Liberty プロファイルの SSL 通信の使用可能化

Liberty プロファイル用に SSL 通信を使用可能にするために、最小限の SSL 構成オプションのセットが用意されています。このセットでほとんどの SSL オプションの役割を担当し、一部の鍵ストア構成情報のみを必要とします。

このタスクについて

SSL クライアント認証が行われるのは、SSL 証明書を使用した接続ハンドシェーク中です。SSL ハンドシェークとは、接続固有の保護を求めてネゴシエーションするために、SSL プロトコルを介して交換される一連のメッセージです。ハンドシェーク中、セキュア・サーバーは、 認証用の証明書または証明書チェーンを返送するようにクライアントに要求します。Liberty プロファイルで SSL を使用可能にするには、認証用の鍵ストア情報のコードと共に、ssl-1.0 Liberty フィーチャーを構成ルート文書ファイル server.xml に追加します。

[2014 年 5 月に更新]デフォルトで、構成ルート文書ファイルのパスとファイル名は path_to_liberty/wlp/usr/servers/server_name/server.xml です。 path_to_liberty は、Liberty をインストールしたオペレーティング・システム上のロケーションで、server_name はサーバーの名前です。ただし、このパスは変更できます。『Liberty プロファイル環境のカスタマイズ』を参照してください。[2014 年 5 月に更新]

手順

  1. server.xml ファイルで ssl-1.0 Liberty フィーチャーを使用可能にします。
    <featureManager>
        <feature>ssl-1.0</feature>
    </featureManager>
    注: アプリケーション・セキュリティーが必要で、セキュリティー情報がセキュア・ポートにリダイレクトされる場合、 appSecurity-2.0 Liberty フィーチャーを server.xml ファイルに追加する必要があります。
  2. 鍵ストア・サービス・オブジェクト・エントリーを server.xml ファイルに追加します。keyStore エレメントは defaultKeyStore と呼ばれ、鍵ストア・パスワードを含んでいます。パスワードは、平文で入力することも、エンコードすることもできます。securityUtility encode オプションを使用して、パスワードをエンコードすることができます。
    <keyStore id="defaultKeyStore" password="yourPassword" />

    この構成は、SSL 構成の作成に必要な最小限の構成です。この構成で、鍵ストアと証明書が存在しない場合、サーバーは SSL の初期化中にそれらを作成します。指定するパスワードの長さは 6 文字以上でなければなりません。鍵ストアは、key.jks という名前の JKS 鍵ストアで、サーバーの home/resources/security ディレクトリーに含まれていると想定されます。このファイルが存在しない場合、サーバーによって自動的に作成されます。サーバーによって鍵ストア・ファイルが作成されると、その中の証明書も作成されます。この証明書は自己署名証明書で、有効期間は 365 日です。証明書の subjectDN の CN 値は、サーバーが稼働しているマシンのホスト名で、SHA1withRSA の署名アルゴリズムを持っています。

    注: Liberty サーバーによって作成される証明書は、実動での使用を目的としていません。それらは、開発者の便宜のために作成されます。実動で使用される証明書は、信頼される認証局によって発行または署名された、適切なチェーン証明書でなければなりません。期間がより長い、またはカスタマイズされた subjectDN を持つ自己署名証明書証明書を使用する場合は、securityUtility createSSLCertificate タスクを使用して作成することができます。

    最小構成の SAF 鍵リングの例:

    <keyStore id="defaultKeyStore" location="safkeyring:///WASKeyring" 
              type="JCERACFKS" password="password" fileBased="false" 
              readOnly="true" />

    RACF® 鍵リングは、Liberty サーバーで使用するために構成する前に、セットアップする必要があります。サーバーでは、証明書の作成および RACF への追加は行いません。

    最低限の SSL 構成用の単一の鍵ストア・エントリーを、ロケーションおよびタイプも含むように拡張することができます。
    <keyStore id="defaultKeyStore" location="myKeyStore.p12" password="yourPassword" type="PKCS12"/>

    location パラメーターには、鍵ストア・ファイルへの絶対パスを指定できます。これが絶対パスである場合、鍵ストア・ファイルは既に作成されているものと見なされます。鍵ストア・ファイルが既に作成されているのであれば、最低限の SSL 構成で他のタイプの鍵ストアを指定することもできます。最低限の SSL 構成が使用されている場合、SSL ハンドシェークの SSL コンテキストを作成するために SSL 構成のデフォルト値が使用されます。構成プロトコルは、デフォルトでは SSL_TLS です。HIGH 暗号 (128 ビット以上の暗号スイート) を使用できます。


トピックのタイプを示すアイコン タスク・トピック

インフォメーション・センターに関するご使用条件 | フィードバック


タイム・スタンプ・アイコン 最終更新: 2015 年 6 月 17日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=twlp_sec_ssl
ファイル名: twlp_sec_ssl.html