![[8.5.5.4 以降]](../ng_v8554.gif)
動的ルーティング・コマンド
setup、genPluginCfg、および genKeystore の各 dynamicRouting コマンド・アクションは、プラグイン構成ファイルおよび鍵ストア・ファイルを生成するために使用します。 genPluginCfg dynamicRouting コマンド・アクションは、plugin-cfg.xml ファイルを再生成するために、初期セットアップ後の任意の時点で使用します。 例えば、新しいコントローラーで動的ルーティング・フィーチャーを有効にした場合や、新しい Web サーバーを追加した場合です。genKeystore dynamicRouting コマンド・アクションは、鍵ストア・ファイルを生成するために使用します。各 dynamicRouting コマンド・アクションでは、オンライン・ヘルプがサポートされます。
setup
setup dynamicRouting コマンドを実行すると、PKCS12 または JKS フォーマットの鍵ストア、および 1 つ以上の WebSphere® プラグイン構成ファイルが生成されます。鍵ストアには、個人証明書、および memberRoot 署名者証明書と controllerRoot 署名者証明書が含まれます。これらの証明書により、WebSphere プラグインと動的ルーティング・サービスとの間でセキュア通信を行うことができます。また、Liberty 集合メンバーでアプリケーションに HTTPS 要求を送信するために、同じ鍵ストアが使用されます。プラグイン構成ファイルには、<IntelligentManagement> スタンザが含まれます。このスタンザにより、WebSphere プラグインでの Intelligent Management が有効になります。<IntelligentManagement> スタンザには、集合を表す 1 つの <ConnectorCluster> スタンザが含まれています。<ConnectorCluster> スタンザには、動的ルーティング・フィーチャーが有効になっているコントローラーごとに 1 つの <Connector> スタンザが含まれています。
コマンド・ヘルプを表示するには、<コントローラーのルート>/bin/dynamicRouting help setup を発行します。これにより、以下のように表示されます。
説明
setup dynamicRouting コマンドを使用すると、動的ルーティング・サービスとクライアント間のセキュア通信を有効にするために必要な個人証明書および署名者証明書が入った鍵ストアが生成されます。また、<IntelligentManagement> スタンザが含まれている WebSphere プラグイン構成ファイルも生成されます。このスタンザにより、WebSphere プラグインで Intelligent Management が可能になります。
使用法
dynamicRouting setup [options]
オプション
- --host=name
- 必須。ターゲット集合コントローラーのホスト名。
- --password[=pwd]
- 必須。ターゲット集合コントローラーの管理者ユーザーのパスワード。値を定義しなかった場合、プロンプトが出されます。
- --port=num
- 必須。ターゲット集合コントローラーの HTTPS ポート番号。
- --user=name
- 必須。ターゲット集合コントローラーの管理者ユーザー。
- --pluginInstallRoot=path
- 必須。Web サーバー・ホスト上の WebSphere プラグイン・ルート・ディレクトリーの完全修飾パス。
- --webServerNames=webServerName[,webServerName1]
- 必須。WebSphere プラグイン構成ファイルを生成する必要がある Web サーバーのコンマ区切りの名前。
- --keystorePassword[=pwd]
- 必須。生成された鍵ストアのパスワード。値を定義せずに指定した場合、プロンプトが出されます。
- --keystoreType=type
- オプション。生成される鍵ストアのタイプ。デフォルト・タイプは JKS です。 有効な値は JKS および PKCS12 です。
- --certificateSubject=DN
- オプション。生成された SSL 証明書の識別名。デフォルト識別名は CN=<<--user 引数の値>>, OU=client, O=ibm, C=us です。
JVM プロパティー com.ibm.websphere.dynamicRouting.utility.autoAcceptCertificates を true に設定することで、SSL 証明書を自動的に信頼できます。
以下に、すべての必須引数を指定して実行した場合のコマンドの出力を示します。
./dynamicRouting setup --port=9444 --host=controller1.acme.com --user=admin --password=password --keystorePassword=keypass --pluginInstallRoot=/opt/HTTPServer_Plugins --webServerNames=webServer1,webServer2 --keystoreType=PKCS12
Generating WebSphere plug-in configuration files for web servers webServer1, webServer2
Auto-accepting the certificate chain for target server.
Certificate subject DN: CN=admin, OU=controller1, O=ibm, C=us
Successfully completed MBean request to the controller.
Successfully generated WebSphere plug-in configuration files plugin-cfg-webServer1.xml, plugin-cfg-webServer2.xml
Generating keystore for web servers webServer1, webServer2
Auto-accepting the certificate chain for target server.
Certificate subject DN: CN=admin, OU=controller1, O=ibm, C=us
Successfully completed MBean request to the controller.
Successfully generated keystore plugin-key.p12.
Generated WebSphere plug-in configuration files plugin-cfg-webServer1.xml, plugin-cfg-webServer2.xml for web servers webServer1, webServer2.
Also generated keystore file plugin-key.p12 that enables secure communication between the Dynamic Routing service and clients..
The file contains personal certificate issued to DN CN=admin,OU=client,O=ibm,C=us. Ensure the admin user exists in the user registry and has a role assigned.
If you are using quick start security, add the following line to the controller server.xml file and update the password:
<quickStartSecurity user="admin" "password=""/>
If you are using basic registry, add the following lines to the controller server.xml file and update the password:
<basicRegistry id="basic" realm="ibm/api">
<user name="admin" password=""/>
</basicRegistry>
<administrator-role>
<user>admin</user>
</administrator-role/>
Copy the WebSphere plug-in configuration file to the directory specified in the WebSpherePluginConfig directive in the IBM HTTP Server httpd.conf file. Copy keystore file plugin-key.p12 to a directory on the web server host, and run "gskcmd" to convert the keystore to CMS format and to set personal certificate as the default.
For example:
gskcmd -keydb -convert -pw <<password>> -db /tmp/plugin-key.p12 -old_format pkcs12 -target /tmp/plugin-key.kdb -new_format cms -stash
gskcmd -cert -setdefault -pw <<password>> -db /tmp/plugin-key.kdb -label default
Copy resulting /tmp/plugin-key.kdb, .sth, .rdb files to the directory /opt/HTTPServer_Plugins/config/webServer1
genPluginCfg
このアクションを使用すると、プラグイン構成ファイルが生成されます。各プラグイン構成ファイルには、<IntelligentManagement> スタンザが含まれます。このスタンザにより、プラグインの Intelligent Management フィーチャーが可能になります。 <IntelligentManagement> スタンザには、集合を表す 1 つの <ConnectorCluster> スタンザが含まれています。<ConnectCluster> スタンザには、動的ルーティング・フィーチャーが有効になっているコントローラーごとに 1 つの <Connector> スタンザが含まれています。コンマ区切りの Web サーバー名を --webServerNames 引数に指定します。 例えば、--webServerNames=webServer1,webServer2 と指定した場合、plugin-cfg-webServer1.xml ファイルおよび plugin-cfg-webServer2.xml ファイルが生成されます。
オンライン・ヘルプを表示するには、<コントローラーのルート>/bin/dynamicRouting help genPluginCfg を発行します。これにより、以下のように表示されます。
説明
<IntelligentManagement> スタンザが含まれている WebSphere プラグイン構成ファイルが生成されます。このスタンザにより、WebSphere プラグインで Intelligent Management が可能になります。
使用法
dynamicRouting genPluginCfg [options]
オプション
- --host=name
- 必須。ターゲット集合コントローラーのホスト名。
- --password[=pwd]
- 必須。ターゲット集合コントローラーの管理者ユーザーのパスワード。値を定義しなかった場合、プロンプトが出されます。
- --port=num
- 必須。ターゲット集合コントローラーの HTTPS ポート番号。
- --user=name
- 必須。ターゲット集合コントローラーの管理者ユーザー。
- --pluginInstallRoot=path
- 必須。Web サーバー・ホスト上の WebSphere プラグイン・ルート・ディレクトリーの完全修飾パス。
- --webServerNames=webServerName[,webServerName1]
- 必須。WebSphere プラグイン構成ファイルを生成する必要がある Web サーバーのコンマ区切りの名前。
JVM プロパティー com.ibm.websphere.dynamicRouting.utility.autoAcceptCertificates を true に設定することで、SSL 証明書は自動的に信頼されます。
以下に、すべての必須引数を指定して実行した場合のコマンドの出力を示します。
./dynamicRouting genPluginCfg --port=9444 --host=controller1.acme.com --user=admin --password=password --pluginInstallRoot=/opt/HTTPServer_Plugins --webServerNames=webServer1
Generating WebSphere plug-in configuration file for web server webServer1
Auto-accepting the certificate chain for target server.
Certificate subject DN: CN=admin, OU=controller1, O=ibm, C=us
Successfully completed MBean request to the controller.
File /home/user1/Liberty/wlp/bin/plugin-cfg.xml exists.
Saving to /home/user1/Liberty/wlp/bin/plugin-cfg.xml.old.
Successfully generated WebSphere plug-in configuration file plugin-cfg.xml
Generated WebSphere plug-in configuration file plugin-cfg.xml for web server webServer1.
Copy the WebSphere plug-in configuration file to the directory specified in the WebSpherePluginConfig directive in the IBM HTTP Server httpd.conf file.
genKeystore
このアクションを使用すると、PKCS12 または JKS フォーマットの鍵ストアが生成されます。鍵ストアのフォーマットを指定するには、--keystoreType アクションを使用します。PKCS12 鍵ストアの生成がサポートされるのは、IBM Java を使用している場合のみです。鍵ストアには、個人証明書、および memberRoot 署名者証明書と controllerRoot 署名者証明書が含まれます。これらの証明書により、WebSphere プラグインと動的ルーティング・サービスとの間でセキュア通信を行うことができます。また、Liberty 集合メンバーでアプリケーションに HTTPS 要求を送信するために、同じ鍵ストアが使用されます。
オンライン・ヘルプを表示するには、<コントローラーのルート>/bin/dynamicRouting help genKeystore を発行します。これにより、以下のように表示されます。
説明
動的ルーティング・サービスとクライアント間のセキュア通信を有効にするために必要な個人証明書および署名者証明書が入った鍵ストアが生成されます。
使用法
dynamicRouting genKeystore [options]
オプション
- --host=name
- 必須。ターゲット集合コントローラーのホスト名。
- --password[=pwd]
- 必須。ターゲット集合コントローラーの管理者ユーザーのパスワード。値を定義しなかった場合、プロンプトが出されます。
- --port=num
- 必須。ターゲット集合コントローラーの HTTPS ポート番号。
- --user=name
- ターゲット集合コントローラーの管理者ユーザーを指定します。(必須)
- --keystorePassword[=pwd]
- 必須。生成された鍵ストアのパスワード。値を定義せずに指定した場合、プロンプトが出されます。
- --keystoreType=type
- オプション。生成される鍵ストアのタイプ。デフォルト・タイプは JKS です。 有効な値は JKS および PKCS12 です。
- --certificateSubject=DN
- オプション。生成された SSL 証明書の識別名。デフォルト識別名は CN=<<--user 引数の値>>, OU=client, O=ibm, C=us です。
JVM プロパティー com.ibm.websphere.dynamicRouting.utility.autoAcceptCertificates を true に設定することで、SSL 証明書は自動的に信頼されます。
以下に、すべての必須引数を指定して実行した場合のコマンドの出力を示します。
./dynamicRouting genKeystore --port=9444 --host=contoller1.acme.com --user=admin --password=password --keystoreType=PKCS12 --keystorePassword
Enter password --keystorePassword:
Re-enter password --keystorePassword:
Generating the plugin-key.p12 keystore...
Auto-accepting the certificate chain for target server.
Certificate subject DN: CN=admin, OU=controller1, O=ibm, C=us
Successfully completed MBean request to the controller.
File /home/user1/Liberty/wlp/bin/plugin-key.p12 exists.
Saving to /home/user1/Liberty/wlp/bin/plugin-key.p12.old.
Successfully generated keystore plugin-key.p12.
Generated keystore file plugin-key.p12 that enables secure communication between the Dynamic Routing service and clients..
The file contains a personal certificate issued to DN CN=admin,OU=client,O=ibm,C=us. Ensure the admin user exists in the user registry and has a role assigned.
If you are using quick start security, add the following line to the controller server.xml file and update the password:
<quickStartSecurity user="admin" password=""/>
If you are using basic registry, add the following lines to the controller server.xml files and update the password:
<basicRegistry id="basic" realm="ibm/api">
<user name="admin" password=""/>
</basicRegistry>
<administrator-role>
<user>admin</user>
</administrator-role/>
Copy the WebSphere plug-in configuration file to the directory specified in the WebSpherePluginConfig directive in the IBM HTTP Server httpd.conf file. Copy keystore file plugin-key.p12 to a directory on the web server host, and run "gskcmd" to convert the keystore to CMS format and to set personal certificate as the default.
For example:
gskcmd -keydb -convert -pw <<password>> -db /tmp/plugin-key.p12 -old_format pkcs12 -target /tmp/plugin-key.kdb -new_format cms -stash
gskcmd -cert -setdefault -pw <<password>> -db /tmp/plugin-key.kdb -label default
Copy resulting /tmp/plugin-key.kdb, .sth, .rdb files to the keyring directory specified in the plug-in configuration file.