Secure Socket Layer

このフィーチャーにより、Secure Sockets Layer (SSL) 接続のサポートが有効になります。ssl-1.0 フィーチャーが使用可能になっていないと、secureHTTPS リスナーが開始されません。Liberty プロファイルはダミーの鍵ストアとダミーのトラストストアを提供しますが、それらは前のバージョンの WebSphere Application Server で提供されるものと同じです。

このフィーチャーの使用可能化

Secure Socket Layer フィーチャーを有効にするには、 server.xml ファイルの featureManager エレメント内に次のエレメント宣言を追加します。
<feature>ssl-1.0</feature>

Supported Java™ バージョン

  • JavaSE-1.6
  • JavaSE-1.7
  • JavaSE-1.8

このフィーチャーに依存するフィーチャーの開発

Secure Socket Layer フィーチャーに依存するフィーチャーを作成している場合は、新しいフィーチャーのためにフィーチャー・マニフェスト・ファイルの Subsystem-Content ヘッダーに次の項目を含めます。
com.ibm.websphere.appserver.ssl-1.0; type="osgi.subsystem.feature"

このフィーチャーを使用可能にするフィーチャー

このフィーチャーが提供する SPI パッケージ

フィーチャーの構成エレメント

server.xml ファイルの次のエレメントを使用して、Secure Socket Layer フィーチャーを構成することができます。

channelfw
チャネルおよびチェーンの管理設定を定義します。
属性名 データ型 デフォルト値 説明
chainQuiesceTimeout 期間 (精度: ミリ秒) 30s チェーンの静止プロセス中における、デフォルトの待機時間。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
chainStartRetryAttempts int

最小: 0

60 チェーンごとの再試行回数。
chainStartRetryInterval 期間 (精度: ミリ秒) 5s 始動再試行の時間間隔。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
warningWaitTime 期間 (精度: ミリ秒) 10s この待機時間を超えると、ファクトリー構成の欠落が通知されます。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
keyStore
SSL 暗号化のために使用されるセキュリティー証明書のリポジトリー。
属性名 データ型 デフォルト値 説明
fileBased boolean true 鍵ストアがファイル・ベースの場合は true を指定し、鍵ストアが SAF 鍵リングまたはハードウェア鍵ストア・タイプである場合は false を指定します。
id string   固有の構成 ID。
location ファイルのパス ${server.output.dir}/resources/security/key.jks 鍵ストア・ファイルへの絶対パスまたは相対パス。 相対パスが指定されると、サーバーは ${server.config.dir}/resources/security ディレクトリー内でファイルの検索を試みます。 ファイル・ベースの鍵ストアの場合は鍵ストア・ファイルを、SAF 鍵リングの場合は鍵リング名を、ハードウェア暗号化デバイスの場合はデバイス構成ファイルを使用します。 SSL 最小構成では、このファイルのロケーションは ${server.config.dir}/resources/security/key.jks であることが前提とされています。
password リバース・エンコードされたパスワード (ストリング)   鍵ストア・ファイルをロードするために使用されるパスワード。 値は、平文形式またはエンコード形式で保管することができます。 パスワードをエンコードするには securityUtility ツールを使用します。
pollingRate 期間 (精度: ミリ秒) 500ms 鍵ストア・ファイルに対する更新があるかどうかをサーバーが検査するレート。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
readOnly boolean false 鍵ストアがサーバーによって読み取り用に使用される場合は true を指定し、サーバーによって鍵ストアへの書き込み操作が実行される場合は false を指定します。
type string jks ターゲット SDK がサポートしている鍵ストア・タイプ。
updateTrigger
  • mbean
  • polled
  • disabled
mbean 鍵ストア・ファイル更新のメソッドまたはトリガー。
mbean
サーバーは、外部プログラム (統合開発環境や管理アプリケーションなど) で呼び出された MBean によって求められた場合のみ、鍵ストアを更新します。
polled
サーバーは、ポーリング間隔で鍵ストア・ファイル変更をスキャンし、鍵ストア・ファイルに検出可能な変更があれば更新します。
disabled
すべての更新モニターを無効にします。 鍵ストア・ファイルに対する変更は、サーバーの実行中は適用されません。
ssl
ID、定義済み鍵ストア、およびオプションのトラストストアを持つ SSL レパートリー。
属性名 データ型 デフォルト値 説明
clientAuthentication boolean false クライアント認証を有効にするかどうかを指定します。 true に設定される場合、クライアント認証が必要であり、クライアントはサーバーのトラストのために証明書を提供する必要があります。
clientAuthenticationSupported boolean false クライアント認証がサポートされるかどうかを指定します。 true に設定される場合、クライアント認証サポートは、クライアントが証明書を提示した場合はクライアントからのトラストをサーバーがチェックすることを意味します。
clientKeyAlias string   クライアント認証が有効にされているサーバーに鍵として送信されるのに使用される、鍵ストア内の証明書の別名を指定します。 この属性が必要なのは、鍵ストアに複数の鍵エントリーがある場合のみです。
enabledCiphers string   暗号のカスタム・リストを指定します。 リスト中の各暗号はスペースで区切ります。 サポートされる暗号は、基礎として使用される JRE に依存します。 有効な暗号については、JRE を確認してください。
id string   固有の構成 ID。
keyStoreRef string   SSL レパートリーの鍵エントリーを含む鍵ストア。この属性は必須です。
securityLevel
  • MEDIUM
  • CUSTOM
  • HIGH
  • LOW
HIGH SSL ハンドシェークによって使用される暗号スイート・グループを指定します。 HIGH は 3DES および 128 ビット以上の暗号、MEDIUM は DES および 40 ビットの暗号、LOW は暗号化なしの暗号です。 enabledCiphers 属性が使用される場合、securityLevel リストは無視されます。
MEDIUM
%repertoire.MEDIUM
CUSTOM
%repertoire.CUSTOM
HIGH
暗号スイート 3DES および 128 ビット以上
LOW
%repertoire.LOW
serverKeyAlias string   サーバーの鍵として使用される、鍵ストア内の証明書の別名を指定します。 この属性が必要なのは、鍵ストアに複数の鍵エントリーがある場合のみです。
sslProtocol string   SSL ハンドシェーク・プロトコル。 プロトコル値は、基盤になっている JRE の Java Secure Socket Extension (JSSE) プロバイダーの資料に記述されています。IBM JRE を使用している場合はデフォルト値は SSL_TLS であり、Oracle JRE を使用している場合はデフォルト値は SSL です。
trustStoreRef string ${keyStoreRef} SSL レパートリーが署名確認のために使用するトラステッド証明書エントリーを含む鍵ストア。この属性はオプションです。 これが指定されていないと、鍵エントリーとトラステッド証明書エントリーの両方に対して同じ鍵ストアが使用されます。
sslDefault
SSL サービスのデフォルト・レパートリー。
属性名 データ型 デフォルト値 説明
sslRef string defaultSSLConfig デフォルトとして使用される SSL レパートリーの名前。何も指定されない場合、defaultSSLConfig という名前のデフォルト SSL レパートリーが使用されます。
sslOptions
トランスポート用の SSL プロトコル構成。
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
sessionTimeout 期間 (精度: 秒) 1d ソケットで読み取り要求または書き込み要求が完了するのを待機する時間です。 この値は、プロトコル固有のタイムアウトによってオーバーライドされます。. 正整数の後に時間単位 (時間 (h)、分 (m)、または秒 (s)) を付けて指定してください。 例えば、30 秒は 30s と指定します。 単一エントリーに複数の値を含めることができます。 例えば、90 秒の場合、1m30s とすることができます。
sslRef string   デフォルト SSL 構成レパートリー。 デフォルト値は defaultSSLSettings です。
suppressHandshakeErrors boolean false SSL ハンドシェーク・エラーのロギングを無効にします。 通常操作時に SSL ハンドシェーク・エラーが発生することがありますが、SSL の動作が予期しないものになっている場合は、こうしたメッセージが役立ちます。
tcpOptions
TCP プロトコル設定を定義します。
属性名 データ型 デフォルト値 説明
id string   固有の構成 ID。
inactivityTimeout 期間 (精度: ミリ秒) 60s ソケットで読み取り要求または書き込み要求が完了するのを待機する時間です。 この値は、プロトコル固有のタイムアウトによってオーバーライドされます。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。
soReuseAddr boolean true アクティブなリスナーのないポートへの即時再バインドを使用可能にします。

トピックのタイプを示すアイコン 参照トピック

インフォメーション・センターに関するご使用条件 | フィードバック


タイム・スタンプ・アイコン 最終更新: 2015 年 6 月 17日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=rwlp_feature_ssl-1.0
ファイル名: rwlp_feature_ssl-1.0.html