サーバー W50100x 以降を実行している WebSphere® Application Server for z/OS® カスタマーは、Java™ Development Kit 1.3 レベル SR20 以降で、WebSphere Application Server システムを変更し、Java Secure Sockets Extension (JSSE) および Secure Sockets Layer (SSL) に System Authorization Facility (SAF) を使用することができます (これによって、階層ファイル・システム (HFS) で重複証明書を保守する必要性が除去されます)。
始める前に
W502000 より前の保守レベルで稼働している WebSphere Application
Server for z/OS では、
以下の Software Development Kit (SDK) の制限のため、異なる 2 つの場所にデジタル証明書情報が保管されていました。
- JSSE は、階層ファイル・システムのファイルに保管されたデジタル証明書を使用しました。
- SSL は、SAF データベースに保管されたデジタル証明書情報を使用しました。
W502000 以降でカスタマイズされたシステムは、デフォルトで単一 SAF デジタル証明書リポジトリーを使用し、以下の変更を必要としません。
このタスクについて
サーバー W50100x 以降を実行している WebSphere
Application Server for z/OS カスタマーは、Java Development Kit 1.3 レベル SR20 以降で、WebSphere Application Server システムを変更し、JSSE および SSL に SAF を使用することができます (HFS で重複証明書を保守する必要性を除去します)。
以下の説明では、このサポートを使用可能にする方法を説明しています。
注: W502000 以降の保守レベルでカスタマイズされたシステムは、デフォルトで単一 SAF デジタル証明書リポジトリーを使用し、これらのシステムは以下の変更を必要としません。
SAF 証明書を JSSE とともに使用するには、以下のことを行います。
手順
- Java Management Extensions (JMX) コネクター設定を更新し、ノードの SAF 鍵リング名を表します。
- 管理者権限と ID を使用して管理コンソールにログインします。
- 「サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。
- 「サーバー・インフラストラクチャー」の下の「管理」>「管理サービス」をクリックします。
- 「追加プロパティー」の下の「JMX コネクター」をクリックします。
- 「JMX コネクター」パネルで、「SOAPConnector」をクリックします。
- 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
- 「カスタム・プロパティー」ページで、「sslConfig」をクリックします。
- 「sslConfig」ページで、「値」フィールドを見ます。このフィールドに node_name/DefaultSSLSettings が
入っているかどうか検証します。ここで、nodename はアプリケーション・サーバーがあるノード名を示します。
次のステップのためにノード名を記録します。
- 「値」フィールドの隣のリストから「node_name/RACFJSSESettings」を選択します。ここで、node_name は先に記録したノード名と同じです。
- 「OK」をクリックします。 「カスタム・プロパティー」ページは、ローカル構成が変更されたことを示す
メッセージとともに表示されます。
追加の変更が必要なため、「保存」をクリックしないでください。
- 「サーバー」>「アプリケーション・サーバー」をクリックし、セル内の他のアプリケーション・サーバーのそれぞれに対し上記のサブステップを繰り返します。
- Java Management Extensions (JMX) コネクター設定を更新し、デプロイメント・マネージャー・ノードの SAF 鍵リング名を表します。
- 「システム管理」>「デプロイメント・マネージャー」とクリックします。
- 「追加プロパティー」の下の「管理サービス」>「JMX コネクター」をクリックします。
- 「JMX コネクター」パネルで、「SOAPConnector」をクリックします。
- 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
- 「カスタム・プロパティー」ページで、「sslConfig」をクリックします。
- 「sslConfig」ページで、「値」フィールドを見ます。このフィールドは、dmnode/DefaultSSLSettings
を表示します。ここで、dmnode はデプロイメント・マネージャー・ノード名を示しています。次のステップのためにノード名を記録します。
- 「値」フィールドの隣のリストから「dmnode/RACFJSSESettings」を選択します。ここで、dmnode はデプロイメント・マネージャー・ノード名を示します。
- 「OK」をクリックします。 しばらくすると、
「カスタム・プロパティー」ページに、ローカル構成に変更が加えられたことを示すメッセージが表示されます。追加の変更が必要なため、この時点で「保存」をクリックしないでください。
- Java Management Extensions (JMX) コネクター設定を更新し、ノード・エージェントの SAF 鍵リング名を表します。
- 「システム管理」>「ノード・エージェント」>
「Node_name」とクリックします。 次のステップのためにノード・エージェント名を記録します。
- 「追加プロパティー」の下の「管理サービス」>「JMX コネクター」をクリックします。
- 「JMX コネクター」パネルで、「SOAPConnector」をクリックします。
- 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
- 「カスタム・プロパティー」ページで、「sslConfig」をクリックします。
- 「sslConfig」ページで、「値」フィールドを見ます。このフィールドは nodename/DefaultSSLSettings
を表示します。ここで、nodename はノード・エージェントがあるノード名です。
次のステップのためにノード名を記録します。
- 「値」フィールドの隣のリストから「nodename/RACFJSSESettings」を選択します。ここで、nodename は先に記録したノード名です。
- 「OK」をクリックします。 「カスタム・プロパティー」ページは、ローカル構成が変更されたことを示す
メッセージとともに表示されます。
追加の変更が必要なため、この時点で「保存」をクリックしないでください。
- 「システム管理」>「ノード・エージェント」をクリックし、セル内の他のノード・エージェント・サーバーのそれぞれに対し上記のサブステップを繰り返します。
- 「ローカル構成が変更されました。「保存」をクリックすると、変更がマスター構成に適用されます。」というメッセージが表示されたら、「保存」をクリックします。
- 「保存」ページで「ノードと変更を同期化」オプションを選択し、「保存」をクリックします。 変更が保存されると、管理コンソールはホーム・ページに戻ります。
- profile_root/properties ディレクトリーの
soap.client.props ファイルを更新し、構成に適切な SAF 鍵リング名を示します。 soap.client.props ファイルは、wsadmin.sh スクリプトによって使用され、アプリケーション・サーバーまたはデプロイメント・マネージャー (user.install.root)/properties ファイルにあります。
soap.client.props ファイルの目的は、wsadmin.sh などの SOAP クライアントによって使用される値を指定することです。WebSphere Application
Server for z/OS 保守レベル W502000 より前の保守レベルで構成されたセルで、soap.client.props ファイルは JSSE によって使用される Java 鍵ストアの名前を表します。
ご使用のセルが JSSE 管理に SAF 鍵リングを使用している場合は、SAF 鍵リングが SOAP クライアントに使用されているか検証します。
soap.client.props ファイルは wsadmin.sh スクリプトによって使用されます。
wsadmin クライアント SAF 鍵リングの変更には、
soap.client.props ファイルの更新および管理者の鍵リングの作成が必要です。
以下の値を指定してください。
com.ibm.ssl.protocol=SSL
com.ibm.ssl.keyStoreType=JCERACFKS
com.ibm.ssl.keyStore=safkeyring:///yourkeyringName
com.ibm.ssl.keyStorePassword=password
com.ibm.ssl.trustStoreType=JCERACFKS
com.ibm.ssl.trustStore=safkeyring:///yourKeyringName
com.ibm.ssl.trustStorePassword=password
=
指定されたパスワードの値は、任意のストリングを使用することができるため、本物のパスワードを示しません。
ストリング yourKeyringName をご使用の管理 SAF 鍵リングと置き換えてください。すべての WebSphere 管理者が使用する鍵リング名および管理始動済みタスク・ユーザー ID (デフォルト WSADMSH) は同じでなければなりません。
さらに、SAF 鍵リングおよびセキュリティーが使用可能な場合、鍵リングは SOAP コネクターとともに wsadmin.sh ファイルを使用する各ユーザーに作成されなければなりません。
(鍵リングは、WSADMIN など、初期の管理ユーザー ID にカスタマイズ・プロセスによって作成されます。)
SAF で管理ユーザーのために鍵リングを作成する方法の説明は、WebSphere Application Server 管理者向けの SSL の考慮事項に記載されています。
- セルをリサイクルします。