WebSphere Application Server に対する SSL の設定

ここでは、IBM WebSphere Application Server で SSL を設定する次の手順について説明します。

    WebSphere でのローカルユーザーアカウントの作成

    SSL を有効にするために、WebSphere はローカル OS ユーザーレジストリ内のシステムの管理権限を持つユーザーアカウントにアクセスする必要があります。

    • (Windows)Windows ユーザーを新規作成します。このユーザーは、管理者グループに属し、オペレーティングシステムの一部としての役割を果たす権限を持つように設定します(WebSphere 用の Windows ユーザーの作成を参照)。

    • (Linux、UNIX)root ユーザーまたは root 権限を持つ別のユーザーのアカウントを使用できます。WebSphere で SSL を有効にする際に、そのユーザーのサーバー ID とパスワードを使用します。

    WebSphere 用の Linux または UNIX ユーザーの作成

    1. root ユーザーとしてログインします。

    2. コマンドプロンプトに次のコマンドを入力して、新しいユーザーを作成します。

      • (Linux および Sun Solaris)useradd

      • (IBM AIX)mkuser

    3. コマンドプロンプトで passwd と入力して、新しいユーザーのパスワードを設定します。

    4. (Linux および Solaris)コマンドプロンプトでパラメーターを付けずに pwconv と入力して、シャドーパスワードファイルを作成します。

      注意: (Linux および Solaris)WebSphere Application Server のローカル OS セキュリティレジストリが機能するには、シャドーパスワードファイルが存在している必要があります。シャドーパスワードファイルは通常、/etc/shadow という名前で、/etc/passwd ファイルを基にして作成されます。シャドーパスワードファイルが存在しないと、グローバルセキュリティを有効にしてユーザーレジストリをローカル OS として設定した後でエラーが発生します。

    5. /etc ディレクトリにあるグループファイルをテキストエディターで開きます。

    6. 手順 2 で作成したユーザーを root グループに追加します。

    7. ファイルを保存して閉じます。

    8. (SSL を有効にした UNIX)root ユーザーとして WebSphere を起動し、停止します。

    WebSphere 用の Windows ユーザーの作成

    1. 管理者ユーザーアカウントを使用して Windows にログインします。

    2. スタート/コントロールパネル/管理ツール/コンピュータ管理/ローカルユーザーとグループを選択します。

    3. ユーザーを右クリックして「New User」を選択します。

    4. 該当するボックスにユーザー名とパスワードを入力し、必要に応じて他のボックスの情報も入力します。

    5. User Must Change Password At Next Login」の選択を解除し、「Create」をクリックして「Close」をクリックします。

    6. Users」をクリックし、作成したユーザーを右クリックして「Properties」を選択します。

    7. Member Of」タブをクリックして、「Add」をクリックします。

    8. 「選択するオブジェクト名を入力してください」ボックスに、Administrators と入力し、「名前の確認」をクリックしてグループ名が正しいことを確認します。

    9. OK」をクリックしてから、「OK」を再びクリックします。

    10. スタート/コントロールパネル/管理ツール/ローカルセキュリティポリシー/ローカルポリシー」を選択します。

    11. 「ユーザー権利の割り当て」をクリックし、「オペレーティングシステムの一部として機能」を右クリックして、「プロパティ」を選択します。

    12. ユーザーまたはグループの追加」をクリックします。

    13. 「Enter The Object Names To Select 」ボックスに、手順 4 で作成したユーザーの名前を入力し、「Check Names」をクリックして名前が正しいことを確認してから、「OK」をクリックします。

    14. OK」をクリックして、「Act As Part Of The Operating System」プロパティダイアログボックスを閉じます。

    WebSphere が新規作成したユーザーを管理者として使用するように設定します。

    1. WebSphere が実行中であることを確認します。

    2. WebSphere Administrative Console で、「Security/Global Security」を選択します。

    3. 「Administrative」セキュリティで、「Administrative user roles」を選択します。

    4. 「追加」をクリックして次の手順を実行します。

      1. 検索ボックスに * を入力し、「Search」をクリックします。

      2. ロールの下の「Administrator」をクリックします。

      3. 新規作成したユーザーを「Mapped to role」に追加し、「Administrator」にマッピングします。

    5. OK」をクリックして変更を保存します。

    6. WebSphere プロファイルを再起動します。

    管理セキュリティの有効化

    1. WebSphere 管理コンソールで「Security/Global Security」を選択します。

    2. Security Configuration Wizard」をクリックします。

    3. Enable Application Security」チェックボックスが有効になっていることを確認します。「Next」をクリックします。

    4. Federated Repositories を選択し、「Next」をクリックします。

    5. 設定する資格情報を指定し、「Next」をクリックします。

    6. Finish」をクリックします。

    7. WebSphere プロファイルを再起動します。

      WebSphere はデフォルトのキーストアと信頼ストアを使用して起動します。

    SSL の有効化 (カスタムキーと信頼ストア)

    信頼ストアとキーストアは ikeyman ユーティリティまたは管理コンソールを使用して作成できます。 ikeyman を正しく機能させるために、WebSphere インストールパスに括弧が入っていないことを確認してください。

    1. WebSphere Administrative Console で「Security/SSL certificate and key management」を選択します。

    2. 「Related items」で「Keystores and certificates」をクリックします。

    3. Key store usages」ドロップダウンで、「SSL Keystores」が選択されていることを確認します。「New」をクリックします。

    4. 論理名と説明を入力します。

    5. キーストアを作成する場所のパスを指定します。 ikeyman を使用してキーストアを既に作成済みの場合、キーストアファイルへのパスを指定します。

    6. パスワードを指定して確認します。

    7. キーストアタイプを選択して、「Apply」をクリックします。

    8. マスター構成を保存します。

    9. Personal Certificate」をクリックします。

    10. ikeyman を使用してキーストアを既に作成済みの場合、証明書が表示されます。作成済みでない場合は、次の手順を実行して新しい自己署名証明書を追加する必要があります。

      1. Create/Self-signed Certificate」を選択します。

      2. 証明書フォームで適切な値を指定します。エイリアスと共通名をマシンの完全修飾ドメイン名として保存してください。

      3. Apply」をクリックします。

    11. 手順 2 ~ 10 を繰り返して、信頼ストアを作成します。

    カスタムキーストアと信頼ストアをサーバーに適用します。

    1. WebSphere Administrative Console で「Security/SSL certificate and key management」を選択します。

    2. Manage endpoint security configuration」をクリックします。ローカルトポロジマップが開きます。

    3. 「Inbound」でノードの直接の子を選択します。

    4. 「Related items」で「SSL configurations」を選択します。

    5. NodeDeafultSSLSetting」を選択します。

    6. 信頼ストア名とキーストア名のドロップダウンリストで、作成したカスタムの信頼ストアとキーストアを選択します。

    7. Apply」をクリックします。

    8. マスター構成を保存します。

    9. WebSphere プロファイルを再起動します。

      これで、プロファイルは SSl 設定と証明書の上で実行されます。

    LiveCycle ネイティブのサポートの有効化

    1. WebSphere Administrative Console で「Security/Global Security」を選択します。

    2. 「Authentication」セクションで「RMI/IIOP security」を開き、「CSIv2 inbound communications」をクリックします。

    3. 「Transport」ドロップダウンリストで「SSL-supported」が選択されていることを確認します。

    4. WebSphere プロファイルを再起動します。

    https で始まる URL を変換するための WebSphere の設定

    https で始まる URL を変換するには、その URL の署名者証明書を WebSphere サーバーに追加します。

    https 対応サイト用署名者証明書の作成

    1. WebSphere が実行中であることを確認します。

    2. WebSphere Administrative Console で、「Signer certificates」に移動し、Security/SSL Certificate and Key Management/Key Stores and Certificates/NodeDefaultTrustStore/Signer Certificates をクリックします。

    3. 「Retrieve From Port」をクリックし、次のタスクを実行します。

      • 「Host」ボックスに URL を入力します。例えば、www.paypal.com のように入力します。

      • 「Port」ボックスに、443 と入力します。このポートがデフォルトの SSL ポートです。

      • 「Alias」ボックスに別名を入力します。

    4. 「Retrieve Signer Information」をクリックし、情報が取得されたことを確かめます。

    5. 「Apply」をクリックし、「Save」をクリックします。

    証明書が追加されたサイトでの、HTML から PDF への変換は、Generate PDF サービスからできるようになります。

    注意: アプリケーションが WebSphere の内部から SSL サイトに接続するには、署名者証明書が必要です。この証明書は、SSL のハンドシェイク時に接続のリモート側から送信された証明書を、Java Secure Socket Extensions(JSSE)が確認するために使用されます。