クライアントでの署名者自動交換プロンプトの変更

クライアントが WebSphere® Application Server と通信する場合、クライアントはサーバーから署名者証明書を取得する必要があります。クライアントは、retrieveSigners コマンドを使用して、 該当する署名者を取得するためにサーバーに接続することができます。 トラストストアに署名者を追加するかどうかを尋ねるプロンプトが表示されます。 Secure Sockets Layer (SSL) 構成で、停止する可能性のある自動化スクリプトが使用される場合は、 プロンプトを使用して証明書を取得します。

始める前に

profile_home/properties/ssl.client.props ファイルの com.ibm.ssl.enableSignerExchangePrompt プロパティーが、署名者証明書プロンプトを制御します。 デフォルトでは、このプロパティーは true に設定されており、 これはプロンプトが有効であることを意味しています。

このタスクについて

以下のステップを実行して、クライアントでの署名者の交換プロンプトを使用不可または使用可能にします。

手順

  1. エディターで、 profile_home/properties/ssl.client.props ファイルを開きます。
  2. 作業中のクライアントの SSL 構成情報が含まれているセクションを探します。
  3. 署名者交換のプロンプトが不要な場合は、 com.ibm.ssl.enableSignerExchangePrompt プロパティーの値を false に変更し、 プロンプトが必要な場合は、true に設定します。
  4. ファイルを保存してクローズします。

タスクの結果

com.ibm.ssl.enableSignerExchangePrompt プロパティーに false が設定されている場合に 署名者が信頼されていない場合、プロンプトは表示されません。 この場合、SSL ハンドシェークは失敗します。作成されている接続のための適切な署名者がトラストストアに手動でインストールされると、SSL ハンドシェークは成功します。

com.ibm.ssl.enableSignerExchangePrompt プロパティーに gui または true が設定されている場合、署名者交換のウィンドウが表示され、証明書を受け入れるか、または拒否するよう求められます。 証明書を受け入れる場合、それはトラストストアで自動的にインストールされ、ハンドシェークは成功します。証明書を拒否する場合、それはトラストストアでインストールされず、証明書は信頼されないためハンドシェークは失敗します。

com.ibm.ssl.enableSignerExchangePrompt プロパティーに stdin が設定されている場合、署名者交換の ASCII プロンプトが表示され、証明書を受け入れるか、または拒否するよう求められます。 証明書を受け入れる場合、それはトラストストアで自動的にインストールされ、ハンドシェークは成功します。証明書を拒否する場合、それはトラストストアでインストールされず、証明書は信頼されないためハンドシェークは失敗します。

プロンプトは、以下の例のようになります。

[AIX Solaris HP-UX Linux Windows][z/OS]
C:\WebSphere\AppServer\profiles\dmgr\bin>serverStatus -all
ADMU0116I: Tool information is being logged in file
           C:¥WebSphere¥AppServer¥profiles¥Dmgr¥logs¥serverStatus.log
ADMU0128I: Starting tool with the dmgr profile
ADMU0503I: Retrieving server status for all servers
ADMU0505I: Servers found in configuration:
ADMU0506I: Server name: dmgr

*** SSL SIGNER EXCHANGE PROMPT ***
SSL signer from target host 192.174.1.5 is not found in truststore 
C:/WebSphere/AppServer/profiles/Dmgr/etc/trust.p12.
[IBM i]
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/default/bin/serverStatus -all
ADMU0116I: Tool information is being logged in file
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/default/logs/serverStatus.log
ADMU0128I: Starting tool with the default profile
ADMU0503I: Retrieving server status for all servers
ADMU0505I: Servers found in configuration:
ADMU0506I: Server name: server1

*** SSL SIGNER EXCHANGE PROMPT ***
SSL signer from target host 192.174.1.5 is not found in truststore 
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/default/etc/trust.p12.

以下の署名者情報で、ダイジェストの値がサーバーに表示される内容と一致することを検証します。

Subject DN:    CN=hostname.austin.ibm.com, O=IBM, C=US
Issuer DN:     CN=hostname.austin.ibm.com, O=IBM, C=US
Serial number: 1128544457
Expires:       Thu Oct 20 15:34:17 CDT 2006
SHA-1 Digest:  91:A1:A9:2D:F2:7D:70:0F:04:06:73:A3:B4:A4:9C:56:9D:A8:A3:BA
MD5 Digest:    88:72:C5:88:00:1C:A7:FA:D6:EB:04:88:AC:A1:C9:13

Add signer to the truststore now? (y/n) y
A retry of the request might need to occur.
ADMU0508I: The Application Server "server1" is STARTED.

次のタスク

クライアントは、WebSphere Application Server から取得した署名者証明書を使用して、さまざまなプロセスに対する通信を試みることができます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslsignautoxchgclient
ファイル名:tsec_sslsignautoxchgclient.html