WebSphere Application Server に対する SSL の設定 configuring-ssl-for-websphere-application-server
このセクションには、IBM WebSphere アプリケーションサーバーで SSL を構成するための次の手順が含まれています。
WebSphere でのローカルユーザーアカウントの作成 creating-a-local-user-account-on-websphere
SSL を有効にするには、WebSphere は、システムを管理する権限を持つローカル OS ユーザーレジストリ内のユーザーアカウントにアクセスする必要があります。
- (Windows)Administrators グループの一員であり、オペレーティングシステムの一部として機能する権限を持つ Windows ユーザーを作成します(WebSphere 用 Windows ユーザーの作成を参照)。
- (Linux、UNIX)ユーザーは、root ユーザーまたは root 権限を持つ別のユーザーにすることができます。WebSphere で SSL を有効にする場合は、このユーザーのサーバー ID とパスワードを使用します。
WebSphere 用 Linux または UNIX ユーザーを作成する create-a-linux-or-unix-user-for-websphere
-
root ユーザーとしてログインします。
-
コマンドプロンプトに次のコマンドを入力してユーザーを作成します。
- (Linux および Sun Solaris)
useradd - (IBM AIX)
mkuser
- (Linux および Sun Solaris)
-
コマンドプロンプトで
passwdと入力して、新しいユーザーのパスワードを設定します。 -
(Linux および Solaris)コマンドプロンプトでパラメーターを付けずに
pwconvと入力して、シャドーパスワードファイルを作成します。note note NOTE (Linux および Solaris)WebSphere Application Server のローカル OS セキュリティレジストリが機能するには、シャドーパスワードファイルが存在している必要があります。シャドーパスワードファイルは通常、/etc/shadow という名前で、/etc/passwd ファイルを基にして作成されます。シャドーパスワードファイルが存在しない場合、グローバルセキュリティを有効にしてユーザーレジストリをローカル OS として設定するとでエラーが発生します。 -
/etc ディレクトリにあるグループファイルをテキストエディターで開きます。
-
手順 2 で作成したユーザーを
rootグループに追加します。 -
ファイルを保存して閉じます。
-
(SSL が有効な UNIX)WebSphere を root ユーザーとして起動および停止します。
WebSphere 用 Windows ユーザーを作成する create-a-windows-user-for-websphere
- 管理者アカウントを使用して管理コンソールにログインします。
- スタート/コントロールパネル/管理ツール/コンピュータ管理/ローカルユーザーとグループ を選択します。
- 「ユーザー」を右クリックして「新規ユーザー」を選択します。
- 適切なボックスにユーザー名とパスワードを入力し、残りのボックスに必要なその他の情報を入力します。
- 「ユーザーは次回ログイン時にパスワードを変更する必要がある」の選択を解除し、「作成」をクリックしてから、「閉じる」をクリックします。
- 「ユーザー」をクリックし、作成したユーザーを右クリックして、「プロパティ」を選択します。
- 「メンバー」タブをクリックし、「追加」をクリックします。
- 「選択するオブジェクト名を入力」ボックスに
Administratorsと入力し、「名前の確認」をクリックしてグループ名が正しいことを確認します。 - 「OK」をクリックしてから、「OK」を再びクリックします。
- スタート/コントロールパネル/管理ツール/ローカルセキュリティポリシー/ローカルポリシー を選択します。
- 「ユーザー権利の割り当て」をクリックし、「オペレーティングシステムの一部として機能」を右クリックして、「プロパティ」を選択します。
- 「ユーザーまたはグループを追加」をクリックします。
- 「選択するオブジェクト名を入力してください」ボックスに、手順 4 で作成したユーザーの名前を入力し、「名前を確認」をクリックして名前が正しいことを確認し、「OK」をクリックします。
- 「OK」をクリックして、「オペレーティングシステムの一部として機能するプロパティ」ダイアログボックスを閉じます。
新しく作成したユーザーを管理者として使用するように WebSphere を構成する configure-websphere-to-use-the-newly-created-user-as-administrator
-
WebSphere が実行されていることを確認します。
-
WebSphere 管理コンソールで、セキュリティ/グローバルセキュリティ を選択します。
-
管理セキュリティで、「管理ユーザーの役割」を選択します。
-
「追加」をクリックして次の操作を行います。
- 検索ボックスに「*」と入力し、「検索」をクリックします。
- 役割の下にある「管理者」をクリックします。
- 新しく作成したユーザーを「Mapped to role」に追加し、管理者にマップします。
-
「OK」をクリックして、変更を保存します。
-
WebSphere プロファイルを再起動します。
管理セキュリティを有効にする enable-administrative-security
-
WebSphere 管理コンソールで、セキュリティ/グローバルセキュリティ を選択します。
-
「セキュリティ構成ウィザード」をクリックします。
-
「アプリケーションセキュリティを有効にする」チェックボックスが有効になっていることを確認します。「次へ」をクリックします。
-
「統合リポジトリ」を選択して、「次」をクリックします。
-
設定する認証情報を指定し、「次」をクリックします。
-
「終了」をクリックします。
-
WebSphere プロファイルを再起動します。
WebSphere は、デフォルトのキーストアとトラストストアの使用を開始します。
SSL(カスタムキーとトラストストア)を有効にする enable-ssl-custom-key-and-truststore
信頼ストアとキーストアは ikeyman ユーティリティまたは管理コンソールを使用して作成できます。ikeyman を正しく動作させるには、WebSphere のインストール パスに括弧が含まれていないことを確認してください。
-
WebSphere 管理コンソールで、セキュリティ/SSL 証明書とキーの管理 を選択します。
-
関連項目の下にある「キーストアと証明書」をクリックします。
-
キーストアの使用法 ドロップダウンで、「SSL キーストア」が選択されていることを確認します。「新規」をクリックします。
-
論理名と説明を入力します。
-
キーストアを作成する場所のパスを指定します。ikeyman を通じてキーストアをすでに作成している場合は、キーストアファイルへのパスを指定します。
-
パスワードを指定して確認します。
-
キーストアのタイプを選択して、「適用する」をクリックします。
-
マスター設定を保存します。
-
「個人証明書」をクリックします。
-
ikeyman を使用して既に作成されたキーストアを追加した場合は、証明書が表示されます。それ以外の場合は、次の手順を実行して、新しい自己署名証明書を追加する必要があります。
- 作成/自己署名証明書 を選択します。
- 証明書フォームに適切な値を指定します。エイリアスと共通名をマシンの完全修飾ドメイン名として保持していることを確認してください。
- 「適用」をクリックします。
-
手順 2 ~ 10 を繰り返して、トラストストアを作成します。
カスタムキーストアとトラストストアをサーバーに適用 apply-custom-keystore-and-truststore-to-the-server
-
WebSphere 管理コンソールで、セキュリティ/SSL 証明書とキー管理 を選択します。
-
「エンドポイントのセキュリティ設定を管理」をクリックします。ローカルトポロジマップが開きます。
-
「受信」で、ノードの直接の子を選択します。
-
「関連項目」で、「SSL設定」を選択します。
-
「NodeDefaultSSLSetting」を選択します。
-
トラストストア名とキーストア名のドロップダウンリストから、作成したカスタムトラストストアとキーストアを選択します。
-
「適用」をクリックします。
-
マスター設定を保存します。
-
WebSphere プロファイルを再起動します。
これで、プロファイルは SSL 設定と証明書の上で実行されます。
AEM Forms ネイティブのサポートの有効化 enabling-support-for-aem-forms-natives
- WebSphere 管理コンソールで、セキュリティ/グローバルセキュリティ を選択します。
- 「認証」セクションで、RMI/IIOP セキュリティ を展開して、「CSIv2 インバウンド通信」をクリックします。
- トランスポートドロップダウンリストで「SSL サポート」が選択されていることを確認します。
- WebSphere プロファイルを再起動します。
https で始まる URL を変換するように WebSphere を設定 configuring-websphere-to-convert-urls-that-begins-with-https
https で始まる URL を変換するには、その URL の署名者証明書を WebSphere サーバーに追加します。
https 対応サイトの署名者証明書を作成
-
WebSphere が実行されていることを確認します。
-
WebSphere 管理コンソールで、「署名者証明書」に移動し、セキュリティ/SSL 証明書とキー管理/キーストアと証明書/NodeDefaultTrustStore/署名者証明書をクリックします。
-
「ポートから取得」をクリックして、次のタスクを実行します。
- 「ホスト」ボックスに URL を入力します。例えば、
www.paypal.comと入力します。 - 「ポート」ボックスに、
443と入力します。このポートはデフォルトの SSL ポートです。 - 「エイリアス」ボックスにエイリアスを入力します。
- 「ホスト」ボックスに URL を入力します。例えば、
-
「署名者情報を取得」をクリックし、情報が取得されたことを確認します。
-
「適用」をクリックし、「保存」をクリックします。
証明書が追加されたサイトからの HTML から PDF への変換は、Generate PDF サービスから機能するようになります。
動的なポートの設定 configuring-dynamic-ports
IBM WebSphere では、グローバルセキュリティが有効な場合、ORB.init() への複数の呼び出しは許可されません。永続的な制限については、https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704 を参照してください。
次の手順を実行してポートを動的に設定し、問題を解決します。
-
WebSphere 管理コンソールで、サーバー/サーバーの種類/WebSphere アプリケーションサーバー を選択します。
-
「環境設定」セクションでサーバーを選択します。
-
「設定」タブの「通信」セクションで、ポート を展開し、「詳細」をクリックします。
-
以下のポート名をクリックし、ポート番号 を 0 にして、「OK」をクリックします。
ORB_LISTENER_ADDRESSSAS_SSL_SERVERAUTH_LISTENER_ADDRESSCSIV2_SSL_SERVERAUTH_LISTENER_ADDRESSCSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
sling.properties ファイルを設定します。 configure-the-sling-properties-file
-
編集用に
[aem-forms_root]\crx-repository\launchpad\sling.properties ファイルを開きます。 -
sling.bootdelegation.ibmプロパティを見つけてその値フィールドにcom.ibm.websphere.ssl.*を追加します。更新されたフィールドは次のようになります。code language-shell sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.* -
ファイルを保存し、サーバーを再起動します。