デフォルトで、サーバーの Secure Sockets Layer (SSL) 構成は、管理コンソールのトポロジー表示で、中央の場所から管理されます。SSL 構成と証明書の別名は、特定の管理有効範囲と関連付けることができます。 この方法は、サーバーのトポロジーが変更された場合、最も効率良く構成の処理と変更が行うことができる方法です。
以前のリリースでは、SSL の構成は各プロセスごとに管理されます。 トポロジーの各 SSL 構成の個々の設定を維持する必要があります。 このリリースの WebSphere Application Server では、SSL 構成を管理部分で制御することにより、柔軟性が増し、オプションも増えます。 セル有効範囲を使用して、トポロジー全体の詳細な変更を行い、また、特定のアプリケーション・サーバー・プロセスに特定のエンドポイント名を使用して、おおまかな変更を行うこともできます。 SSL 構成の関連により、継承の振る舞いが明らかになるため、固有の構成を必要とする 最上位レベルの管理有効範囲のみを参照することにより、関連の数を簡素化することができます。
トポロジー表示は、有効範囲のメカニズムを提供します。SSL 構成は、トポロジー表示で確認できる SSL 構成のスコープを継承します。有効範囲には、構成を作成したレベルおよびそれより低いすべてのレベルが含まれます。特定のノードで SSL 構成を作成する場合、そのノード・エージェントおよびそのノードの一部であるすべての アプリケーション・サーバーが構成を認識できます。 この特定のノードの一部ではないアプリケーション・サーバーやノードは、この SSL 構成を認識できません。
セキュリティー環境は、トポロジーにおける SSL 構成および証明書の別名の配置同様、SSL 構成の固有性等の問題に影響します。 インバウンド対アウトバウンドの接続に対して、 異なる証明書の別名と SSL 構成を構成できます。
インバウンド・トポロジー およびアウトバウンド・トポロジーを 構成する (管理コンソールで 別々に構成する必要があります) には、 「セキュリティー」>「SSL 証明書 および鍵管理」>「エンドポイント・ セキュリティー構成の管理」>「Inbound | Outbound」と クリックしてください。
<sslConfigGroups xmi:id="SSLConfigGroup_1" name="myhostNode01" direction="inbound" certificateAlias="default" sslConfig="SSLConfig_1" managementScope="ManagementScope_1"/> <sslConfigGroups xmi:id="SSLConfigGroup_2" name="myhostNode01" direction="outbound" certificateAlias="default" sslConfig="SSLConfig_1" managementScope="ManagementScope_1"/> <managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostNode01Cell:(node):myhostNode01" scopeType="node"/>
<repertoire xmi:id="SSLConfig_1" alias="NodeDefaultSSLSettings" managementScope="ManagementScope_1"> <setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" securityLevel="HIGH" enabledCiphers="" jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS" keyStore="KeyStore_1" trustStore="KeyStore_2" trustManager="TrustManager_1" keyManager="KeyManager_1"/> </repertoire>SSLConfig_1 SSL 構成に関連付けられた鍵ストアも 統合されます。key.p12 は、構成リポジトリーのノード・ディレクトリーに置かれます。
<keyStores xmi:id="KeyStore_1" name="NodeDefaultKeyStore" password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMJCE" location="${USER_INSTALL_ROOT}/config/cells/myhostNode01Cell/nodes /myhostNode01/key.p12" type="PKCS12" fileBased="true" hostList="" initializeAtStartup="true" managementScope="ManagementScope_1"/> <keyStores xmi:id="KeyStore_2" name="NodeDefaultTrustStore" password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMJCE" location="${USER_INSTALL_ROOT}/config/cells/myhostNode01Cell /nodes/myhostNode01/trust.p12" type="PKCS12" fileBased="true" hostList="" initializeAtStartup="true" managementScope="ManagementScope_1"/>