以下の例は、WebSphere® V7.0 を使用して、独自の SSL 使用可能ポートを作成し、使用する方法を示します。WebSphere Application Server V7.0 がリリースされるまでは、iKeyman という外部ツールを使用して証明書を管理していました。WebSphere Application Server V7.0 以降では、管理コンソールを使用して証明書と鍵の両方を管理できます。
Tomcat 用に SSL をインストールおよび構成する方法については、Apache Tomcat の資料を参照してください。
SSL 使用可能ポートの作成
サンプル SSL 使用可能ポートを
作成するには、以下のステップを実行してください。詳しくは、WebSphere Application
Server の資料を参照してください。
鍵ストアおよびトラストストアのパスワードの変更
以下の手順では
、WebSphere Application
Server デフォルト鍵ストア内に自己署名証明書を新規作成し、この証明書をデフォルト・トラストストアにインポートします。
デフォルトの鍵ストアおよびトラストストアを使用する前に、それらのパスワードをデフォルトから別の値に変更することで、さらにセキュアな環境にしてください。鍵ストアおよびトラストストアのパスワードを変更するには、以下のステップを実行します。
- WebSphere V7.0 サーバーを始動します。
- サーバーを右クリックし、「管理」をクリックします。
- 「管理コンソールの実行」をクリックします。
- 管理コンソールにログインします。
- 「セキュリティー」を展開し、「SSL 証明書と鍵の管理」をクリックします。
- 「関連項目」の下の「鍵ストアと証明書」をクリックします。
- WebSphere V7.0 の場合は「NodeDefaultKeyStore」をクリックします。「パスワード変更」をクリックします。
- 新規パスワードを「パスワード変更」フィールドと「確認パスワード」フィールドに入力します。
- 「OK」をクリックします。
- NodeDefaultTrustStore に対してこの処理を繰り返します。
個人証明書の作成
自己署名証明書は、テスト時や Web サイトが
ファイアウォールの内側に存在する場合に有用です。
その他の場合は、認証局から証明書を取得してください。個人証明書を作成するには、以下のステップを実行します。
- 鍵ストアおよびトラストストアのリストで「NodeDefaultKeyStore」をクリックします。
- 「追加のプロパティー」の下の「個人証明書」をクリックします。
- WebSphereV6.1 の場合はをクリックします。
- 証明書に対して以下の値を入力します。
- 別名
- SampleCert
- 共通名
- Sample Server
- 編成
- IBM®
- 「OK」をクリックします。
証明書のリストに samplecert が表示されています。
SSL 構成の作成
WebSphere Application
Server では、SSL ベースのトランスポートのために SSL 構成を使用します。SSL 構成を作成するには、以下のステップを実行します。
- 左側のペインで「セキュリティー」を展開し、「SSL 証明書および鍵の管理」をクリックします。
- 「関連項目」の下の「SSL 構成」をクリックします。
- 「新規」をクリックします。
- 以下の値を入力します。
- 名前
- SampleConfig
- トラストストア名
- NodeDefaultTrustStore
- 鍵ストア名
- NodeDefaultKeyStore
- 「証明書別名の取得」をクリックします。
- 「デフォルトのサーバー証明書別名」および「デフォルトのクライアント証明書別名」として、samplecert が選択されていることを確認します。
「OK」をクリックし、「保存」をクリックします。
SSL 構成のリストに SampleConfig が表示されています。
Web コンテナー・トランスポート・チェーンの作成
作成した SSL 構成を使用するための Web コンテナー・トランスポート・チェーンを作成します。
- 左側のペインで、「サーバーとサーバー・タイプ (Servers and Server Types)」を展開します。「WebSphere Application Server」をクリックします。
- 「server1」またはご使用のサーバー名をクリックします。
- 「コンテナー設定」の下で、「Web コンテナー設定」を展開し、「Web コンテナー・トランスポート・チェーン」をクリックします。
- 「新規」をクリックします。
- 「トランスポート・チェーン名」フィールドに SampleInboundSecure を入力します。
- 「トランスポート・チェーン・テンプレート」を選択するために、ドロップダウン・リストから「WebContainer-Secure(templates/chains | webcontainer-chains.xml#Chain_2)」をクリックします。
- 「次へ」をクリックします。
- 「ポートの選択」ページに、以下の値を入力します。
- ポート
- SamplePort
- ホスト
- *
- ポート番号
- 9444
ポート 9444 が既に使用中の場合は、別のポート番号を選択し、
この演習の残りの部分ではその番号を使用してください。
- 「次へ」をクリックします。
- をクリックします。
SampleInboundSecure が、Web コンテナー・トランスポート・チェーンとしてリストされています。
サンプル SSL 構成をこのトランスポート・チェーンに関連付けます。
- 「SampleInboundSecure」をクリックします。
- 「SSL インバウンド・チャネル」をクリックします。
- 「SSL 構成」の下で、「SSL 構成の選択」ドロップダウン・リストから「SampleConfig」を選択します。
- をクリックします。
仮想ホストへの SSL 使用可能ポートの追加
ポート 9444 を
仮想ホストに追加します。
- 左側のペインで、「環境」を展開し「仮想ホスト」をクリックします。
- 「default_host」をクリックします。
- 「追加のプロパティー」の下の「ホスト別名」をクリックします。
- 「ホスト別名」ページで、「新規」をクリックします。
- ホスト名は * のままにします。ポートを 9444 に変更します。
- をクリックします。ポートのリストに 9444 が表示されています。
サーバーを停止して、再始動します。ポート 9444 が SSL 使用可能ポートになりました。
新規 SSL 使用可能ポートを使用したサンプルの実行
設定したポートを使用するには、WebSphere V7.0 サーバーを始動します。WebSphereサーバーに、
デプロイされた Rich UI アプリケーションを含む EAR をインストールします。RSSReaderSample コンテキストの RSSReader.html などの HTML ファイルを要求するには、以下のいずれかのステップを実行します。
- Internet Explorer、Safari、または Mozilla Firefox などのブラウザーを開きます。
新しく使用可能にした SSL ポートを使用して、ブラウザーに URL https://localhost:9444/RSSReaderSample/RSSReader.html を入力します。
- プロジェクト・エクスプローラーで、WebSphereに公開済みのアプリケーションの HTML ファイルを右クリックします。
「実行」をクリックしてから「サーバーで実行」をクリックします。
自己署名証明書を使用しているときは、ブラウザーによっては、「セキュリティー警告」や「不明な認証局によって認証された Web サイト」などの警告が表示されることがあります。
この警告は、証明書が不明な認証局によって認証されたものであることを示します。
「証明書を表示」ボタンまたは「証明書の確認」ボタンをクリックして、
証明書が正しいことを確認してください。正しい場合は続行します。
証明書の
「共通名」が要求された URL のドメイン名 (この場合は localhost) と一致していない場合は、
「セキュリティー・エラー: ドメイン名が一致していません」というエラーが表示される
こともあります。証明書を検証するには、「証明書を表示」ボタンをクリックし、
必要に応じて続行してください。悪意のあるプログラムがクライアントとサーバーの間のすべての通信を傍受する攻撃である「中間者」攻撃を防ぐには、クライアントは、証明書に指定されているサーバー・ドメイン名を検査する必要があります。