ご使用の構成の鍵ストアおよびトラストストアを変更または置換し、証明書別名を選択することによって、
Transport Layer Security (TLS) を構成できます。
始める前に
- TLS は、バージョン 1.0.0.4 以降で構成できます。
- WebSphere® eXtreme
Scale クライアント、バージョン 7.1 フィックス 1 以降を使用している必要があります。
- アプライアンス管理権限が割り当てられている必要があります。
- アプライアンス構成に追加する、鍵ストアまたはトラストストアと、関連付けられたパスワードが必要です。
- 既存のトラストストアを変更したければ、アプライアンスからトラストストアをダウンロードすることができます。
- クライアントの公開証明書を使用してトラストストアを更新する必要があります。アプライアンスは、接続するクライアントを信頼する必要があります。
- 指定されたトラストストアには、鍵ストア内のエントリーに対応する公開証明書が含まれている必要があります。アプライアンスの証明書別名の可能な構成オプションとして鍵ストアの証明書別名を指定できるようにするためには、その鍵ストアの証明書別名をトラストストア内で信頼する必要があります。
- WebSphere Application Server のグローバル・セキュリティー設定によって、サーバーが WebSphere DataPower® XC10 アプライアンス への接続を
試行する方法が決まります。
- グローバル・セキュリティー設定が使用不可の場合は、TCP/IP を使用して接続が試行されます。
- グローバル・セキュリティー設定が使用可能な場合は、アプライアンスの公開証明書を WebSphere Application Server トラストストアに追加する必要があります。
WebSphere DataPower XC10 アプライアンスの構成が
「TLS 必須」になっている場合は、グローバル・セキュリティーを使用可能にする必要があります。グローバル・セキュリティーの構成に関して詳しくは、グローバル・セキュリティーの設定を参照してください。
このタスクについて
TLS 設定は、ユーザー・インターフェースおよびデータ・グリッドに適用されます。
設定は、集合内のすべてのアプライアンスに適用されます。
手順
- WebSphere Application Server では必須: アプライアンスの公開証明書を WebSphere Application Server のデフォルト・トラストストアに追加します。
- デフォルトのアプライアンス・トラストストアを使用する場合:
デプロイメント・マネージャーの
was_root/bin ディレクトリーから
addXC10PublicCert.py スクリプトを実行します。以下のコマンドを使用してください。
wsadmin -lang jython -f addXC10PublicCert.py
- アプライアンスのカスタム・キーを使用する場合:
-certPath コマンド行オプションを使用して、デプロイメント・マネージャーの
was_root/bin ディレクトリーから
addXC10PublicCert.py スクリプトを実行します。
-certPath コマンド行オプションの値は、アプライアンスの鍵ストア用に構成された別名に対応する公開証明書のディスクの場所です。
wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
- WebSphere Application Server に必要: アプライアンスのトラストストアと WebSphere Application Server の公開証明書をダウンロードし、keytool ユーティリティーを実行して、証明書をトラストストアに追加します。このツールは、WebSphere Application Server の証明書を組み込むようにアプライアンス・トラストストアを更新します。
- デフォルトのアプライアンス・トラストストアを使用する場合は、アクティブなトラストストアをダウンロードします。 をクリックします。「アクティブなトラストストアのダウンロード」をクリックし、ディスク上のファイルの保存場所 (例えば /downloads/trustStore.jks ディレクトリーなど) を覚えておきます。
- WebSphere Application Server の公開証明書を抽出します。
- WebSphere Application Server 管理コンソールで、をクリックします。
- 「鍵ストアの使用法」から「ルート証明書鍵ストア」を選択します。
- 「DmgrDefaultRootStore」を選択します。
- 「個人証明書」を選択します。
- ルート鍵ストア内の証明書の横にあるチェック・ボックスをクリックします。
抽出する証明書の完全修飾ファイル名 (例: /certificates/public.cer) を指定します。
- コマンド行ウィンドウで、次のコマンドを実行します: cd
/java_home/bin
- keytool ユーティリティーを実行します。
keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks -file /certificates/public.cer -storepass xc10pass -storetype jks
- 追加でインポートする証明書があれば、この手順を繰り返し、証明書を抽出して keytool ユーティリティーを再度実行します。
- 鍵ストアとトラストストアの情報をアプライアンスにアップロードします。 アプライアンス・ユーザー・インターフェースで、を
クリックします。WebSphere Application Server の手順を完了したら、更新済みの /downloads/trustStore.jks ファイルをアップロードします。
鍵ストアまたはトラストストアをアップロードした後、
関連付けられたパスワードを更新する必要があります。デフォルトのトラストストアを使用する場合、
パスワードは xc10pass です。
- 集合の証明書別名を選択します。
- トランスポート・タイプを指定します。 以下のトランスポート・タイプ設定のいずれかを選択してください。
- TLS サポート: データ・グリッドは TCP/IP、SSL、または TLS を使用して通信を行います。ユーザー・インターフェースは HTTP および HTTPS を使用してアクセスできます。
- TLS 必須: データ・グリッドは SSL または TLS のみを使用して通信を行います。ユーザー・インターフェースは HTTPS のみを使用してアクセスできます。
データ・グリッド TLS 使用不可:
データ・グリッドは非セキュア接続を使用して通信を行います。ユーザー・インターフェースは HTTP および HTTPS を使用してアクセスできます。
- 通信を可能にするための信頼できる証明書の送付をクライアントに要求するために、
「クライアント証明書認証を使用可能にする」を選択します。
- 「TLS 設定の送信」をクリックして、変更を構成に保存します。
タスクの結果
TLS 構成の変更を完了するために、
集合を再始動する必要があります。
集合が再始動しているときには、ユーザー・インターフェースの限られた一部分が
アクセス可能です。ユーザー・インターフェースの一部分にアクセスできない場合は、
適当な時間を置いて、再度要求を実行依頼してください。「タスク」パネルに成功の状況が表示されて、
いくつかの TLS 変更が完了したことが自動的に示されます。
アプライアンスが使用する証明書別名を変更した場合、ブラウザーを再始動したり、
ユーザー・インターフェースをログアウトして再度ログインしたり、ブラウザー・プロンプトで新しい証明書を信頼したりする必要が生じる場合もあります。
クライアント認証が使用可能なときに
ユーザー・インターフェースを使用できないようであれば、
信頼できるクライアント証明書をブラウザーにインポートしたかどうか確認してください。信頼できるクライアント証明書がブラウザーに
インポートされていなければ、ユーザー・インターフェースにアクセスできません。ユーザー・インターフェースに正常にログオンした後、
タスクによって、TLS 構成の成功が示されます。
次のタスク
ベスト・プラクティス- 別のアプライアンスからユーザー・インターフェースにアクセスする際、ブラウザーからの警告を回避するために、
鍵ストアの証明書の共通名 (CN) に、ワイルドカードを含めることを考慮してください。各アプライアンスは、TLS 構成に、
証明書別名で指定されたものと同じ証明書を使用します。例えば、myhost.mycompany.com では
なく、*.mycompany.com を使用して、証明書を mycompany ドメイン内の
すべてのホストに有効にすることができます。
- プライベート認証局 (CA) を使用して、TLS 構成で選択した証明書別名に関連付けられた証明書に
署名することもできます。そうすると、CA 証明書をブラウザーにインポートして、プライベート CA で署名された証明書によって、
プロンプトの出力なしにそれぞれの集合を信頼することができます。一般に、プライベート CA の使用は、
専用イントラネットでのアクセスにのみ適しています。