SSL における動的構成の更新
Secure Sockets Layer (SSL) の実行時に動的構成の更新を行うと、 インバウンドとアウトバウンドの両方の SSL エンドポイントが影響を受けます。 インバウンド SSL エンドポイントの場合、SSL チャネルにより実装 される変更は、動的変更によってのみ影響を受けます。 アウトバウンド SSL エンドポイントの場合、すべてのアウトバウンド接続は新しい構成変更を継承します。
このリリースでは、動的更新機能を使用することで、柔軟性が増し、効率が向上します。 SSL 構成を変更して、WebSphere® Application Server を再始動せずに、変更を有効にすることができます。
動的変更を行うには、管理コンソールでSSL 構成変更が生じた場合にランタイムを動的に更新する (Dynamically update the runtime when SSL configuration changes occur)」チェック・ボックスを選択します。 変更を保存してから、リモート・システムと security.xml ファイルを同期する必要があります。 リモート・システムは、dynamicallyUpdateSSLConfig=true が security.xml ファイルにあることを確認できる必要があります。
をクリックしてから、「SSL ランタイムは、変更された SSL 構成を再ロードし、インバウンド・エンドポイントに関連付けられた、変更された接続の新規 SSLEngine を作成します。 新しいアウトバウンド接続は新しい構成を使用し、既存の接続は古い SSLEngine オブジェクトの使用を継続 して、影響を受けません。
ヒント: オフピーク時に SSL 構成に対して動的変更を加えます。
ピーク時に SSL 構成を更新する場合は、同期による遅延が起こり、接続に悪影響を与える場合がありま
す。
次のアクションを実行することに
より、security.xml ファイルの dynamicallyUpdateSSLConfig 属性の
オン/オフを切り替えて、更新が正常に実行されるようにします。
- dynamicallyUpdateSSLConfig=On を設定します。
- 更新された構成を保存します。
- security.xml ファイルをリモート・システムと同期させます。
- dynamicallyUpdateSSLConfig 属性を Off に設定します。
ヒント: SSL の変更、特に管理 SSL の変更の中には、それらを最初にテストしない場合、サーバー停止の原因となることがあります。
変更により 2 つのエンドポイント間の信頼が確立されない場合、エンドポイントはお互いに通信できません。
さらに、管理 SSL 接続の更新によりシステムが停止した場合、デプロイメント・マネージャーを使用し
て修正変更を行った後でノードを使用不可にする必要がある場合があります。
コマンド行から手動でサーバーを同期し、新しい SSL 変更を取り出してから、ノードを再始動することができます。