Secure Socket Layer
このフィーチャーにより、Secure Sockets Layer (SSL) 接続のサポートが有効になります。ssl-1.0 フィーチャーが使用可能になっていないと、secureHTTPS リスナーが開始されません。Liberty プロファイルはダミーの鍵ストアとダミーのトラストストアを提供しますが、それらは前のバージョンの WebSphere Application Server で提供されるものと同じです。
このフィーチャーの使用可能化
Secure Socket Layer フィーチャーを有効にするには、
server.xml ファイルの featureManager エレメント内に次のエレメント宣言を追加します。
<feature>ssl-1.0</feature>
Supported Java™ バージョン
- JavaSE-1.6
- JavaSE-1.7
- JavaSE-1.8
このフィーチャーに依存するフィーチャーの開発
Secure Socket Layer フィーチャーに依存するフィーチャーを作成している場合は、新しいフィーチャーのためにフィーチャー・マニフェスト・ファイルの Subsystem-Content ヘッダーに次の項目を含めます。
com.ibm.websphere.appserver.ssl-1.0; type="osgi.subsystem.feature"
このフィーチャーを使用可能にするフィーチャー
このフィーチャーが提供する SPI パッケージ
フィーチャーの構成エレメント
server.xml ファイルの次のエレメントを使用して、Secure Socket Layer フィーチャーを構成することができます。
- channelfw
- チャネルおよびチェーンの管理設定を定義します。
属性名 データ型 デフォルト値 説明 chainQuiesceTimeout 期間 (精度: ミリ秒) 30s チェーンの静止プロセス中における、デフォルトの待機時間。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 chainStartRetryAttempts int 最小: 0
60 チェーンごとの再試行回数。 chainStartRetryInterval 期間 (精度: ミリ秒) 5s 始動再試行の時間間隔。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 warningWaitTime 期間 (精度: ミリ秒) 10s この待機時間を超えると、ファクトリー構成の欠落が通知されます。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 - keyStore
- SSL 暗号化のために使用されるセキュリティー証明書のリポジトリー。
属性名 データ型 デフォルト値 説明 fileBased boolean true 鍵ストアがファイル・ベースの場合は true を指定し、鍵ストアが SAF 鍵リングまたはハードウェア鍵ストア・タイプである場合は false を指定します。 id string 固有の構成 ID。 location ファイルのパス ${server.output.dir}/resources/security/key.jks 鍵ストア・ファイルへの絶対パスまたは相対パス。 相対パスが指定されると、サーバーは ${server.config.dir}/resources/security ディレクトリー内でファイルの検索を試みます。 ファイル・ベースの鍵ストアの場合は鍵ストア・ファイルを、SAF 鍵リングの場合は鍵リング名を、ハードウェア暗号化デバイスの場合はデバイス構成ファイルを使用します。 SSL 最小構成では、このファイルのロケーションは ${server.config.dir}/resources/security/key.jks であることが前提とされています。 password リバース・エンコードされたパスワード (ストリング) 鍵ストア・ファイルをロードするために使用されるパスワード。 値は、平文形式またはエンコード形式で保管することができます。 パスワードをエンコードするには securityUtility ツールを使用します。 pollingRate 期間 (精度: ミリ秒) 500ms 鍵ストア・ファイルに対する更新があるかどうかをサーバーが検査するレート。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 readOnly boolean false 鍵ストアがサーバーによって読み取り用に使用される場合は true を指定し、サーバーによって鍵ストアへの書き込み操作が実行される場合は false を指定します。 type string jks ターゲット SDK がサポートしている鍵ストア・タイプ。 updateTrigger - mbean
- polled
- disabled
mbean 鍵ストア・ファイル更新のメソッドまたはトリガー。 - mbean
- サーバーは、外部プログラム (統合開発環境や管理アプリケーションなど) で呼び出された MBean によって求められた場合のみ、鍵ストアを更新します。
- polled
- サーバーは、ポーリング間隔で鍵ストア・ファイル変更をスキャンし、鍵ストア・ファイルに検出可能な変更があれば更新します。
- disabled
- すべての更新モニターを無効にします。 鍵ストア・ファイルに対する変更は、サーバーの実行中は適用されません。
- ssl
- ID、定義済み鍵ストア、およびオプションのトラストストアを持つ SSL レパートリー。
属性名 データ型 デフォルト値 説明 clientAuthentication boolean false クライアント認証を有効にするかどうかを指定します。 true に設定される場合、クライアント認証が必要であり、クライアントはサーバーのトラストのために証明書を提供する必要があります。 clientAuthenticationSupported boolean false クライアント認証がサポートされるかどうかを指定します。 true に設定される場合、クライアント認証サポートは、クライアントが証明書を提示した場合はクライアントからのトラストをサーバーがチェックすることを意味します。 clientKeyAlias string クライアント認証が有効にされているサーバーに鍵として送信されるのに使用される、鍵ストア内の証明書の別名を指定します。 この属性が必要なのは、鍵ストアに複数の鍵エントリーがある場合のみです。 enabledCiphers string 暗号のカスタム・リストを指定します。 リスト中の各暗号はスペースで区切ります。 サポートされる暗号は、基礎として使用される JRE に依存します。 有効な暗号については、JRE を確認してください。 id string 固有の構成 ID。 keyStoreRef string SSL レパートリーの鍵エントリーを含む鍵ストア。この属性は必須です。 securityLevel - MEDIUM
- CUSTOM
- HIGH
- LOW
HIGH SSL ハンドシェークによって使用される暗号スイート・グループを指定します。 HIGH は 3DES および 128 ビット以上の暗号、MEDIUM は DES および 40 ビットの暗号、LOW は暗号化なしの暗号です。 enabledCiphers 属性が使用される場合、securityLevel リストは無視されます。 - MEDIUM
- %repertoire.MEDIUM
- CUSTOM
- %repertoire.CUSTOM
- HIGH
- 暗号スイート 3DES および 128 ビット以上
- LOW
- %repertoire.LOW
serverKeyAlias string サーバーの鍵として使用される、鍵ストア内の証明書の別名を指定します。 この属性が必要なのは、鍵ストアに複数の鍵エントリーがある場合のみです。 sslProtocol string SSL ハンドシェーク・プロトコル。 プロトコル値は、基盤になっている JRE の Java Secure Socket Extension (JSSE) プロバイダーの資料に記述されています。IBM JRE を使用している場合はデフォルト値は SSL_TLS であり、Oracle JRE を使用している場合はデフォルト値は SSL です。 trustStoreRef string ${keyStoreRef} SSL レパートリーが署名確認のために使用するトラステッド証明書エントリーを含む鍵ストア。この属性はオプションです。 これが指定されていないと、鍵エントリーとトラステッド証明書エントリーの両方に対して同じ鍵ストアが使用されます。 - sslDefault
- SSL サービスのデフォルト・レパートリー。
属性名 データ型 デフォルト値 説明 sslRef string defaultSSLConfig デフォルトとして使用される SSL レパートリーの名前。何も指定されない場合、defaultSSLConfig という名前のデフォルト SSL レパートリーが使用されます。 - sslOptions
- トランスポート用の SSL プロトコル構成。
属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 sessionTimeout 期間 (精度: 秒) 1d ソケットで読み取り要求または書き込み要求が完了するのを待機する時間です。 この値は、プロトコル固有のタイムアウトによってオーバーライドされます。. 正整数の後に時間単位 (時間 (h)、分 (m)、または秒 (s)) を付けて指定してください。 例えば、30 秒は 30s と指定します。 単一エントリーに複数の値を含めることができます。 例えば、90 秒の場合、1m30s とすることができます。 sslRef string デフォルト SSL 構成レパートリー。 デフォルト値は defaultSSLSettings です。 suppressHandshakeErrors boolean false SSL ハンドシェーク・エラーのロギングを無効にします。 通常操作時に SSL ハンドシェーク・エラーが発生することがありますが、SSL の動作が予期しないものになっている場合は、こうしたメッセージが役立ちます。 - tcpOptions
- TCP プロトコル設定を定義します。
属性名 データ型 デフォルト値 説明 id string 固有の構成 ID。 inactivityTimeout 期間 (精度: ミリ秒) 60s ソケットで読み取り要求または書き込み要求が完了するのを待機する時間です。 この値は、プロトコル固有のタイムアウトによってオーバーライドされます。. 正整数の後に時間単位 (時間 (h)、分 (m)、秒 (s)、またはミリ秒 (ms)) を付けて指定してください。 例えば、500 ミリ秒は 500ms と指定します。 単一エントリーに複数の値を含めることができます。 例えば、1.5 秒の場合、1s500ms とすることができます。 soReuseAddr boolean true アクティブなリスナーのないポートへの即時再バインドを使用可能にします。