ここでは、IBM WebSphere Application Server で SSL を設定する次の手順について説明します。
SSL を有効にするために、WebSphere はローカル OS ユーザーレジストリ内のシステムの管理権限を持つユーザーアカウントにアクセスする必要があります。
ルートユーザーとしてログインします。
コマンドプロンプトに次のコマンドを入力して、新しいユーザーを作成します。
useradd
mkuser
コマンドプロンプトで passwd
と入力して、新しいユーザーのパスワードを設定します。
(Linux および Solaris)コマンドプロンプトでパラメーターを付けずに pwconv
と入力して、シャドーパスワードファイルを作成します。
(Linux および Solaris)WebSphere Application Server のローカル OS セキュリティレジストリが機能するには、シャドーパスワードファイルが存在している必要があります。シャドーパスワードファイルは通常、/etc/shadow という名前で、/etc/passwd ファイルを基にして作成されます。シャドーパスワードファイルが存在しない場合、グローバルセキュリティを有効にしてユーザーレジストリをローカル OS として設定するとでエラーが発生します。
/etc ディレクトリにあるグループファイルをテキストエディターで開きます。
手順 2 で作成したユーザーを root
グループに追加します。
ファイルを保存して閉じます。
(SSL を有効にした UNIX)root ユーザーとして WebSphere を起動し、停止します。
Administrators
と入力し、「名前の確認」をクリックしてグループ名が正しいことを確認します。WebSphere が実行中であることを確認します。
WebSphere 管理コンソールで、「Security/Global Security」を選択します。
「Administrative」セキュリティで、「Administrative user roles」を選択します。
「追加」をクリックして次の手順を実行します。
「OK」をクリックして変更を保存します。
WebSphere プロファイルを再起動します。
WebSphere 管理コンソールで「Security/Global Security」を選択します。
「Security Configuration Wizard」をクリックします。
「Enable Application Security」チェックボックスが有効になっていることを確認します。「次へ」をクリックします。
Federated Repositories を選択し、「Next」をクリックします。
設定する資格情報を指定し、「Next」をクリックします。
「終了」をクリックします。
WebSphere プロファイルを再起動します。
WebSphere はデフォルトのキーストアと信頼ストアを使用して起動します。
信頼ストアとキーストアは ikeyman ユーティリティまたは管理コンソールを使用して作成できます。ikeyman を正しく機能させるために、WebSphere インストールパスに括弧が入っていないことを確認してください。
WebSphere Administrative Console で「Security/SSL certificate and key management」を選択します。
「Related items」で「Keystores and certificates」をクリックします。
「Key store usages」ドロップダウンで、「SSL Keystores」が選択されていることを確認します。「新規」をクリックします。
論理名と説明を入力します。
キーストアを作成する場所のパスを指定します。ikeyman を使用してキーストアを既に作成済みの場合、キーストアファイルへのパスを指定します。
パスワードを指定して確認します。
キーストアタイプを選択して、「Apply」をクリックします。
マスター構成を保存します。
「Personal Certificate」をクリックします。
ikeyman を使用してキーストアを既に作成済みの場合、証明書が表示されます。作成済みでない場合は、次の手順を実行して新しい自己署名証明書を追加する必要があります。
手順 2 ~ 10 を繰り返して、信頼ストアを作成します。
WebSphere Administrative Console で「Security/SSL certificate and key management」を選択します。
「Manage endpoint security configuration」をクリックします。ローカルトポロジマップが開きます。
「Inbound」でノードの直接の子を選択します。
「Related items」で「SSL configurations」を選択します。
「NodeDeafultSSLSetting」を選択します。
信頼ストア名とキーストア名のドロップダウンリストで、作成したカスタムの信頼ストアとキーストアを選択します。
「適用」をクリックします。
マスター構成を保存します。
WebSphere プロファイルを再起動します。
これで、プロファイルは SSL 設定と証明書の上で実行されます。
https で始まる URL を変換するには、その URL の署名者証明書を WebSphere サーバーに追加します。
https 対応サイト用署名者証明書の作成
WebSphere が実行中であることを確認します。
WebSphere Administrative Console で、「Signer certificates」に移動し、Security/SSL Certificate and Key Management/Key Stores and Certificates/NodeDefaultTrustStore/Signer Certificates をクリックします。
「Retrieve From Port」をクリックし、次のタスクを実行します。
www.paypal.com
と入力します。443
と入力します。このポートがデフォルトの SSL ポートです。「Retrieve Signer Information」をクリックし、情報が取得されたことを確かめます。
「Apply」をクリックし、「Save」をクリックします。
証明書が追加されたサイトでの、HTML から PDF への変換は、Generate PDF サービスからできるようになります。
アプリケーションが WebSphere の内部から SSL サイトに接続するには、署名者証明書が必要です。この証明書は、SSL のハンドシェイク時に接続のリモート側から送信された証明書を、Java Secure Socket Extensions(JSSE)が確認するために使用されます。
IBM WebSphere では、グローバルセキュリティが有効な場合、ORB.init() への複数の呼び出しは許可されません。永続的な制限については、https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704 を参照してください。
動的ポートを設定し、問題を解決するには、次の手順を実行してください。
WebSphere Administrative Console で、Servers/Server Types/WebSphere application server に移動します。
環境設定のセクションで、使用するサーバーを選択します。
「Configuration」タブで、「Communications」セクションの下で「Ports」を展開し、「Details」をクリックします。
次のポート番号をクリックし、「port number」を 0 に変更して「OK」をクリックします。
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
編集用に [aem-forms_root]
\crx-repository\launchpad\sling.properties ファイルを開きます。
sling.bootdelegation.ibm
プロパティを見つけてその値フィールドに com.ibm.websphere.ssl.*
を追加します。更新されたフィールドは次のようになります。
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
ファイルを保存し、サーバーを再起動します。