[8.5.5.4 以降]

集合コントローラーの SSL 鍵の生成

集合ユーティリティー genKey コマンドを使用して、 Java™ 鍵ストア (JKS) 形式の鍵ストアを生成できます。 鍵ストアには、集合コントローラーとの Secure Sockets Layer (SSL) 通信を可能にする個人証明書が含まれます。

始める前に

集合コントローラーを作成します。『Liberty 集合の構成』を参照してください。

このタスクについて

集合コントローラーへのリモート JMX 接続では SSL を使用し、適切な SSL 鍵が必要です。 集合ユーティリティーの genKey コマンドで生成した鍵ストアには、集合コントローラーで信頼されている個人証明書が含まれます。 この生成した鍵ストアには、トラストストアとして機能できるように公開署名者証明書も含まれます。

集合メンバー・サーバーや非 Liberty サーバーなどの Java 仮想マシン (JVM) が集合コントローラーに接続するには、 集合コントローラーで信頼されている鍵が入った鍵ストアが JVM に必要です。 genKey コマンドは、この鍵ストアを生成します。 JVM は、こうした鍵ストアがあれば、集合コントローラーに接続し、集合コントローラーがその鍵を戻すことができます。 このように集合コントローラーの鍵を JVM に戻すことを SSL ハンドシェーク と呼びます。

JVM が集合コントローラーの鍵を JVM トラストストアに追加するには、 JVM プロパティー com.ibm.websphere.collective.utility.autoAcceptCertificatestrue に設定されていなければなりません。 この JVM プロパティーが設定されていない場合、鍵をトラストストアに追加するように要求するプロンプトが出されます。 手順のステップ 1 では、 JVM プロパティーを設定して、プロンプトを表示せずに鍵をトラストストアに自動的に追加する方法を示します。

手順

  1. SSL 証明書を自動的に信頼するには、 JVM プロパティー com.ibm.websphere.collective.utility.autoAcceptCertificatestrue に設定します。

    collective genKey コマンドを実行するコマンド・プロンプトで、 JVM プロパティーを true に設定するコマンドを実行します。

    AIX プラットフォームの場合HP UNIX プラットフォームの場合LINUX プラットフォームの場合Solaris プラットフォームの場合
    $ export JVM_ARGS=-Dcom.ibm.websphere.collective.utility.autoAcceptCertificates=true
    Windows プラットフォームの場合
    set JVM_ARGS=-Dcom.ibm.websphere.collective.utility.autoAcceptCertificates=true

    JVM プロパティーが適切に設定されたことを確認するには、次のコマンドを実行します。

    AIX プラットフォームの場合HP UNIX プラットフォームの場合LINUX プラットフォームの場合Solaris プラットフォームの場合
    $ export JVM_ARGS
    Windows プラットフォームの場合
    set JVM_ARGS
    ヒント: create コマンド以外のすべての collective コマンドを実行する前に、この JVM プロパティーを true に設定できます。 collective サブコマンドの多くは、集合コントローラーに接続し、SSL ハンドシェークで鍵を受け取ります。 ユーザー・パスワードまたは SSH 秘密鍵によってホスト認証情報を必要とする collective サブコマンドには、 genKeyjoinregisterHostremoveunregisterHost、 および updateHost があります。
  2. collective genKey コマンドを実行して、JKS 鍵ストアを生成します。
    wlp/bin/collective genKey [--host=collectiveControllerHost --password=collectiveControllerAdminUserPassword --port=collectiveControllerHTTPSPort --user=collectiveControllerAdminUserID --keystorePassword=generatedKeystorePassword]

    例えば、ポート 1090 を使用し、集合コントローラー管理ユーザー Admin1、パスワード Admin1pwd が設定された、ホスト machineA 上の集合コントローラーの場合、以下のコマンドを実行して鍵ストアを生成し、そのパスワードを kspwd に設定します。

    collective genKey [--host=machineA --password=Admin1pwd --port=1090 --user=Admin1 --keystorePassword=kspwd]

    この例には、genKey コマンドに必要な以下の設定が含まれます。

    --host=collectiveControllerHost
    ターゲット集合コントローラーのホスト名
    --password=collectiveControllerAdminUserPassword
    ターゲット集合コントローラーの、管理ユーザーのパスワード。 パスワードが定義されていない場合、--user 設定で指定した管理ユーザーのパスワードが求められます。
    --port=collectiveControllerHTTPSPort
    ターゲット集合コントローラーの HTTPS ポート番号
    --user=collectiveControllerAdminUserID
    ターゲット集合コントローラーの管理ユーザー
    --keystorePassword=generatedKeystorePassword
    生成された鍵ストアのパスワード。パスワードを指定して、値を定義していない場合、パスワードが求められます。

    genKey コマンドには、次のオプション設定もあります。

    --certificateSubject=DN
    生成された SSL 証明書の識別名 (DN)。 デフォルトの DN は次のとおりです。
    CN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=us
    --certificateValidity=numberOfDays
    生成された SSL 証明書が有効な日数。 デフォルトの有効期間は 1825 日、つまり 5 年です。 最小の有効期間は 365 日です。
    --keystoreFile=filePath
    鍵ストアが書き込まれるファイル。 デフォルトは、現行ディレクトリー内の key.jks ファイルです。
    --key=key
    aes エンコードに使用する鍵。 指定された鍵ストリングがハッシュ化され、パスワードの暗号化と暗号化解除に使用する暗号鍵が生成されます。 鍵をサーバーに提供するには、変数 wlp.password.encryption.key を定義し、その値に鍵を指定します。 このオプションを指定しないと、デフォルトの鍵が提供されます。

トピックのタイプを示すアイコン タスク・トピック

インフォメーション・センターに関するご使用条件 | フィードバック


タイム・スタンプ・アイコン 最終更新: 2015 年 6 月 17日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=tagt_wlp_generate_ssl_keys
ファイル名: tagt_wlp_generate_ssl_keys.html