Secure Socket Layer (SSL) 構成は、ほかの多くの構成オブジェクトを参照します。
新規の SSL 構成を作成する前に、それに対する有効な選択を行う助けとするために、既存の構成オブジェクトについての情報を参照してください。
既存のオブジェクトについての情報は、AdminTask オブジェクトの createSSLConfig コマンドを使用する、ノード有効範囲 SSL 構成の作成にも役に立ちます。
このタスクについて
このタスク内で情報を効果的に使用するために、
Secure Sockets Layer 構成の作成
の指示をよく理解してください。以下のタスクを実行して、ノード有効範囲上の Secure Socket
Layer (SSL) 構成を作成します。
プロシージャー
- 既存の構成オブジェクトをリストします。
以下のいずれかを実行します。
- 新規の SSL 構成を作成するために必要となる可能性のある構成オブジェクトのいくつかをリストします。
例えば、どの管理有効範囲がすでに定義済みかを表示したい場合など。
必要なものが存在しない場合は、それを作成します。
Jacl を使用:
$AdminTask listManagementScopes {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02}
Jython を使用:
AdminTask.listManagementScopes ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
これは、使用できる既存のセル有効範囲と既存のノード有効範囲を表示します。
異なる有効範囲を作成したい場合は、AdminTask オブジェクトの
createManagementScope コマンドを使用して、異なる有効範囲を定義します。
有効な範囲パラメーターは、セル、ノード・グループ、ノード、サーバー、クラスター、およびエンドポイントです。
有効範囲の定義について詳しくは、
Secure Sockets Layer 構成の中央管理
を参照してください。
- 鍵ストアおよびトラストストアを含む構成内に存在する鍵ストアをリストします。
Jacl を使用:
Jython を使用:
AdminTask.listKeyStores()
出力例:
CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
前の例は、セル有効範囲としても知られているデフォルトの管理有効範囲の鍵ストアのみをリストしています。
その他の有効範囲の鍵ストアを取得するには、以下のように
scopeName パラメーターを指定します。
Jacl を使用:
$AdminTask listKeyStores {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
Jython を使用:
$AdminTask listKeyStores ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
出力例:
CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
NodeDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924357)
NodeDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924377)
- 特定のトラスト・マネージャーまたは鍵マネージャーをリストします。
トラスト・マネージャーのオブジェクト名を確実に表示してください
複数のトラスト・マネージャーのインスタンスを指定できるので、SSL 構成のオブジェクト名が必要です。
Jacl を使用:
$AdminTask listTrustManagers {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true }
Jython を使用:
AdminTask.listTrustManagers ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true]')
出力例:
IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1)
IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_2)
IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924357)
IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924377)
- 対話モードでのノード有効範囲 SSL 構成を作成します。
ここで、そこから選ぶ必要のある情報を入手したので、これらのオブジェクトが十分なのか、それとも新規に作成する必要があるのかを決断する必要があります。
今の場合、構成内ですでに取得したものを再利用し、これらのオブジェクトに固有のタスク文書に対して、新規インスタンスの作成を保管します。
Jacl を使用:
$AdminTask createSSLConfig -interactive
Jython を使用:
AdminTask.createSSLConfig ('[-interactive]')
出力例:
SSL 構成を作成します。
*SSL Configuration Alias (alias): BIRKT40Node02SSLConfig
Management Scope Name (scopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Client Key Alias (clientKeyAlias): default
Server Key Alias (serverKeyAlias): default
SSL Type (type): [JSSE]
Client Authentication (clientAuthentication): [false]
Security Level of the SSL Configuration (securityLevel): [HIGH]
Enabled Ciphers SSL Configuration (enabledCiphers):
JSSE Provider (jsseProvider): [IBMJSSE2]
Client Authentication Support (clientAuthenticationSupported): [false]
SSL Protocol (sslProtocol): [SSL_TLS]
Trust Manager Object Names (trustManagerObjectNames): (cells/BIRKT40Cell02|security.xml#TrustManager_1)
*Trust Store Name (trustStoreName): NodeDefaultTrustStore
Trust Store Scope (trustStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
*Key Store Name (keyStoreName): NodeDefaultKeyStore
Key Store Scope Name (keyStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Key Manager Name (keyManagerName): IbmX509
Key Manager Scope Name (keyManagerScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Create SSL Configuration
F (Finish)
C (Cancel)
Select [F, C]: [F] F
WASX7278I: Generated command line: $AdminTask createSSLConfig {-alias BIRKT40Node02SSLConfig -scopeName
(cell):BIRKT40Cell02:(node):BIRKT40Node02 -clientKeyAlias default -serverKeyAlias default
-trustManagerObjectNames (cells/BIRKT40Cell02|security.xml#TrustManager_1) -trustStoreName
NodeDefaultTrustStore -trustStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyStoreName
NodeDefaultKeyStore -keyStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyManagerName
IbmX509 -keyManagerScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
- 構成の変更を保管します。詳しくは、wsadmin ツールによる構成変更の保管
の項目を参照してください。
結果
作成された SSL
構成オブジェクトの名前、例えば、
(cells/BIRKT40Cell02|security.xml#SSLConfig_1136652770753)
は、
security.xml ファイル内に表示されます。
security.xml ファイルの出力例:
<repertoire xmi:id="SSLConfig_1136652770753" alias="BIRKT40Node02SSLConfig" type="JSSE"
managementScope="ManagementScope_1134610924357">
<setting xmi:id="SecureSocketLayer_1136652770924" clientKeyAlias="default" serverKeyAlias="default"
clientAuthentication="false" securityLevel="HIGH" jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS"
keyStore="KeyStore_1134610924357" trustStore="KeyStore_1134610924377" trustManager="TrustManager_1"
keyManager="KeyManager_1134610924357"/>
</repertoire>
次の作業
いったん SSL 構成オブジェクトを作成すると、次のステップはそれを使用することです。
SSL 構成をプロトコルと関連付けることができる、以下のようないくつかの異なる方法があります。
- SSL 構成をスレッド上にプログラマチックに設定します。
- SSL 構成をアウトバウンド・プロトコル、またはターゲットのホストとポートに関連付けます。
- 別名を使用して SSL 構成を直接関連付けます。
- SSL 構成グループまたはゾーンと関連付けることによって、SSL 構成を集中的に管理し、エンドポイントが存在するところからそのグループを基にして使用します。