SSL 構成の中央管理

デフォルトで、サーバーの Secure Sockets Layer (SSL) 構成は、管理コンソールのトポロジー表示で、中央の場所から管理されます。 SSL 構成と証明書の別名は、特定の管理有効範囲と関連付けることができます。 この方法は、サーバーのトポロジーが変更された場合、最も効率良く構成の処理と変更が行うことができる方法です。

以前のリリースでは、SSL の構成は各プロセスごとに管理されます。 トポロジーの各 SSL 構成の個々の設定を維持する必要があります。 このリリースの WebSphere® Application Server では、SSL 構成を管理部分で制御することにより、オプションが増え、柔軟性も増します。 セル有効範囲を使用して、トポロジー全体の詳細な変更を行い、また、特定のアプリケーション・サーバー・プロセスに特定のエンドポイント名を使用して、おおまかな変更を行うこともできます。 SSL 構成の関連により、継承の振る舞いが明らかになるため、固有の構成を必要とする 最上位レベルの管理有効範囲のみを参照することにより、関連の数を簡素化することができます。

トポロジー表示は、有効範囲のメカニズムを提供します。SSL 構成は、トポロジー表示で確認できる SSL 構成のスコープを継承します。有効範囲には、構成を作成したレベルと、その有効範囲を指すそれ以降のすべてのレベルが含まれます。特定のノードで SSL 構成を作成する場合、そのノード・エージェントおよびそのノードの一部であるすべての アプリケーション・サーバーが構成を認識できます。 この特定のノードの一部ではないアプリケーション・サーバーやノードは、この SSL 構成を認識できません。

セキュリティー環境は、トポロジーにおける SSL 構成および証明書の別名の配置と同様に、SSL 構成の固有性などの問題に影響します。 インバウンド対アウトバウンドの接続に対して、 異なる証明書の別名と SSL 構成を構成できます。

インバウンド・トポロジーおよびアウトバウンド・トポロジーを構成する (管理コンソールで別々に構成する必要があります) には、 「セキュリティー」 > 「SSL 証明書および鍵管理」 > 「エンドポイント・ セキュリティー構成の管理」 > 「インバウンド | アウトバウンド」をクリックしてください。

デフォルトの中央管理対象の SSL 構成

管理コンソールのトポロジー表示で SSL 構成を 中央管理するほうが簡単ですが、AdminTasks 内で wsadmin スクリプトを使用して SSL 構成を管理することもできます。

security.xml ファイルの構成要素は、SSL 構成の関連の管理に使用することができます。sslConfigGroup 構成オブジェクトは、接続方向と管理有効 範囲を特定の SSL 構成および証明書の別名と関連付けるのに使用されるメカニズムです。 デフォルトの sslConfigGroups セル属性は、セル内の各エンドポイントが継承する、定義済みのインバウンドおよび アウトバウンドのセルを有効範囲とする構成を持ちます。 SSL 構成を選択する場合には、優先順位の規則を指針とする必要があるため、wsadmin スクリプトを使用して構成を変更する前に Secure Sockets Layer (SSL) を使用したセキュア通信を参照してください。
<sslConfigGroups xmi:id="SSLConfigGroup_1"
name="myhostCell01" direction="inbound" certificateAlias="default"
sslConfig="SSLConfig_1" managementScope="ManagementScope_1"/>
<sslConfigGroups xmi:id="SSLConfigGroup_2" name="myhostCell01"
direction="outbound" certificateAlias="default" sslConfig="SSLConfig_1"
managementScope="ManagementScope_1"/>

<managementScopes xmi:id="ManagementScope_1"
scopeName="(cell):myhostCell01" scopeType="cell"/>

上記のサンプル・コードで、sslConfigGroups 属性はセル管理有効範囲を参照しています。 この例では、別の有効範囲まで意図した場合、以下のリストで、選択した管理有効範囲の優先順を優先順位の高いものから低いものの順に表示します。エンドポイント有効範囲が定義されるたびに、指定した SSL 構成と証明書の別名が使用されます。

エンドポイント有効範囲
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
 (node):myhostNode01:(server):server1:(endpoint):ENDPOINT_NAME_IN_SERVERINDEX"
scopeType="endpoint"/>
サーバー有効範囲
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01:(server):server1" scopeType="server"/>
クラスター有効範囲
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(cluster):myCluster" scopeType="cluster"/>
ノード有効範囲
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01" scopeType="node"/>
ノード・グループ有効範囲
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(nodegroup):DefaultNodeGroup" scopeType="nodegroup"/>
セル有効範囲
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01"
scopeType="cell"/>

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sslcentralmanconfigs
ファイル名:csec_sslcentralmanconfigs.html