WebSphere Application Server Version 6.1 Feature Pack for Web Services   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

Java Secure Sockets Extension と System Authorization Facility 鍵リングの使用

サーバー W50100x 以降を実行している WebSphere Application Server for z/OS カスタマーは、Java Development Kit 1.3 レベル SR20 以降で、WebSphere Application Server システムを変更し、Java Secure Sockets Extension (JSSE) および Secure Sockets Layer (SSL) に System Authorization Facility (SAF) を使用することができます (階層ファイル・システム (HFS) で重複証明書を保守する必要性を除去します)。

始める前に

W502000 以前の保守レベルで稼働している WebSphere Application Server for z/OS は、 以下の Software Development Kit (SDK) 制限のため、異なる 2 つの場所にデジタル証明書情報を保管しました。 W502000 以降でカスタマイズされたシステムは、デフォルトで単一 SAF デジタル証明書リポジトリーを使用し、以下に記載する変更を必要としません。

このタスクについて

サーバー W50100x 以降を実行している WebSphere Application Server for z/OS カスタマーは、Java Development Kit 1.3 レベル SR20 以降で、WebSphere Application Server システムを変更し、JSSE および SSL に SAF を使用することができます (HFS で重複証明書を保守する必要性を除去します)。 以下の説明では、 このサポートを使用可能にする方法を説明しています。
注: W502000 以降の保守レベルでカスタマイズされたシステムは、デフォルトで単一 SAF デジタル証明書リポジトリーを使用し、以下に記載する変更を必要としません。

SAF 証明書を JSSE とともに使用するには、以下のことを行います。

プロシージャー

  1. Java Management Extensions (JMX) コネクター設定を更新し、ノードの SAF 鍵リング名を表します。
    1. 管理者権限と ID を使用して管理コンソールにログインします。
    2. サーバー」>「アプリケーション・サーバー」>「server_name」をクリックします。
    3. 「サーバー・インフラストラクチャー」の下の「管理」>「管理サービス」とクリックします。
    4. 「追加プロパティー」の下の「JMX コネクター」をクリックします。
    5. 「JMX コネクター」パネルで、「SOAPConnector」をクリックします。
    6. 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
    7. 「カスタム・プロパティー」ページで、「sslConfig」をクリックします。
    8. 「sslConfig」ページで、「値」フィールドを見ます。このフィールドに node_name/DefaultSSLSettings が 入っているかどうか検証します。ここで、nodename はアプリケーション・サーバーがあるノード名を示します。 次のステップのためにノード名を記録します。
    9. 「値」フィールドの隣のリストから「node_name/RACFJSSESettings」を選択します。ここで、node_name は先に記録したノード名と同じです。
    10. OK」をクリックします。 「カスタム・プロパティー」ページは、ローカル構成が変更されたことを示す メッセージとともに表示されます。 追加の変更が必要なため、「保管」をクリックしないでください。
  2. サーバー」>「アプリケーション・サーバー 」をクリックし、セル内の他のアプリケーション・サーバーのそれぞれに対 し上記のサブステップを繰り返します。
  3. Java Management Extensions (JMX) コネクター設定を更新し、デプロイメント・マネージャー・ノードの SAF 鍵リング名を表します。
    1. システム管理」>「デプロイメント・マネージャー」とクリックします。
    2. 「追加プロパティー」の下の「管理サービス」>「JMX コネクター」をクリックします。
    3. 「JMX コネクター」パネルで、「SOAPConnector」をクリックします。
    4. 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
    5. 「カスタム・プロパティー」ページで、「sslConfig」をクリックします。
    6. 「sslConfig」ページで、「値」フィールドを見ます。このフィールドは、dmnode/DefaultSSLSettings を表示します。ここで、dmnode はデプロイメント・マネージャー・ノード名を示しています。次のステップのためにノード名を記録します。
    7. 「値」フィールドの隣のリストから「dmnode/RACFJSSESettings」を選択します。ここで、dmnode はデプロイメント・マネージャー・ノード名を示します。
    8. OK」をクリックします。 少しすると、「カスタム・プロパティー」ページが、ローカル構成が変更されたことを示す メッセージとともに表示されます。 追加の変更が必要なため、この時点で「保管」をクリックしないでください。
  4. Java Management Extensions (JMX) コネクター設定を更新し、ノード・エージェントの SAF 鍵リング名を表します。
    1. システム管理」>「ノード・エージェント」>「Node_name」をクリックします。 次のステップのためにノード・エージェント名を記録します。
    2. 「追加プロパティー」の下の「管理サービス」>「JMX コネクター」をクリックします。
    3. 「JMX コネクター」パネルで、「SOAPConnector」をクリックします。
    4. 「追加プロパティー」の下の「カスタム・プロパティー」をクリックします。
    5. 「カスタム・プロパティー」ページで、「sslConfig」をクリックします。
    6. 「sslConfig」ページで、「値」フィールドを見ます。このフィールドは nodename/DefaultSSLSettings を表示します。ここで、nodename はノード・エージェントがあるノード名です。 次のステップのためにノード名を記録します。
    7. 「値」フィールドの隣のリストから「nodename/RACFJSSESettings」を選択します。ここで、nodename は先に記録したノード名です。
    8. OK」をクリックします。 「カスタム・プロパティー」ページは、ローカル構成が変更されたことを示す メッセージとともに表示されます。 追加の変更が必要なため、この時点で「保管」をクリックしないでください。
  5. システム管理」>「ノード・エージェント」 をクリックし、セル内の他のノード・エージェント・サーバーのそれぞれに 対し上記のサブステップを繰り返します。
  6. Changes have been made to your local configuration. Click Save to apply changes to the master configuration」というメッセージが表示されたときに「保管」をクリックします。
  7. 「保管」ページで、「Synchronize changes with Nodes」オプションを選択して、「保管」をクリックしてください。 変更が保管されると、管理コンソールはホーム・ページに戻ります。
  8. profile_root/properties ディレクトリーの soap.client.props ファイルを更新し、構成に適切な SAF 鍵リング名を示します。 soap.client.props ファイルは、wsadmin.sh スクリプトによって使用され、アプリケーション・サーバーまたはデプロイメント・マネージャー (user.install.root)/properties ファイルにあります。 soap.client.props ファイルの目的は、wsadmin.sh などの SOAP クライアントによって使用される値を指定することです。WebSphere Application Server for z/OS 保守レベル W502000 以前で構成されたセルで、soap.client.props ファイルは JSSE によって使用される Java 鍵ストアの名前を示します。 ご使用のセルが JSSE 管理に SAF 鍵リングを使用している場合は、SAF 鍵リングが SOAP クライアントに使用されているか検証します。

    soap.client.props ファイルは wsadmin.sh スクリプトによって使用されます。

    wsadmin クライアント SAF 鍵リングの変更には、soap.client.props ファイルの更新および管理者の鍵リングの作成が必要です。 以下の値を指定してください。
    com.ibm.ssl.protocol=SSL
    com.ibm.ssl.keyStoreType=JCERACFKS
    com.ibm.ssl.keyStore=safkeyring:///yourkeyringName
    com.ibm.ssl.keyStorePassword=password
    com.ibm.ssl.trustStoreType=JCERACFKS
    com.ibm.ssl.trustStore=safkeyring:///yourKeyringName
    com.ibm.ssl.trustStorePassword=password
    
    =

    指定されたパスワードの値は、任意のストリングを使用することができるため、本物のパスワードを示しません。 ストリング yourKeyringName をご使用の管理 SAF 鍵リングと置き換えてください。すべての WebSphere 管理者が使用する鍵リング名および管理開始済みタスク・ユーザー ID (デフォルト WSADMSH) は同じでなければなりません。 さらに、SAF 鍵リングおよびセキュリティーが使用可能な場合、鍵リングは SOAP コネクターとともに wsadmin.sh ファイルを使用する各ユーザーに作成されなければなりません。 (鍵リングは、WSADMIN など、初期の管理ユーザー ID にカスタマイズ・プロセスによって作成されます。)

    SAF で管理ユーザーのために鍵リングを作成する方法の説明は、 WebSphere Application Server 管理者向けの SSL の考慮事項に記載されています。

  9. セルをリサイクルします。



タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 4:10:06 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.wsfep.multiplatform.doc/info/ae/ae/tsec_racfjssekeyringzos.html