AdminTask オブジェクトの SSLMigrationCommands コマンド・グループ

Jython または Jacl スクリプト言語を使用して、鍵ストア構成をマイグレーションできます。自己署名証明書をチェーン個人証明書に変換したり、書き込み可能鍵リングを有効にしたりするには、SSLMigrationCommands グループに属するコマンドを使用してください。

AdminTask オブジェクトの SSLMigrationCommands コマンド・グループには、以下のコマンドが含まれます。

convertSelfSignedCertificatesToChained コマンド

convertSelfSignedCertificatesToChained コマンドは、特定の自己署名証明書をチェーン個人証明書に変換します。

注: チェーン証明書は、Websphere Application Server バージョン 7.0 のデフォルトの証明書タイプです。convertSelfSignedCertificatesToChained コマンドは、自己署名証明書の情報 (発行先識別名、サイズ、および存続期間など) を使用して、同じ情報のチェーン証明書を作成します。 新しいチェーン証明書によって自己署名証明書が置き換えられます。セキュリティー構成内に配布された自己署名証明書から得られた署名者証明書は、チェーン証明書に署名するために使用されるルート証明書から得られた署名者証明書によって置き換えられます。

構文

このコマンドの構文は以下のとおりです。
wsadmin>$AdminTask convertSelfSignedCertificatesToChained
                     [-certificateReplacementOption ALL_CERTIFICATES | DEFAULT_CERTIFICATES | KEYSTORE_CERTIFICATES]
                     [-keyStoreName keystore_name]
                     [-keyStoreScope keystore_scope]
                     [-rootCertificateAlias alias_name]

必須パラメーター

certificateReplacementOption
自己署名証明書変換の置換オプションを指定します。(ストリング、必須)
このパラメーターの値は、以下のいずれかのオプションで指定してください。
ALL_CERTIFICATES

このオプションは、指定された有効範囲内のすべての鍵ストアからすべての自己署名証明書を探します。

有効範囲は -keyStoreScope パラメーターで指定することができます。 -keyStoreScope パラメーターで有効範囲が指定されていない場合、すべての有効範囲が調べられます。

DEFAULT_CERTIFICATES

このオプションは、指定された有効範囲内のデフォルトの CellDefaultKeyStore および NodeDefaultKeyStore 鍵ストアから自己署名証明書を探します。

有効範囲は -keyStoreScope パラメーターで指定することができます。 -keyStoreScope パラメーターで有効範囲が指定されていない場合、すべての有効範囲が調べられます。

KEYSTORE_CERTIFICATES

このオプションは、鍵ストア内の、-keyStoreName パラメーターで指定された自己署名証明書のみを置き換えます。

-keyStoreScope パラメーターで有効範囲が指定されていない場合、デフォルトの有効範囲が使用されます。

オプション・パラメーター

keyStoreName
変換対象の自己署名証明書が検索される鍵ストアの名前を指定します。 このパラメーターは、certificateReplacementOption パラメーターの KEYSTORE_CERTIFICATES オプションとともに使用してください。 (ストリング、オプション)
keyStoreScope
変換対象の自己署名証明書が検索される有効範囲の名前を指定します。 (ストリング、オプション)
rootCertificateAlias
チェーン証明書に署名するために使用されるデフォルトのルート・ストアから、使用するルート証明書を指定します。 デフォルト値は root です。(ストリング、オプション)

バッチ・モードの使用例:

  • Jacl を使用:
    $AdminTask convertSelfSignedCertificatesToChained {-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS}
  • Jython ストリングを使用:
    AdminTask.convertSelfSignedCertificatesToChained('[-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS]')
  • Jython リストを使用:
    AdminTask.convertSelfSignedCertificatesToChained(['-certificateReplacementOption', 'ALL_CERTIFICATES', '-keyStoreName', 'testKS'])
    トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble): マイグレーションを確実に成功させるために、security.xml ファイルにアクセスして、ファイル内の dynamicallyUpdateSSLConfig のデフォルトを false に変更します。詳しくは、インフォメーション・センターのトピック『SSL での動的構成の更新』を参照してください。gotcha

対話モードの使用例:

  • Jacl を使用:
    $AdminTask exchangeSigners {-interactive}
  • Jython を使用:
    AdminTask.exchangeSigners('-interactive')

enableWritableKeyrings コマンド

enableWritableKeyrings コマンドは鍵ストアを変更し、書き込み可能 SAF サポートを有効にします。システムは、マイグレーション中にこのコマンドを使用します。 このコマンドは、SSL 鍵ストア用の制御領域鍵リングおよびサーバント領域鍵リングのための、追加の書き込み可能鍵ストア・オブジェクトを作成します。

必須パラメーター

-keyStoreName
削除する鍵ストアを一意的に識別する名前を指定します。 (ストリング、必須)

オプション・パラメーター

-controlRegionUser
書き込み可能鍵リングを有効にするために使用する制御領域ユーザーを指定します。 (ストリング、オプション)
-servantRegionUser
書き込み可能鍵リングを有効にするためのサーバント領域ユーザーを指定します。 (ストリング、オプション)
-scopeName
管理有効範囲を一意的に識別する名前を指定します。例: (cell):localhostNode01Cell (ストリング、オプション)

バッチ・モードの使用例:

  • Jython ストリングを使用:
    AdminTask.enableWritableKeyrings('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
  • Jython リストを使用:
    AdminTask.enableWritableKeyrings(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])

対話モードの使用例:

  • Jython を使用:
    AdminTask.enableWritablekeyrings('-interactive')

convertSSLConfig コマンド

convertSSLConfig コマンドは、既存の SSL 構成を、SSL 構成用の新規構成オブジェクト・フォーマットにマイグレーションします。

必須パラメーター

-sslConversionOption
システムが SSL 構成をどのように変換するのかを指定します。SSL 構成オブジェクトを従来の SSL 構成オブジェクトから新規 SSL 構成オブジェクトに変換する場合は、CONVERT_SSLCONFIGS 値を指定してください。 SSL 構成を中央管理の SSL 構成に変換する場合には、CONVERT_TO_DEFAULT 値を指定してください。また、この値を指定すると、SSL 構成直接参照がサーバーから除去されます。

オプション・パラメーター

なし。

バッチ・モードの使用例:

  • Jython ストリングを使用:
    AdminTask.convertSSLConfig('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
  • Jython リストを使用:
    AdminTask.convertSSLConfig(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])

対話モードの使用例:

  • Jython を使用:
    AdminTask.convertSSLConfig('-interactive')

convertSSLCertificates コマンド

convertSSLCertificates コマンドは、SSL 個人証明書を、希望する署名アルゴリズムを使用して作成された個人証明書に変換するか、希望する署名アルゴリズムを使用して作成されていない SSL 個人証明書をリストします。

必須パラメーター

なし

オプション・パラメーター

-convertSSLCertAction
LIST を指定して、-signatureAlgorithm パラメーターに指定された署名アルゴリズムを使用して作成されていない証明書をリストします。または、REPLACE を指定して、-signatureAlgorithm に指定された署名アルゴリズムを使用して作成されていない SSL 証明書を、-signatureAlgorithm パラメーターに指定された署名アルゴリズムを使用して作成された SSL 証明書に置き換えます。デフォルトは LIST です。
-signatureAlgorithm
署名アルゴリズムを指定し、その署名アルゴリズムを使用して作成されていない個人証明書を確認し報告します。または、新規個人証明書の作成に使用する署名アルゴリズムを指定し、その署名アルゴリズムを使用して作成されていない個人証明書を置き換えます。有効な署名アルゴリズムとしては、SHA1withRSA、SHA256withRSA、SHA384withRSA、SHA512withRSA、SHA1withECDSA、SHA256withECDSA、SHA384withECDSA、SHA512withECDSA があります。デフォルト値は SHA256withRSA です。
注: SHA384 および SHA512 の署名アルゴリズムを含め、より強力な署名アルゴリズムの場合、それらを使用して作成を行うには、制限のないポリシー・ファイルを所定の場所に配置する必要があります。Elliptical Curve (EC) 署名アルゴリズムを用いる証明書を使用するには、それらを使用するように SSL 構成を設定する必要があります。TLSv1.2 プロトコルを使用し、Elliptical Curve (EC) 暗号を構成する必要があります。

バッチ・モードの使用例:

  • Jython ストリングを使用:
    AdminTask.convertSSLCertificates('[- convertSSLCertAction list -signatureAlgorithm SHA256withRSA')
  • Jython リストを使用:
    AdminTask.convertSSLCertificates(['-convertSSLCertAction', 'list', '-signatureAlgorithm', 'SHA256withRSA'])

対話モードの使用例:

  • Jython を使用:
    AdminTask.convertSSLCertificates('-interactive')

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_7sslmigration
ファイル名:rxml_7sslmigration.html