Transport Layer Security (TLS) の構成

ご使用の構成の鍵ストアおよびトラストストアを変更または置換し、証明書別名を選択することによって、 Transport Layer Security (TLS) を構成できます。

始める前に

このタスクについて

TLS 設定は、ユーザー・インターフェースおよびデータ・グリッドに適用されます。 設定は、集合内のすべてのアプライアンスに適用されます。

手順

  1. WebSphere Application Server に必要: アプライアンスの公開証明書を WebSphere Application Server のデフォルト・トラストストアに追加します。
    • デフォルトのアプライアンス・トラストストアを使用する場合:
      デプロイメント・マネージャーの was_root/bin ディレクトリーから addXC10PublicCert.py スクリプトを実行します。以下のコマンドを使用してください。
      wsadmin -lang jython -f addXC10PublicCert.py
    • アプライアンスのカスタム・キーを使用する場合:
      -certPath コマンド行オプションを使用して、デプロイメント・マネージャーの was_root/bin ディレクトリーから addXC10PublicCert.py スクリプトを実行します。-certPath コマンド行オプションの値は、アプライアンスの鍵ストア用に構成された別名に対応する公開証明書のディスクの場所です。
      wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
  2. WebSphere Application Server に必要: アプライアンスのトラストストアと WebSphere Application Server の公開証明書をダウンロードし、keytool ユーティリティーを実行して、証明書をトラストストアに追加します。このツールは、WebSphere Application Server の証明書を組み込むようにアプライアンス・トラストストアを更新します。
    1. デフォルトのアプライアンス・トラストストアを使用する場合は、アクティブなトラストストアをダウンロードします。 「アプライアンス」 > 「設定」 > 「Transport Layer Security (TLS)」をクリックします。「アクティブなトラストストアのダウンロード」をクリックし、ディスク上のファイルの保存場所 (例えば /downloads/trustStore.jks ディレクトリーなど) を記憶します。
    2. WebSphere Application Server の公開証明書を抽出します。
      1. WebSphere Application Server 管理コンソールで、「セキュリティー」 > 「SSL 証明書および鍵管理」 > 「鍵ストアと証明書」をクリックします。
      2. 鍵ストアの使用法」から「ルート証明書鍵ストア」を選択します。
      3. DmgrDefaultRootStore」を選択します。
      4. 個人証明書」を選択します。
      5. ルート鍵ストア内の証明書の横にあるチェック・ボックスをクリックします。 抽出する証明書の完全修飾ファイル名 (例: /certificates/public.cer) を指定します。
      6. コマンド行ウィンドウで、次のコマンドを実行します: cd /java_home/bin
      7. keytool ユーティリティーを実行します。
        keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks  -file /certificates/public.cer -storepass xc10pass -storetype jks
      8. 追加でインポートする証明書があれば、この手順を繰り返し、証明書を抽出して keytool ユーティリティーを再度実行します。
  3. 鍵ストアとトラストストアの情報をアプライアンスにアップロードします。 アプライアンス・ユーザー・インターフェースで、「アプライアンス」 > 「設定」 > 「Transport Layer Security (TLS)」を クリックします。WebSphere Application Server の手順を完了したら、更新済みの /downloads/trustStore.jks ファイルをアップロードします。 鍵ストアまたはトラストストアをアップロードした後、 関連付けられたパスワードを更新する必要があります。デフォルトのトラストストアを使用する場合、 パスワードは xc10pass です。
  4. 集合の証明書別名を選択します。
  5. トランスポート・タイプを指定します。 次のトランスポート・タイプ設定のいずれかを選択してください。
    • TLS サポート: データ・グリッドは TCP/IP、SSL、または TLS を使用して通信を行います。ユーザー・インターフェースは HTTP および HTTPS を使用してアクセスできます。
    • TLS 必須: データ・グリッドは SSL または TLS のみを使用して通信を行います。ユーザー・インターフェースは HTTPS のみを使用してアクセスできます。
    • データ・グリッド TLS 使用不可: データ・グリッドは非セキュア接続を使用して通信を行います。ユーザー・インターフェースは HTTP および HTTPS を使用してアクセスできます。
  6. 通信を可能にするための信頼できる証明書の送付をクライアントに要求するために、 「クライアント証明書認証を使用可能にする」を選択します。
  7. TLS 設定の送信」をクリックして、変更を構成に保存します。

タスクの結果

TLS 構成の変更を完了するために、 集合を再始動する必要があります。

集合が再始動しているときには、ユーザー・インターフェースの限られた一部分が アクセス可能です。ユーザー・インターフェースの一部分にアクセスできない場合は、 適当な時間を置いて、再度要求を実行依頼してください。「タスク」パネルに成功の状況が表示されて、 いくつかの TLS 変更が完了したことが自動的に示されます。

アプライアンスが使用する証明書別名を変更した場合、ブラウザーを再始動したり、 ユーザー・インターフェースをログアウトして再度ログインしたり、ブラウザー・プロンプトからの新しい証明書を信頼したりする必要が生じる場合もあります。

クライアント認証が使用可能なときに ユーザー・インターフェースを使用できないようであれば、 信頼できるクライアント証明書をブラウザーにインポートしたかどうか確認してください。信頼できるクライアント証明書がブラウザーに インポートされていなければ、ユーザー・インターフェースにアクセスできません。ユーザー・インターフェースに正常にログオンした後、 タスクによって、TLS 構成の成功が示されます。

次のタスク

ベスト・プラクティス