バージョン 9.0 にマイグレーションする場合、SSL 構成のフォーマットを更新することも、前のバージョンのフォーマットを引き続き使用することもできます。既存の SSL 構成の管理スクリプトでエラーが発生する場合は、このタスクを使用して、手動で SSL 構成を バージョン 9.0 フォーマットに変換してください。
始める前に
サポートされる構成: この項目では、プロファイル構成マイグレーションについて説明します。アプリケーションを最新バージョンにマイグレーションするには、WebSphere® Application Server Migration Toolkit を使用します。詳しくは、WASdev の Migration Toolkit を参照してください。
sptcfg
このタスクについて
![[IBM i]](../images/iseries.gif)
バージョン 9.0 にマイグレーションする際に、WASPreUpgrade コマンドを使用して、前にインストールされたバージョンの構成をマイグレーション固有のバックアップ・ディレクトリーに保存できます。マイグレーションが完了したら、WASPostUpgrade コマンドを使用して、保存した構成と WASPostUpgrade スクリプトを取り出し、前の構成をマイグレーションすることができます。
WASPostUpgrade コマンドの -scriptCompatibility パラメーターを使用して、6.1 以上の構成定義を維持するかどうか、あるいはフォーマットを バージョン 9.0 構成定義にアップグレードするかどうかを指定します。
マイグレーション時にデフォルト値の -scriptCompatibility true を使用した場合は、このタスクを実行する必要はありません。マイグレーション時に scriptCompatibility パラメーターを false に設定した場合、既存の SSL 構成の管理スクリプトが正常に機能しない場合があります。その場合は、このタスクを使用して、6.1 以上の SSL 構成定義を バージョン 9.0 に変換してください。この処理では、既存の構成に基づいて新規の SSL 構成が作成されます。
既存の SSL 構成を変更するには、以下の手順に従います。
<repertoire xmi:id="SSLConfig_1" alias="Node02/DefaultSSLSettings">
<setting xmi:id="SecureSocketLayer_1" keyFileName="$install_root/etc/MyServerKeyFile.jks"
keyFilePassword="password" keyFileFormat="JKS" trustFileName="$install_root/etc/MyServerTrustFile.jks"
trustFilePassword="password" trustFileFormat="JKS" clientAuthentication="false" securityLevel="HIGH"
enableCryptoHardwareSupport="false">
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password="{custom}"/>
<properties xmi:id="Property_6" name="com.ibm.ssl.protocol" value="SSL"/>
<properties xmi:id="Property_7" name="com.ibm.ssl.contextProvider" value="IBMJSSE2"/>
</setting>
</repertoire>
手順
- 以前の構成内の鍵ストア属性を参照する、鍵ストアを作成します。
- 既存の構成内で、keyFileName、keyFilePassword、および keyFileFormat の各属性を検索します。
keyFileName="${install_root}/etc/MyServerKeyFile.jks" keyFilePassword="password" keyFileFormat="JKS"
- keyFileName、keyFilePassword、および keyFileFormat の各属性を使用して、新規の鍵ストア・オブジェクトを作成します。この例では、名前を「DefaultSSLSettings_KeyStore」に設定します。
非推奨の機能 (Deprecated feature): JACL を使用:
$AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_KeyStore -keyStoreLocation
${install_root}/etc/MyServerKeyFile.jks -keyStoreType JKS -keyStorePassword
password -keyStorePasswordVerify password }
depfeat
この結果作成された
security.xml ファイル内の構成オブジェクトは、以下のとおりです。
<keyStores xmi:id="KeyStore_1" name="DefaultSSLSettings_KeyStore" password="password"
provider="IBMJCE" location="$install_root/etc/MyServerKeyFile.jks" type="JKS" fileBased="true"
managementScope="ManagementScope_1"/>
注: 構成で cryptoHardware 値を指定した場合は、代わりにこれらの値を使用して、鍵ストア・オブジェクトを作成します。-keyStoreLocation パラメーターを libraryFile 属性と関連付け、- keyStoreType パラメーターを tokenType 属性と関連付け、-keyStorePassword パラメーターを password 属性と関連付けます。
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password=""/>
- 既存の構成からのトラストストア属性を参照する、トラストストアを作成します。
- 既存の構成内の trustFileName、trustFilePassword、および trustFileFormat の各属性を検索します。
trustFileName="$install_root/etc/MyServerTrustFile.jks" trustFilePassword="password"
trustFileFormat="JKS"
- trustFileName、trustFilePassword、および trustFileFormat の各属性を使用して、新規の鍵ストア・オブジェクトを作成します。この例では、名前を「DefaultSSLSettings_TrustStore」に設定します。
非推奨の機能 (Deprecated feature): JACL を使用:
$AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_TrustStore -keyStoreLocation
$install_root/etc/MyServerTrustFile.jks -keyStoreType JKS -keyStorePassword password
-keyStorePasswordVerify password }
depfeat
この結果作成された
security.xml ファイル内の構成オブジェクトは、以下のとおりです。
<keyStores xmi:id="KeyStore_2" name="DefaultSSLSettings_TrustStore" password="password"
provider="IBMJCE" location="$install_root/etc/MyServerTrustFile.jks" type="JKS" fileBased="true"
managementScope="ManagementScope_1"/>
- 新規の鍵ストアとトラストストアを使用して、新規の SSL 構成を作成します。既存の構成から、引き続き有効な他の属性をすべて含めます。
更新された SSL 構成には、新規の別名を使用します。既存の構成と同じ名前を持つ SSL 構成を作成することはできません。
非推奨の機能 (Deprecated feature): Jacl を使用:
$AdminTask createSSLConfig {-alias DefaultSSLSettings -trustStoreName DefaultSSLSettings_TrustStore
-keyStoreName DefaultSSLSettings_KeyStore -keyManagerName IbmX509 -trustManagerName IbmX509
-clientAuthentication true -securityLevel HIGH -jsseProvider IBMJSSE2 -sslProtocol SSL }
depfeat
タスクの結果
新規の SSL 構成は、以下のとおりです。
<repertoire xmi:id="SSLConfig_1" alias="DefaultSSLSettings" managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" securityLevel="HIGH" enabledCiphers=""
jsseProvider="IBMJSSE2" sslProtocol="SSL" keyStore="KeyStore_1" trustStore="KeyStore_2"
trustManager="TrustManager_1" keyManager="KeyManager_1"/>
</repertoire>
注: 管理の有効範囲が指定されていない場合は、デフォルトの管理有効範囲が使用されます。