WebSphere Application Server に対する SSL の設定

ここでは、IBM WebSphere Application Server で SSL を設定する次の手順について説明します。

    WebSphere でのローカルユーザーアカウントの作成

    SSL を有効にするために、WebSphere はローカル OS ユーザーレジストリ内のシステムの管理権限を持つユーザーアカウントにアクセスする必要があります。

    • (Windows)Windows ユーザーを新規作成します。このユーザーは、管理者グループに属し、オペレーティングシステムの一部としての役割を果たす権限を持つように設定します(WebSphere 用の Windows ユーザーの作成を参照)。

    • (Linux、UNIX)root ユーザーまたは root 権限を持つ別のユーザーのアカウントを使用できます。WebSphere で SSL を有効にする際に、そのユーザーのサーバー ID とパスワードを使用します。

    WebSphere 用の Linux または UNIX ユーザーの作成

    1. root ユーザーとしてログインします。

    2. コマンドプロンプトに次のコマンドを入力して、新しいユーザーを作成します。

      • (Linux および Sun Solaris)useradd

      • (IBM AIX)mkuser

    3. コマンドプロンプトで passwd と入力して、新しいユーザーのパスワードを設定します。

    4. (Linux および Solaris)コマンドプロンプトでパラメーターを付けずに pwconv と入力して、シャドーパスワードファイルを作成します。

      注意: (Linux および Solaris)WebSphere Application Server のローカル OS セキュリティレジストリが機能するには、シャドーパスワードファイルが存在している必要があります。シャドーパスワードファイルは通常、/etc/shadow という名前で、/etc/passwd ファイルを基にして作成されます。シャドーパスワードファイルが存在しないと、グローバルセキュリティを有効にしてユーザーレジストリをローカル OS として設定した後でエラーが発生します。

    5. /etc ディレクトリにあるグループファイルをテキストエディターで開きます。

    6. 手順 2 で作成したユーザーを root グループに追加します。

    7. ファイルを保存して閉じます。

    8. (SSL を有効にした UNIX)root ユーザーとして WebSphere を起動し、停止します。

    WebSphere 用の Windows ユーザーの作成

    1. 管理者ユーザーアカウントを使用して Windows にログインします。

    2. スタート/コントロールパネル/管理ツール/コンピューターの管理/ローカルユーザーとグループを選択します。

    3. 「ユーザー」を右クリックして、「新しいユーザー」を選択します。

    4. 該当するボックスにユーザー名とパスワードを入力し、必要に応じて他のボックスの情報も入力します。

    5. 「ユーザーは次回ログオン時にパスワードの変更が必要」の選択を解除し、「作成」をクリックして、「閉じる」をクリックします。

    6. 「ユーザー」をクリックし、作成したユーザーを右クリックして、「プロパティ」を選択します。

    7. 「所属するグループ」タブをクリックして、「追加」をクリックします。

    8. 「選択するオブジェクト名を入力してください」ボックスに、Administrators と入力し、「名前の確認」をクリックしてグループ名が正しいことを確認します。

    9. 「OK」をクリックし、「OK」を再度クリックします。

    10. スタート/コントロールパネル/管理ツール/ローカルセキュリティポリシー/ローカルポリシーを選択します。

    11. 「ユーザー権利の割り当て」をクリックし、「オペレーティングシステムの一部として機能」を右クリックして、「プロパティ」を選択します。

    12. 「ユーザーまたはグループの追加」をクリックします。

    13. 「選択するオブジェクト名を入力してください」ボックスに、手順 4 で作成したユーザーの名前を入力し、「名前の確認」をクリックして名前が正しいことを確認してから、「OK」をクリックします。

    14. 「OK」をクリックして、オペレーティングシステムの一部として機能のプロパティダイアログボックスを閉じます。

    SSL 秘密鍵証明書の作成

    WebSphere で SSL を設定するには、認証用の SSL 秘密鍵証明書が必要です。WebSphere と共にインストールされる IBM 鍵管理ツールを使用し、次のタスクを実行して秘密鍵証明書を作成することができます。

    • キーストアファイルを作成して、新しい自己署名証明書および関連する秘密鍵を保存します。

    • 証明書を書き出して、同じキーストアに署名者証明書として追加します。同じキーストアは、WebSphere SSL 設定でキーファイルおよびトラストファイルとして使用されます。

    SSL 秘密鍵証明書の作成

    1. コマンドプロンプトを開き、次のコマンドを入力して、IBM 鍵管理ツールを実行します。

      • (Windows)[appserver root]\bin\ikeyman.bat

      • (Linux、UNIX)[appserver root]/bin/ikeyman.sh

    2. メニューバーから、Key Database File/New を選択し、「Key database type」で「JKS」を選択します。

    3. 「Browse」をクリックして、[appserver root]/etc ディレクトリに移動します。

    4. 「File Name」ボックスに ads-credentials.jks と入力し、「Save」をクリックして、「OK」をクリックします。

    5. Password Prompt ウィンドウで、パスワードを入力し、同じパスワードを「Confirm Password」ボックスに再入力します。このパスワードは、Administration Console/Trust Store の管理で設定した SSL プロパティの SSL 秘密鍵証明書パスワードと一致している必要があります。

    6. 「OK」をクリックします。

    7. メニューバーから、「Create」を選択し、「New Self signed Certificate」をクリックします。新規自己署名証明書の作成ウィンドウが開きます。

    8. 「Key Label」ボックスに ads-credentials と入力し、「Organization」、「Organization Unit」、「Country or Region」および「Validity Period」の値を指定します。

    9. 「Common Name」の値を編集して、LiveCycle サーバーの完全修飾ドメイン名に設定し、「OK」をクリックします。

    10. リストから「ads-credentials」証明書を選択して、「Extract Certificate」をクリックします。

    11. 「Data type」で、「Base64-encoded ASCII data」を選択します。「Certificate file name」に、ads-cert.arm と入力し、「Location」に、[appserver root]/etc と入力して、「OK」をクリックします。

    12. 「Key Database Content」領域のメニューから、「Signer Certificates」を選択して、「Add」をクリックします。

    13. 「Certificate file name」ボックスで、「Browse」をクリックし、手順 11 で作成した「ads-cert.arm」を選択して、「Open」をクリックしてから、「OK」をクリックします。

    14. ラベルの入力ダイアログボックスに、ads-credentials-cert と入力し、「OK」 クリックします。

    15. Key Database File/Exit を選択します。

    LDAP の代わりにローカル OS レジストリを使用する WebSphere の設定

    LDAP を使用しない場合は、ローカル OS レジストリを使用するように WebSphere を設定します。

    1. WebSphere が実行中であることを確認します。

    2. WebSphere Administrative Console で、ローカル OS に移動します。

    3. ナビゲーションツリーで、Security/Global Security をクリックし、「User Registries」で「Local OS」を選択します。

    4. 次のタスクを実行します。

      • 「Server User ID」ボックスで、WebSphere でのローカルユーザーアカウントの作成の指示に従って作成したユーザーアカウントの名前を入力します。

      • 「Server User Password」ボックスに、サーバーユーザー ID に入力したユーザーのユーザーパスワードを入力します。

    5. 「OK」をクリックして、変更を保存します。

    WebSphere での SSL の有効化

    1. WebSphere Administrative Console で、LTPA に移動し、Security/Secure Administration, Applications and Infrastructure をクリックし、「Authentication」で、「Authentication Mechanisms and Expiration」をクリックします。

    2. 次のタスクを実行します。

      • 「Password」ボックスに、SSL 秘密鍵証明書の作成の手順に従って ads-credential.jks ファイルを作成したときに指定したパスワードを入力します。

      • 「Confirm Password」ボックスにパスワードを再入力します。

      • 「Timeout Value For Forwarded Credentials Between Servers」ボックスに、10 と入力します。10 は、LTPA トークンの有効期限が切れるまでの時間(分単位)になります。この時間は、WebSphere セキュリティのアプリケーションのキャッシュタイムアウトの時間(「Cache Timeout」プロパティ)より大きい値に設定する必要があります。

    3. 「OK」をクリックします。

    4. ナビゲーションツリーで、Security/Secure Administration, Applications and Infrastructure をクリックします。

    5. 次のタスクを実行します。

      • 「Enable Administrative Security」を選択します。

      • 「Use Java 2 Security To Restrict Application Access To Local Resources」、「Use Domain-Qualified User Names」を選択解除します。

      • 「Active User Registries」リストで、使用しているユーザーレジストリを選択します。

    6. 「OK」をクリックします。ローカル OS ログイン情報の入力が要求されたら、この手順の手順 2 で指定した情報と同じものを入力します。

    7. ナビゲーションツリーで、Security/SSL Certificate And Key Management を選択します。

    8. 「Key Stores and Certificates」で、「New」をクリックして次のように設定します。

      • 「Name」ボックスに、AdsSSL と入力します。

      • 「Path」ボックスに、[appserver root]/etc/ads-credentials.jks と入力します。

      • 「Password」ボックスに、ads-credentials.jks ファイルを作成したときに使用したパスワードを入力します。

      • 「Confirm Password」ボックスに、ads-credentials.jks ファイルを作成したときに使用したパスワードを入力します。

      • 「Type」リストで「JKS」を選択します。

    9. 「OK」をクリックし、設定を保存します。

    10. 「SSL Configuration」で、「New」をクリックして次のように設定します。

      • 「Name」ボックスに、AdsSSL と入力します。

      • 「Trust Store Name」リストで、「AdsSSL」を選択します。

      • 「Keystore Name」リストで、「AdsSSL」を選択し、「Get Certificate Aliases」をクリックします。

      • 「Default Server Certificate Alias」リストで、「ads-credentials」を選択します。

      • 「Default Client Certificate Alias」リストで、「ads-credentials」を選択します。

    11. 「OK」をクリックし、設定を保存します。

    12. 「CSIv2 Inbound Authentication」に移動し、Security/Secure Administration, Applications and Infrastructure をクリックし、「Authentication」で、RMI/IIOP Security/CSIv2 Inbound Authentication をクリックします。

    13. 「Basic Authentication」を「Supported」に設定し、「Client Certificate Authentication」を「Required」に設定して、「OK」をクリックします。

    14. 「CSIv2 Outbound Authentication」に移動し、Security/Secure Administration, Applications and Infrastructure をクリックし、「Authentication」で、RMI/IIOP Security/CSIv2 Outbound Authentication をクリックします。

    15. 「Basic Authentication」を「Supported」に設定し、「Client Certificate Authentication」を「Required」に設定して、「OK」をクリックします。

    16. 「CSIv2 Inbound Transport」に移動し、Security/Secure Administration, Applications and Infrastructure をクリックし、「Authentication」で、RMI/IIOP Security/CSIv2 Inbound Transport をクリックします。

    17. 「Transport」を「SSL-Required」に設定し、「SSL Settings」を「localhost/AdsSSL」に設定して、「OK」をクリックします。

    18. 「CSIv2 Outbound Transport」に移動し、Security/Secure Administration, Applications and Infrastructure をクリックし、「Authentication」で、RMI/IIOP Security/CSIv2 Outbound Transport をクリックします。

    19. 「Transport」を「SSL-Required」に設定し、「SSL Settings」を「localhost/AdsSSL」に設定して、「OK」をクリックします。

    20. ナビゲーションツリーで、Servers/Application Servers をクリックし、[server name] をクリックします。

    21. 「Container Settings」で、Web Container Settings/Web Container をクリックします。

    22. 「Additional Properties」で「Web Container Transport Chains」をクリックし、「WCInboundDefaultSecure」をクリックします。

    23. 「SSL Inbound Channel (SSL_2)」をクリックし、「SSL Configuration」で「Specific To This Endpoint」を選択して、リストから「AdsSSL」を選択します。

      Internet Explorer 6.x を使用して SSL 経由で接続している場合、Cache-Control ヘッダーの追加を無効にします。次のように WCInboundDefaultSecure プロパティを設定します。

      • 「HTTP Inbound Channel」をクリックして、「Custom Properties」を選択します。

      • 「New」をクリックして、以下のように設定します。

        Name - CookiesConfigureNoCache

        Value - false

        Description - To disable the addition of Cache-Control header to response in SSL

    24. 「OK」をクリックして、変更をマスター構成に保管します。

    25. WebSphere を終了してから再起動します。WebSphere Administrative Console でログインダイアログボックスが表示され、ここに、手順 2 で指定したユーザー名とパスワードを入力する必要があります。

    26. (Workspace、Process Management)ナビゲーションツリーで、Resources/JMS/JMS Providers をクリックし、「Default Messaging」をクリックします。

    27. 「Connection Factories」で「JMS Queue Connection Factory」を選択し、「QueueConnectionFactory」をクリックします。

    28. (Workspace、Process Management)「Component-Managed Authentication Alias」リストで、[computer name]/myAlias を選択し、「OK」をクリックします。

    29. (Workspace、Process Management)「Related Items」で「J2C Authentication Data Entries」を選択し、データベースユーザーに root 権限があることを確認して、「OK」をクリックします。

    30. (Workspace、Process Management)変更内容をマスター構成に保管します。

    31. (Workspace、Process Management)WebSphere を停止してから再起動します。

    https で始まる URL を変換するための WebSphere の設定

    https で始まる URL を変換するには、その URL の署名者証明書を WebSphere サーバーに追加します。

    https 対応サイト用署名者証明書の作成

    1. WebSphere が実行中であることを確認します。

    2. WebSphere Administrative Console で、「Signer certificates」に移動し、Security/SSL Certificate and Key Management/Key Stores and Certificates/NodeDefaultTrustStore/Signer Certificates をクリックします。

    3. 「Retrieve From Port」をクリックし、次のタスクを実行します。

      • 「Host」ボックスに URL を入力します。例えば、www.paypal.com のように入力します。

      • 「Port」ボックスに、443 と入力します。このポートがデフォルトの SSL ポートです。

      • 「Alias」ボックスに別名を入力します。

    4. 「Retrieve Signer Information」をクリックし、情報が取得されたことを確かめます。

    5. 「Apply」をクリックし、「Save」をクリックします。

    証明書が追加されたサイトでの、HTML から PDF への変換は、Generate PDF サービスからできるようになります。

    注意: アプリケーションが WebSphere の内部から SSL サイトに接続するには、署名者証明書が必要です。この証明書は、SSL のハンドシェイク時に接続のリモート側から送信された証明書を、Java Secure Socket Extensions(JSSE)が確認するために使用されます。