Secure Sockets Layer (SSL) により、ハンドシェーク中にサーバーへ接続しようとするクライアントは、 まずサーバー認証を必ず行うことができます。 SSL 構成をノード、アプリケーション・サーバー、クラスターの有効範囲で使用すると、 セキュア・ポートを介しての相互通信が許可されていないサーバー間の通信を分離することができます。
WebSphere Application Server により制御される通信を分離しようとする前に、デプロイメント・トポロジーおよびアプリケーション環境についてよく理解しておくことが必要です。 ノード、アプリケーション・サーバー、またはクラスターを分離するには、SSL 構成と関連付けられたトラストストアに含まれる署名者を制御できなければなりません。 クライアントにサーバー署名者が存在しない場合は、サーバーへの接続は確立できません。 自己署名証明書を使用する場合は、自己署名証明書を管理する必要があっても、個人証明書を作成したサーバーは署名者を制御します。 認証局 (CA) から証明書を取得する場合は、複数の CA 署名者を取得する必要があります。すべてのサーバーが同じ署名者を共用している場合、それらのサーバーはお互いに接続できるからです。
サーバーを分離する必要がある場合、 接続のサーバー・サイドだけを認証しても、 十分に保護されているとはいえません。 クライアントはサーバーの署名者証明書を取得し、それをトラストストアに追加できます。 どのクライアント証明書を信頼できるかを決定することにより、サーバーが接続を制御できるように、サーバー間で SSL クライアント認証も使用可能にする必要があります。 詳しくは、特定のインバウンド・エンドポイントに対する Secure Sockets Layer クライアント認証の使用可能化 を参照してください。 これは、セル・レベルで SSl クライアント認証を使用可能にする場合にも適用されます。
分離では、セル内のすべてのエンドポイントまたはほとんどエンドポイントに対して、中央管理対象の SSL 構成を 使用することも必要です。 直接選択またはエンドポイント構成選択とは異なり、中央管理対象構成では有効範囲を設定でき、それによって SSL 構成、鍵ストア、およびトラストストアを特定の有効範囲で作成できます。 WebSphere Application Server セルの継承の階層のため、SSL 構成に必要なプロパティーだけを選択すると、それらのプロパティーだけが選択した有効範囲以下で定義されます。 例えば、ノード有効範囲で構成すると、構成はノード有効範囲よりも下のアプリケーション・サーバーと個々のエンドポイントに適用されます。 詳しくは、Secure Sockets Layer 構成とインバウンドの有効範囲およびアウトバウンドの有効範囲との一元的関連付け 、エンドポイント構成から SSL 構成の別名を直接選択 、およびSecure Sockets Layer 構成と、アウトバウンド・プロトコルおよびリモート・セキュア・エンドポイントとの動的関連付け を参照してください。
暗号鍵を含む鍵ストアを構成する場合は、SSL 構成を定義するのと同じ有効範囲で作業することが必要で、より高 い有効範囲では作業しないでください。 例えば、ホスト名が識別名 (DN) の一部である証明書を含む鍵ストアを作成する場合は、その鍵ストアを構成リポジトリーのノード・ディレクトリーに保管します。 アプリケーション・サーバーの証明書を作成する場合は、その鍵ストアをアプリケーション・サーバー・ディレクトリーのアプリケーション・サーバー上に保管します。
サーバー上で信頼に関する決定を制御するトラストストアを構成する場合、どの程度、アプリ ケーション・サーバーを分離するかを検討する必要があります。 アプリケーション・サーバーは、ノード・エージェントまたはデプロイメント・マネージャーから分離することはで きません。 ただし、SOAP コネクターのエンドポイントを、同じ個人証明書を使用して構成したり、信頼を共用することは可能です。 IIOP 接続がデプロイメント・マネージャーを通る際には、パーシスタンスのネーミングに IIOP 接続が必要です。 サーバー開始時にはアプリケーション・サーバーが常にノード・エージェントに接続するため、IIOP プロトコルでは WebSphere Application Server がアプリケーション・サーバーとノード・エージェント間に信頼を確立することが必要です。
デフォルトで、WebSphere Application Server はノードを簡単に分離できるよう、ノードごとに 1 つの自己署名証明書を使用します。構成リポジトリーのセル・ディレクトリーにある共 通トラストストアは、セルに統合される各ノードのすべての署名者を含んでいます。 統合後、各セルのプロセスは、他のセルのすべてのプロセスを信頼します。これは、すべての SSL 構成が共通トラス トストアを参照するからです。
SSL 構成をこの鍵ストアおよびトラストストアと関連付ける場合は、セル有効範囲のトラストストアとのリンクを切断します。 ノードを完全に分離するためには、このプロセスをセル内のノードごとに繰り返します。 WebSphere Application Server SSL 構成はセル有効範囲をオーバーライドし、代わりにノード有効範囲を使用して、 この有効範囲で各プロセスが、この有効範囲で選択した SSL 構成と有効範囲の証明書の別名を使用するようにし ます。 nodeA 署名者が共通トラストストアにあり、セル署名者が nodeA トラストストアにあることを保証することにより、 十分な管理上の信頼を確立します。 同じロジックは、ノード B にも同様に適用されます。詳しくは、Secure Sockets Layer 構成とインバウンドの有効範囲およびアウトバウンドの有効範囲との一元的関連付け を参照してください。
動的構成により、ノード A の server1 は、IIOP を介する場合にのみ、ノード B の server 1 と通 信する ことができます。動的アウトバウンド規則は、IIOP,nodeBhostname,* です。詳しくは、Secure Sockets Layer 構成と、アウトバウンド・プロトコルおよびリモート・セキュア・エンドポイントとの動的関連付け を参照してください。
有効範囲を中央のノード・レベルにしたり、動的なサーバー・レベ ルにする代わりに、アプリケーション・サーバーをクラスターに構成して、クラスター SSL 分離を確立することができま す。 クラスター・サーバーはお互いに通信できますが、クラスター外のアプリケーション・サーバーはお互いに通信できません。このようにして、クラスター・サーバーを分離します。 例えば、クラスター・サーバー間で基本的な信頼レベルを維持しながら、さまざまな部門からアプリケーションを分 離しなければならない場合があります。 サーバーの場合で上記に説明した動的アウトバウンド SSL 構成の方法を使用して、分離したクラスターを、必要 に応じて、簡単に拡張することができます。
IIOP,nodeAhostname,9403|IIOP,nodeAhostname,9404|IIOP,nodeBhostname,9403|IIOP,nodeBhostname,9404cluster1 有効範囲で、cluster2 署名者を含む新しい trust.p12 ファイルが存在する、別の SSL 構成を作成 する必要があります。 この結果、アウトバウンド IIOP 要求は nodeAhostname ポートの 9403 と 9404 か、または nodeBhostname ポートの 9403 と 9404 に移動します。cluster2 のこれらの 2 つのアプリケーション・サーバー・プロセス上の IIOP SSL ポー ト番号が、ポートを識別します。
この項目では、SSL の観点から見た分離方法の概要を示していますが、非 SSL ポ ートが閉じられていること、またはアプリケーションではデプロイメント記述子で機密性に関する制約が必要となる ことも確認する必要があります。 例えば、CSIv2 インバウンド・トランスポート・パネルを設定して SSL を必須にし、サーバー・ポート構成から、セ キュアでないチャネル・ポートを使用不可にすることができます。
また、SSL クライアント認証を使用可能にして、SSL が接続の両側で分離要件を実行できるようにする必要があります。 SSL クライアントの相互認証がなければ、クライアントはプログラマチックにサーバーの署名者を簡単に取得し、これに より、分離という目標を迂回することができます。 SSL クライアント認証がある場合、接続を正常に実行するために、サーバーはクライアントの署名者を必要とします。 HTTP/S プロトコルの場合は、クライアントは通常は、ブラウザー、Web サービス、または URL 接続です。 IIOP/S プロトコルの場合、クライアントは通常は、別のアプリケーション・サーバーまたは Java クライアントです。 WebSphere Application Server は、SSL クライアント認証を使用可能にできるかどうかを判別するために、クライアントを知る必要があります。 公開プロトコルを介して使用可能なアプリケーションは、SSL クライアント認証を使用可能にしてはいけません。ク ライアントが、サーバーを認証するための証明書を取得できないことがあるからです。