[AIX Solaris HP-UX Linux Windows][IBM i]

マイグレーション後の SSL 構成の バージョン 9.0 構成定義への更新

バージョン 9.0 にマイグレーションする場合、SSL 構成のフォーマットを更新することも、前のバージョンのフォーマットを引き続き使用することもできます。既存の SSL 構成の管理スクリプトでエラーが発生する場合は、このタスクを使用して、手動で SSL 構成を バージョン 9.0 フォーマットに変換してください。

始める前に

サポートされる構成 サポートされる構成:

この項目では、プロファイル構成マイグレーションについて説明します。アプリケーションを最新バージョンにマイグレーションするには、WebSphere® Application Server Migration Toolkit を使用します。詳しくは、WASdev の Migration Toolkit を参照してください。

sptcfg

このタスクについて

[IBM i][AIX Solaris HP-UX Linux Windows]バージョン 9.0 にマイグレーションする際に、WASPreUpgrade コマンドを使用して、前にインストールされたバージョンの構成をマイグレーション固有のバックアップ・ディレクトリーに保存できます。マイグレーションが完了したら、WASPostUpgrade コマンドを使用して、保存した構成と WASPostUpgrade スクリプトを取り出し、前の構成をマイグレーションすることができます。 WASPostUpgrade コマンドの -scriptCompatibility パラメーターを使用して、6.1 以上の構成定義を維持するかどうか、あるいはフォーマットを バージョン 9.0 構成定義にアップグレードするかどうかを指定します。 マイグレーション時にデフォルト値の -scriptCompatibility true を使用した場合は、このタスクを実行する必要はありません。マイグレーション時に scriptCompatibility パラメーターを false に設定した場合、既存の SSL 構成の管理スクリプトが正常に機能しない場合があります。その場合は、このタスクを使用して、6.1 以上の SSL 構成定義を バージョン 9.0 に変換してください。この処理では、既存の構成に基づいて新規の SSL 構成が作成されます。

既存の SSL 構成を変更するには、以下の手順に従います。
<repertoire xmi:id="SSLConfig_1" alias="Node02/DefaultSSLSettings">
<setting xmi:id="SecureSocketLayer_1" keyFileName="$install_root/etc/MyServerKeyFile.jks"
keyFilePassword="password" keyFileFormat="JKS" trustFileName="$install_root/etc/MyServerTrustFile.jks"
trustFilePassword="password" trustFileFormat="JKS" clientAuthentication="false" securityLevel="HIGH" 
enableCryptoHardwareSupport="false">
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password="{custom}"/>
<properties xmi:id="Property_6" name="com.ibm.ssl.protocol" value="SSL"/>
<properties xmi:id="Property_7" name="com.ibm.ssl.contextProvider" value="IBMJSSE2"/>
</setting>
</repertoire>

手順

  1. 以前の構成内の鍵ストア属性を参照する、鍵ストアを作成します。
    1. 既存の構成内で、keyFileNamekeyFilePassword、および keyFileFormat の各属性を検索します。
      keyFileName="${install_root}/etc/MyServerKeyFile.jks" keyFilePassword="password" keyFileFormat="JKS"
    2. keyFileNamekeyFilePassword、および keyFileFormat の各属性を使用して、新規の鍵ストア・オブジェクトを作成します。この例では、名前を「DefaultSSLSettings_KeyStore」に設定します。
      非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature): JACL を使用:
      $AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_KeyStore -keyStoreLocation 
      ${install_root}/etc/MyServerKeyFile.jks -keyStoreType JKS -keyStorePassword 
      password -keyStorePasswordVerify password }
      depfeat
      この結果作成された security.xml ファイル内の構成オブジェクトは、以下のとおりです。
      <keyStores xmi:id="KeyStore_1" name="DefaultSSLSettings_KeyStore" password="password" 
      provider="IBMJCE" location="$install_root/etc/MyServerKeyFile.jks" type="JKS" fileBased="true" 
      managementScope="ManagementScope_1"/>
      注: 構成で cryptoHardware 値を指定した場合は、代わりにこれらの値を使用して、鍵ストア・オブジェクトを作成します。-keyStoreLocation パラメーターを libraryFile 属性と関連付け、- keyStoreType パラメーターを tokenType 属性と関連付け、-keyStorePassword パラメーターを password 属性と関連付けます。
      <cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password=""/>
  2. 既存の構成からのトラストストア属性を参照する、トラストストアを作成します。
    1. 既存の構成内の trustFileNametrustFilePassword、および trustFileFormat の各属性を検索します。
      trustFileName="$install_root/etc/MyServerTrustFile.jks" trustFilePassword="password" 
      trustFileFormat="JKS"
    2. trustFileNametrustFilePassword、および trustFileFormat の各属性を使用して、新規の鍵ストア・オブジェクトを作成します。この例では、名前を「DefaultSSLSettings_TrustStore」に設定します。
      非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature): JACL を使用:
      $AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_TrustStore -keyStoreLocation 
      $install_root/etc/MyServerTrustFile.jks -keyStoreType JKS -keyStorePassword password 
      -keyStorePasswordVerify password }
      depfeat
      この結果作成された security.xml ファイル内の構成オブジェクトは、以下のとおりです。
      <keyStores xmi:id="KeyStore_2" name="DefaultSSLSettings_TrustStore" password="password" 
      provider="IBMJCE" location="$install_root/etc/MyServerTrustFile.jks" type="JKS" fileBased="true" 
      managementScope="ManagementScope_1"/>
  3. 新規の鍵ストアとトラストストアを使用して、新規の SSL 構成を作成します。既存の構成から、引き続き有効な他の属性をすべて含めます。

    更新された SSL 構成には、新規の別名を使用します。既存の構成と同じ名前を持つ SSL 構成を作成することはできません。

    非推奨の機能 (Deprecated feature) 非推奨の機能 (Deprecated feature): Jacl を使用:
    $AdminTask createSSLConfig {-alias DefaultSSLSettings -trustStoreName DefaultSSLSettings_TrustStore
     -keyStoreName DefaultSSLSettings_KeyStore -keyManagerName IbmX509 -trustManagerName IbmX509 
    -clientAuthentication true -securityLevel HIGH -jsseProvider IBMJSSE2 -sslProtocol SSL  }
    depfeat

タスクの結果

新規の SSL 構成は、以下のとおりです。
<repertoire xmi:id="SSLConfig_1" alias="DefaultSSLSettings" managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" securityLevel="HIGH" enabledCiphers="" 
jsseProvider="IBMJSSE2" sslProtocol="SSL" keyStore="KeyStore_1" trustStore="KeyStore_2" 
trustManager="TrustManager_1" keyManager="KeyManager_1"/>
</repertoire>
注: 管理の有効範囲が指定されていない場合は、デフォルトの管理有効範囲が使用されます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_migratesecurity
ファイル名:txml_migratesecurity.html