kdb
C:¥WebSphere¥AppServer¥profiles¥Dmgr01¥config¥cells¥myhostCell01
¥nodes¥myhostNode01¥servers¥webserver1¥plugin-key.sth
鍵ストアのデフォルトのパスワードは、WebAS です。 管理コンソールまたは該当する AdminTask コマンドを使用して、 デフォルトの鍵ストア・パスワードを変更することができます。 この CMS 鍵ストアを作成するために使用できる AdminTask コマンドを、 次のサンプル・コードで紹介します。
$AdminTask createCMSKeyStore /config/cells/myhostCell01/nodes/myhostNode01
 /servers/webserver1/plugin-key.kdb myhost.austin.ibm.com
前の例について、以下の特性に注意して ください。
  • 管理有効範囲ごとに、1 つの CMSKeyStore 項目のみを作成できます。有効範囲 (cell):myhostCell01:(node):myhostNode01:(server):webserver1 に CMS 鍵ストアが既に存在している場合は 、別の CMSKeyStore 項目を作成することはできません。
  • 鍵ストア名の URI は、/config/cells/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb です。
  • プラグイン・ロケーションのホスト名は myhost.austin.ibm.com です。その特定のノードにまだ チェーン証明書が存在していない場合、WebSphere Application Server は、この名前を使用してチェーン証明書を作成します。ノードに既に チェーン証明書が存在している場合は、デフォルトで証明書は CMS 鍵ストアに入れられ、セルのすべて の署名者が追加されます。

追加ノードを統合する場合、これらのノードの署名者は CMS 鍵ストアの各 Web サーバーに自動的に追加されません。 Web サーバー・プラグインが新規に統合されたノードと通信できるようにするには、CMSKeyStore 鍵ストアと手動で署名者を交換する必要があります。管理コンソールの鍵ストア証明 書管理機能を使用して、署名者を交換します。 詳しくは、正しい SSL 署名者証明書のプラグイン鍵ストアへの追加を参照してください。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sslwebserverplugconf
ファイル名:csec_sslwebserverplugconf.html