この構成を使用して、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。
始める前に
アウトバウンド・トランスポート
とは、ダウンストリーム・サーバーとの接続に使用するトランスポートを指します。
アウトバウンド・トランスポートを構成する際には、ダウンストリーム・サーバーによってサポートされるトランスポートを検討してください。
Secure Sockets Layer (SSL) を検討している場合は、ハンドシェークが正常に行われるようにするために、
このサーバーのトラストストア・ファイルに、ダウンストリーム・サーバーの署名者を含めることを検討してください。
SSL 構成を選択すると、この構成は、必要な署名者が含まれている鍵ストアおよびトラストストア・ファイルを指します。
このサーバーのクライアント証明書認証を、次のステップを実行して構成した場合は、
ダウンストリーム・サーバーには、サーバーの個人証明書に属する署名者証明書が含まれます。
- 「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
- 「RMI/IIOP security」の下の「CSIv2 アウトバウンド認証」をクリックします。
このタスクについて
以下のステップを実行して、「アウトバウンド・トランスポート」パネルを構成します。
プロシージャー
- 「セキュリティー」>「セキュア管理、アプリケーション、およびインフラストラクチャー」とクリックして、トランスポートのタイプおよび SSL 設定値を選択します。
「RMI/IIOP security」の下の
「CSIv2 アウトバウンド・トランスポート」をクリックします。
トランスポートのタイプを選択することによって、ダウンストリーム・サーバーとの接続時に使用するトランスポートを選択することになります。
このダウンストリーム・サーバーは、ユーザーの選択したトランスポートをサポートします。
「SSL サポート」を選択した場合、使用されるトランスポートは、接続中に折衝されます。
クライアントとサーバーが両方とも SSL をサポートする場合は、
オブジェクト・リクエスト・ブローカー (ORB) が 1 つの要求である場合のように、
要求が SSL を必要としない特殊な要求であると見なされない限り、常に「SSL サポート」オプション
を選択してください。
- アウトバウンド・トランスポートで Secure Sockets Layer
通信を使用する場合は、「SSL required」オプションを選択します。
「
SSL required」オプションを
選択する場合は、「
中央管理対象」または「
特定 SSL 別名の使用」オプションを選択することができます。
- 中央管理対象
- あるロケーション内のセル、ノード、サーバー、またはクラスターなどの特定の有効範囲に SSL 構成を指定できるようになります。
「中央管理対象」オプションを使用するには、エンドポイントの特定のセットに対して SSL 構成を指定する必要があります。
「エンドポイント・セキュリティー構成およびトラスト・ゾーンの管理」パネルには、
SSL プロトコルを使用するすべてのインバウンドおよびアウトバウンドのエンドポイントが表示されます。
そのパネルの「インバウンド」または「アウトバウンド」セクションを展開し、ノードの名前をクリックすると、そのノード上の各エンドポイントで使用される SSL 構成を指定できます。
アウトバウンド・トランスポートの場合は、特定のエンドポイントに SSL 構成を指定することにより、継承された SSL 構成をオーバーライドできます。
アウトバウンド・トランスポートに SSL 構成を指定するには、「セキュリティー」>「SSL 証明書および鍵管理」>「エンドポイント・セキュリティー構成およびトラスト・ゾーンの管理」とクリックして「アウトバウンド」を展開します。
- 特定 SSL 別名の使用
- 「特定 SSL 別名の使用」オプションの下のメニューにある SSL 構成のうちどれかを選択したい場合は、
このオプションを選択します。
この構成は、LDAP で SSL が使用可能になっている場合にのみ使用されます。デフォルトは、「DefaultSSLSettings」です。SSL 構成を変更するか、または新規作成するには、
Secure Sockets Layer 構成の作成
に既述されているステップを実行します。
ダウンストリーム Secure Authentication Service (SAS) サーバーへのアウトバウンド要求に使用する SSL 設定値を選択します。
「セキュリティー」>「管理、アプリケーション、およびインフラストラクチャーの保護」をクリックします。
「RMI/IIOP security」の下の「SAS アウトバウンド・トランスポート」をクリックします。
SAS プロトコルにより、前のリリースとの相互運用が可能になることに注意してください。
SSL 構成で鍵ストア・ファイルおよびトラストストア・ファイルを構成する場合、これらのファイルには、WebSphere Application Server の前のリリースとの相互運用のための正しい情報が含まれています。
例えば、前のリリースとバージョン 6.x のリリースでは、個人証明書が異なっています。
バージョン 6.x のリリースの鍵ストア・ファイルを使用する場合は、前のリリースの
トラストストア・ファイルに署名者を追加する必要があります。また、バージョン 6.x のリリースの署名者を抽出し、その署名者を、前のリリースのトラストストア・ファイルにインポートする必要があります。
重要: SAS がサポートされるのは、バージョン 6.1 セルに統合されたバージョン 6.0.x と、それより前のバージョンの間のサーバーに限られます。
結果
アウトバウンド・トランスポート構成が完了しました。この構成により、インバウンド・セキュリティーとアウトバウンド・セキュリティーで異なるトランスポートを構成することができます。例えば、エンド・ユーザーが最初に使用するサーバーがアプリケーション・サーバーである場合は、セキュリティー構成はさらにセキュアになります。
バックエンドのエンタープライズ Bean サーバーに要求が出される場合は、
パフォーマンス上の理由で、アウトバウンドへの送出時のセキュリティーの
軽減を検討することがあります。このような柔軟性を利用して、ユーザーの要件に合うトランスポート・インフラストラクチャーを設計することができます。
次の作業
セキュリティーの構成を終えたら、以下のステップを実行して、サーバーを保管し、同期を取ってから、サーバーを再始動します。
- 管理コンソールで「保管」をクリックして、構成に対する変更を保管します。
- すべてのノード・エージェントとの間で構成を同期化します。
- 同期が取れたら、すべてのサーバーを停止してから再始動します。