ご使用の構成の鍵ストアおよびトラストストアを追加し、証明書別名を選択することによって、
トランスポート層セキュリティー (TLS) を構成できます。
始める前に
TLS は、バージョン 1.0.0.4 以降で構成できます。
- WebSphere® eXtreme
Scale クライアント、バージョン 7.1 フィックス 1 以降を使用している必要があります。
- 以下の手順を実行するには、アプライアンス管理権限が割り当てられている必要があります。
- アプライアンス構成に追加する、鍵ストア、トラストストアおよび関連付けられたパスワードが必要です。
- 別のアプライアンスからユーザー・インターフェースにアクセスする際、ブラウザーからの警告を回避するために、
鍵ストアの証明書の共通名 (CN) に、ワイルドカードを含めることを考慮してください。各アプライアンスは、TLS 構成に、
証明書別名で指定されたものと同じ証明書を使用します。例えば、myhost.mycompany.com では
なく、*.mycompany.com を使用して、証明書を mycompany ドメイン内の
すべてのホストに有効にすることができます。
このタスクについて
TLS 設定は、ユーザー・インターフェースおよびデータ・グリッドに適用されます。
設定は、集合内のすべてのアプライアンスに適用されます。
手順
- 「設定」パネルに進みます。 セキュリティー・オプションを管理するには、次のいずれかの方法で
「設定」パネルに進みます。
- WebSphere DataPower® XC10 アプライアンス ユーザー・インターフェースのメニュー・バーから
、をクリックします。
- 「ようこそ」ページで、「ステップ 1: アプライアンスのセットアップ」セクションにある「設定のカスタマイズ」リンクをクリックします。
- 「トランスポート層セキュリティー (TLS)」を展開します。
- 新しい鍵ストアおよびトラストストア情報をアップロードします。 鍵ストアまたはトラストストアをアップロードした後、
関連付けられたパスワードを更新する必要があります。デフォルトのトラストストアを使用する場合、
パスワードは xc10pass です。
- 鍵ストアをアップロードした場合、集合の使用する証明書別名を選択します。
- トランスポート・タイプを指定します。TCP/IP プロトコルと TLS プロトコルの両方をサポートする場合、
「TLS サポート」を選択します。
TLS プロトコルを通して接続を要求する場合、「TLS 必須」を選択します。
- 通信を可能にするための信頼できる証明書の送付をクライアントに要求するために、
「クライアント証明書認証を使用可能にする」を選択します。
- 「TLS 設定の送信」をクリックして、変更を構成に保存します。
タスクの結果
構成されたトラストストアがアクティブになります。TLS 構成の変更を完了するために、
集合を再始動する必要があります。
集合が再始動しているときには、ユーザー・インターフェースの限られた一部分が
アクセス可能です。ユーザー・インターフェースの一部分にアクセスできない場合は、
適当な時間を置いて、再度要求を実行依頼してください。「タスク」パネルに成功の状況が表示されて、
いくつかの TLS 変更が自動的に完了したことが示されます。
ブラウザーを再始動したり、
ユーザー・インターフェースをログアウトして再度ログインしたり、
ブラウザー・プロンプトからの新しい証明書を信頼したりする必要が生じる場合もあります。
クライアント認証が使用可能なときに
ユーザー・インターフェースを使用できないようであれば、
信頼できるクライアント証明書をブラウザーにインポートしたかどうか確認してください。信頼できるクライアント証明書がブラウザーに
インポートされていなければ、ユーザー・インターフェースにアクセスできません。ユーザー・インターフェースに正常にログオンした後、
タスクによって、TLS 構成の成功が示されます。
いつでもアクティブなトラストストアをダウンロードするには、
「アクティブなトラストストアのダウンロード」をクリックします。
クライアント認証に信頼できる項目を追加している場合、
アクティブなトラストストアのダウンロードが役に立ちます。ダウンロードした後で、最新のトラストストアを変更しているかどうかを
確認できます。新しいトラストストアをアップロードしている場合は、
新しい設定を実行依頼した後で、トラストストアのダウンロードが可能になります。ダウンロードされたトラストストアのファイル名は、
トラストストアがアップロードされたときに使用された元のファイル名と同じではありません。
次のタスク
- WebSphere Application Server を使用してデータ・グリッドを構成して TLS を要求する場合、
または、WebSphere Application Server が TLS を使用するようにしたい場合は、
グローバル・セキュリティーを使用可能にする必要もあります。グローバル・セキュリティーの構成に関して詳しくは、グローバル・セキュリティーの設定を参照してください。アプライアンスの公開証明書 (public certificate) を WebSphere Application Server トラストストアに
追加する必要もあります。以下のいずれかのオプションを使用します。
- アプライアンスのデフォルト・トラストストアを使用する場合: デプロイメント・マネージャー
で WAS_HOME/bin ディレクトリーから addXC10PublicCert.py スクリプトを実行して、
アプライアンスの公開証明書 (public certificate) を WebSphere Application Server デフォルト・トラストストアに追加します。
- アプライアンスのカスタム鍵を使用する場合: デプロイメント・マネージャーで
、-certPath コマンド行オプションを付けて WAS_HOME/bin ディレクトリーから addXC10PublicCert.py スクリプトを実行して、
アプライアンスの公開証明書 (public certificate) を WebSphere Application Server デフォルト・トラストストアに挿入します。-certPath コマンド行オプションの値は、
アプライアンスの鍵ストア用に構成された別名に対応する公開証明書 (public certificate) のディスクの場所です。
アプライアンスに新しい鍵ペアを生成し
、HTTP セッション管理を使用する場合、TLS 設定にかかわらず、
新しいアプライアンスの公開証明書 (public certificate) を WebSphere Application Server トラストストアに移動して、WebSphere DataPower XC10 アプライアンス HTTP セッション管理が機能するようにしなければなりません。
- プライベート認証局 (CA) を使用して、TLS 構成で選択した証明書別名に関連付けられた証明書に
署名することもできます。そうすると、CA 証明書をブラウザーにインポートして、プライベート CA で署名された証明書によって、
プロンプトの出力なしにそれぞれの集合を信頼することができます。一般に、プライベート CA の使用は、
専用イントラネットでのアクセスにのみ適しています。