WebSphere Application Server - Express for i5/OS, Version 6.1   
             オペレーティング・システム: i5/OS

             目次と検索結果のパーソナライズ化

デフォルトの自己署名証明書の構成

WebSphere Application Server のプロセスが初めて開始されるとき、Secure Sockets Layer (SSL) ランタイムは SSL 構成で指定されたデフォルトの鍵ストアとトラストストアを初期化します。

デフォルトの鍵ストアとトラストストアのプロパティー

WebSphere Application Server は、プロファイルの作成中に、key.p12 デフォルト鍵ストア・ファイルと trust.p12 デフォルト・トラストストア・ファイルを作成します。このとき、デフォルトの自己署名証明書も key.p12 ファイルに作成されます。公開鍵の署名者は key.p12 ファイルから抽出され、trust.p12 ファイルに追加されます。プロセスの開始時にこれらのファイルが存在しない場合は、開始時に再作成されます。

DefaultKeyStore および DefaultTrustStore という接尾部が付いているため、鍵ストアとトラスト ストアのデフォルトを簡単に識別することができます。 また、ランタイムがデフォルトの鍵ストアとトラストストアのみを使用するように、SSL 構成では fileBased 属性を true に設定する必要があります。

ベース・アプリケーション・サーバーでは、デフォルトの鍵ストアとトラストストアは、 構成リポジトリーのノード・ディレクトリーに保管されます。 例えば、デフォルトの key.p12 および trust.p12 ストア は、AppSrv01 というプロファイル名、myhostNode01Cell という名前、 および myhostNode01 というノード名で作成されています。 鍵ストアとトラストストアは、次のディレクトリーにあります。

/QIBM/UserData/WebSphere/AppServer/V61/Express/profiles/default/config
 /cells/myhostNode01Cell/nodes/myhostNode01/key.p12
 /QIBM/UserData/WebSphere/AppServer/V61/Express/profiles/default/config
 /cells/myhostNode01Cell/nodes/myhostNode01/trust.p12

WebSphere Application Server により生成される、 すべてのデフォルトの鍵ストアの デフォルト・パスワードは、WebAS です。 よりセキュアな環境を確保するために、最初の構成後にこのデフォルト・パスワードを変更します。

デフォルトの自己署名証明書

デフォルトの自己署名証明書は、プロファイルのサーバーおよびクライアントの両方について、そのプロファイルの作成時に作成されます。

ユーザーは、/config および /etc に ある *.p12 ファイルを削除するだけで、 異なる情報が記載された証明書を再作成できます。 下記の 4 つのプロパティーを、証明書に入れる値に変更してから、プロセスを再開します。 これにより、/config にあるサーバー証明書と /etc にあるクライアント証明書が別のものになります。

クライアントとサーバー間に SSL クライアント認証をセットアップする場合は、署名者の交換を実行する必要があります。 ssl.client.props ファイルに存在する、下記の証明書のプロパティーは、サーバー構成には存在しません。 ただし、管理コンソールでこれらの値をカスタム・セキュリティー・プロパティーとして追加することにより、サーバ ー構成で使用することができます。 証明書のプロパティーは ssl.client.props ファイルに表示されますが、サーバー構成には表示されません。 ただし、管理コンソールでこれらの値をカスタム・プロパティーとして追加することにより、サーバー構成で変更すること ができます。

セキュリティー」>「管理、アプリケーション、インフラストラクチャーの保護」>「カスタム・プロパティー」をクリックして、次のプロパティーを変更します。
com.ibm.ssl.defaultCertReqAlias=default_alias
com.ibm.ssl.defaultCertReqSubjectDN=cn=${hostname},o=IBM,c=US
com.ibm.ssl.defaultCertReqDays=365
com.ibm.ssl.defaultCertReqKeySize=1024

default_alias の値がすでに存在している場合、 ランタイムは __# を追加します。 ここでの番号記号 (#) は、 鍵ストア内で固有になるまで増分される番号となります。 ${hostname} は、 最初に作成されたホスト名に解決される変数です。 自己署名証明書のデフォルトの有効期限は、作成日から 1 年です。

ランタイムは、証明書有効期限モニターを使用して、自己署名証明書の有効期限をモニターします。 これらの自己署名証明書は、有効期限しきい値 (通常は有効期限の 30 日前) 内にあるとき、署名者証明書と一緒に自動的に置き換えられます。 デフォルトの鍵サイズは、Java ランタイム環境ポリシー・ファイルが無制限である、すなわち、エクスポートされな い場合にのみ、1024 ビットより大きくすることができます。 詳しくは、証明書有効期限のモニター を参照してください。

新しいベース・アプリケーション・サーバーのプロセス用のデフォルト の鍵ストアとトラストストア構成

次のサンプル・コードは、ベース・アプリケーション・サーバーのデフォルトの SSL 構成を示しています。 デフォルトの鍵ストアとトラストストアのファイルへの参照は、強調表示されています。
<repertoire xmi:id="SSLConfig_1" alias="NodeDefaultSSLSettings"
managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="false"
securityLevel="HIGH" enabledCiphers="" jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS"
keyStore="KeyStore_1" trustStore="KeyStore_2" trustManager="TrustManager_1"
keyManager="KeyManager_1"/>
</repertoire>

デフォルト鍵ストア

次のサンプル・コードでは、デフォルト鍵ストアを 表す鍵ストア・オブジェクトは XML オブジェクトに類似しています。
<keyStores xmi:id="KeyStore_1" name="NodeDefaultKeyStore"
password="{xor}349dkckdd=" provider="IBMJCE" location="${USER_INSTALL_ROOT}/config
 /cells/myhostNode01Cell/nodes/myhostNode01/key.p12" type="PKCS12" fileBased="true"
hostList="" initializeAtStartup="true" managementScope="ManagementScope_1"/>
NodeDefaultKeyStore 鍵ストアには、セキュアなエンドポイントの ID を表す個人証明書が含まれています。 鍵ストア参照は、${USER_INSTALL_ROOT} 変数を使用できます。この変数はランタイムによって展開されます。デフォルト鍵ストア・タイプ PKCS12 は、最も相互運用性の高いフォーマットです。つまり、ほとんどのブラウザーにインポートできます。 myhostNode01Cell パスワードはエンコードされています。
次のコード・サンプルに示すように、管理有効範囲はどのサーバーのランタイムが鍵ストア構成をメモリーにロードするかを決定します。
<managementScopes xmi:id="ManagementScope_1" scopeName="
 (cell):myhostNode01Cell:(node):myhostNode01" scopeType="node"/>
管理有効範囲が現在のプロセス有効範囲外にある、security.xml ファイルに保管された構成オブジェクトは、現行プロセスにはロードされません。 代わりに、管理有効範囲は myhostNode01 ノード内に含まれるサーバーによってロードされます。その特定のノード上のアプリケーション ・サーバーは、鍵ストア構成を認識できます。

key.p12 ファイルの内容をリストして自己署名証明書を表示する場合は、識別名 (DN) の共通名 (CN) が、常駐マシンのホスト名であることに気をつけてください。 このリスト表示により、URL 接続でホスト名を確認することができます。さらに、カスタム・トラスト・マネージャーからホスト名を確認することもできます。 詳しくは、トラスト・マネージャーによる X.509 証明書の信頼についての決定の制御 を参照してください。

デフォルト鍵ストアの内容

次のサンプル・コードは、鍵 ツール・リストのデフォルトの key.p12 ファイルの内容を示しています。
keytool -list -keystore /QIBM/UserData/WebSphere/AppServer/V61/Express/profiles/default/config
 /cells/myhostNode01Cell/nodes/myhostNode01/key.p12 -storepass myhostNode01Cell
 -storetype PKCS12 -v

別名: default
項目タイプ: keyEntry
所有者: CN=myhost.austin.ibm.com, O=IBM, C=US
発行者: CN=myhost.austin.ibm.com, O=IBM, C=US
有効開始日: 10/18/05 4:06 PM until: 10/18/06 4:06 PM
証明書指紋:
         SHA1: 33:6E:9E:10:65:04:CE:7A:6C:C3:B1:79:8B:9A:05:49:AC:E5:67:F3

デフォルトの 別名と keyEntry 項目タイプは、この秘密鍵が公開鍵とともに保管されていることを示し、これが完全な個人証明書であることを表しています。 証明書は CN=myhost.austin.ibm.com, O=IBM, C=US によって所有され、同じエンティティーによって発行されています。すなわち、これは自己署名です。 デフォルトで、証明書は作成日から 1 年間有効です。

さらに、署名者交換の状態によっては、証明書の指紋により、送信された証明書が変更されていないことが 保証されます。 証明書のハッシュ・アルゴリズム出力である指紋は、WebSphere Application Server ランタイムにより、 クライアント・サイドでの自動署名者交換中に表示されます。クライアントの指紋は、サーバーに表示される指紋と一致する必要があります。 ランタイムは通常、SHA1 ハッシュ・アルゴリズムを使用して証明書の指紋を生成します。

デフォルトのトラストストア

次のサンプル・コードでは、鍵ストア・オブジェクトはデフォルトのトラストストア trust.p12 を表します。トラストストアには、信頼に関する決 定を行う際に必要な、署名者証明書が含まれています。
<keyStores xmi:id="KeyStore_2" name="NodeDefaultTrustStore"
password="{xor}349dkckdd=" provider="IBMJCE" location="${USER_INSTALL_ROOT}
 /config/cells/myhostNode01Cell/nodes/myhostNode01/trust.p12" type="PKCS12"
fileBased="true" hostList="" initializeAtStartup="true" managementScope="ManagementScope_1"/>

デフォルトのトラストストアの内容

次のサンプル・コードは、鍵ツール・リストにある、デフォルトのトラストストア trust.p12 の内容を 示しています。このサンプルの自己署名証明書の場合、default_signer 別名と trustedCertEntry 項目タイプは、この証明書が公開鍵であることを示しています。秘密鍵は、このトラストストアに保管されていません。
keytool -list -keystore /QIBM/UserData/WebSphere/AppServer/V61/Express/profiles/default/config
 /cells/myhostNode01Cell/nodes/myhostNode01/trust.p12 -storepass myhostNode01Cell
 -storetype PKCS12 -v

別名: default_signer
項目タイプ: trustedCertEntry

所有者: CN=myhost.austin.ibm.com, O=IBM, C=US
発行者: CN=myhost.austin.ibm.com, O=IBM, C=US
有効開始日: 10/18/05 4:06 PM until: 10/18/06 4:06 PM
証明書指紋:
         SHA1: 33:6E:9E:10:65:04:CE:7A:6C:C3:B1:79:8B:9A:05:49:AC:E5:67:F3



サブトピック
クライアント署名者を取り出すためのセキュア・インストール
証明書有効期限のモニター
Web サーバー・プラグインのデフォルト構成
関連概念
Secure Sockets Layer を使用したセキュア通信
関連資料
例: カスタム SSL トラスト決定用のカスタム・トラスト・マネージャーの作成
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:05:28 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.express.iseries.doc/info/iseriesexp/ae/csec_ssldefselfsigncertconf.html