SSL での Web サーバー・プラグインのデフォルト構成
新規 Web サーバー定義を作成する場合、WebSphere® Application Server は Web サーバー・プラグインを特定ノードの Certificate Management Services (CMS) 鍵ストアと関連付けます。鍵ストアには、そのノードに所属する自己署名証明書またはチェーン証明書を持つ 現行セルのすべての署名者が含まれています。プラグインは、Secure Sockets Layer (SSL) クライアント認証を使用可能にして構成する場合も、WebSphere Application Server とセキュアに通信することができます。
ノード myhostNode01 上で、Web サーバー定義を webserver1 に設定する場合、 WebSphere Application Server は鍵ストア構成を作成します。この鍵ストアの有効範囲は webserver1 サーバーであるため 、この鍵ストアはこのサーバーに対してのみ可視になります。 他のプロセスは、この鍵ストア定義を使用することはできません。
鍵ストアのデフォルトのパスワードは、WebAS です。管理コンソールまたは該当する AdminTask コマンドを使用して、
デフォルトの鍵ストア・パスワードを変更することができます。
また、管理有効範囲ごとに、1 つの
CMSKeyStore 項目のみを作成できます。有効範囲 (cell):myhostCell01:(node):myhostNode01:(server):webserver1 に CMS 鍵ストアが既に存在している場合は、別の CMSKeyStore 項目を作成することはできません。その特定のノードに
まだ自己署名証明書が存在していない場合は、WebSphere Application Server ではプラグイン名を使用して
自己署名証明書を作成します。ノードに既に自己署名証明書が存在している場合は、デフォルトで証明書は CMS 鍵ストアに入れられ、セルのすべて
の署名者が追加されます。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
<keyStores xmi:id="KeyStore_1132357815719" name="CMSKeyStore"
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMCMSProvider"
location="C:¥WASX_e0540.11¥AppServer¥profiles¥AppSrv01/config/cells
/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb"
type="CMSKS" fileBased="true" createStashFileForCMS="true"
managementScope="ManagementScope_1132357815718"/>
<managementScopes xmi:id="ManagementScope_1132357815718" scopeName="
(cell):myhostCell01:(node):myhostNode01:(server):webserver1" scopeType="server"/>
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
C:¥WebSphere¥AppServer¥profiles¥Dmgr01¥config¥cells¥myhostCell01¥nodes
¥myhostNode01¥servers¥webserver1¥plugin-key.kdb
C:¥WebSphere¥AppServer¥profiles¥Dmgr01¥config¥cells¥myhostCell01
¥nodes¥myhostNode01¥servers¥webserver1¥plugin-key.sth
鍵ストアのデフォルトのパスワードは、WebAS です。
管理コンソールまたは該当する AdminTask コマンドを使用して、
デフォルトの鍵ストア・パスワードを変更することができます。
この CMS 鍵ストアを作成するために使用できる AdminTask コマンドを、
次のサンプル・コードで紹介します。
$AdminTask createCMSKeyStore /config/cells/myhostCell01/nodes/myhostNode01
/servers/webserver1/plugin-key.kdb myhost.austin.ibm.com
前の例について、以下の特性に注意して
ください。
- 管理有効範囲ごとに、1 つの CMSKeyStore 項目のみを作成できます。有効範囲 (cell):myhostCell01:(node):myhostNode01:(server):webserver1 に CMS 鍵ストアが既に存在している場合は 、別の CMSKeyStore 項目を作成することはできません。
- 鍵ストア名の URI は、/config/cells/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb です。
- プラグイン・ロケーションのホスト名は myhost.austin.ibm.com です。その特定のノードにまだ チェーン証明書が存在していない場合、WebSphere Application Server は、この名前を使用してチェーン証明書を作成します。ノードに既に チェーン証明書が存在している場合は、デフォルトで証明書は CMS 鍵ストアに入れられ、セルのすべて の署名者が追加されます。
追加ノードを統合する場合、これらのノードの署名者は CMS 鍵ストアの各 Web サーバーに自動的に追加されません。 Web サーバー・プラグインが新規に統合されたノードと通信できるようにするには、CMSKeyStore 鍵ストアと手動で署名者を交換する必要があります。管理コンソールの鍵ストア証明 書管理機能を使用して、署名者を交換します。 詳しくは、正しい SSL 署名者証明書のプラグイン鍵ストアへの追加を参照してください。