SSL を実装するには、セキュア接続を受け入れるそれぞれの外部インターフェース (IP アドレス) に関連付けられた証明書が Web サーバーに必要です。
重要: この資料では、WebSphere® 認証または SSL の構成については、複雑なトピックになるので詳細を説明していません。各種認証および暗号化オプションに関する詳細情報は、
WebSphere Application Server 製品資料で説明されています。
詳しくは、
WebSphere 製品資料にアクセスして、
「アプリケーションとその環境の保護」というフレーズを検索してください。
Jazz™ Team Server ベースのアプリケーションをアプリケーション・サーバーにデプロイした後、以下に示すオプションがあります。
- よく知られたトラステッド認証局から証明書を購入してインストールします。
- 自己署名証明書を作成し、インストールします。
- 暗号化の必要がない場合は、サーバーを HTTPS アクセスではなく HTTP アクセス用に構成します (実稼働環境には推奨されません)。
Jazz Team Server には、
Apache Tomcat サーバーの SSL 自己署名証明書が含まれます。
重要: Rational® Engineering Lifecycle
Manager の鍵ストア・ファイルと DOORS® Web Access の鍵ストア・ファイルは、同じホスト名値を共有する必要があります。共有していない場合、この 2 つの製品は相互に通信できません。
Rational Engineering Lifecycle
Manager の Tomcat サーバーと DOORS Web Access の Tomcat サーバーはそれぞれ SSL 証明書を持ちます。証明書は、各サーバーの以下のような
server.xml ファイルで指定されたディレクトリーにあります。
- Rational Engineering Lifecycle
Manager: <RELM
Install Path>/server/tomcat/conf/server.xml
- DOORS Web Access: <DWA Install Path>/server/conf/server.xml
これらの各ファイルでは、鍵ストア・ファイルを指す「keystoreFile」パラメーターがリストされています。
デフォルトでは、
Rational Engineering Lifecycle
Manager はホストを「localhost」と指定するのに対し、DOORS Web Access は実際のホスト名を指定します。これを解決するには、以下のオプションがあります。
- 実際のホスト名をホストとして指定する、Rational Engineering Lifecycle
Manager 用の新しい鍵ストアを生成し、デフォルトの Rational Engineering Lifecycle
Manager 鍵ストアをこの新しい鍵ストアで置き換えます。
- DOORS Web Access をインストールしてから Rational Engineering Lifecycle
Manager をインストールする場合、server.xml ファイル内で鍵ストアのパスを変更することにより、DOORS
Web Access の鍵ストアを使用するように Rational Engineering Lifecycle
Manager を変更します。必ず、パスワード設定 (keystorePass) も、DOORS Web Access の鍵ストアに一致するように変更してください。
- Rational Engineering Lifecycle
Manager をインストールしてから DOORS Web Access をインストールする場合、Rational Engineering Lifecycle
Manager の鍵ストアを使用するように DOORS Web Access を変更します。必ず、パスワード設定 (keystorePass) も、Rational Engineering Lifecycle
Manager の鍵ストアに一致するように変更してください。
自己署名証明書の作成
Jazz Team Server に組み込まれている IBM® JRE には、サーバー上の鍵の管理に役立つ IBM ツールが含まれています。
keytool プログラムは、JazzInstallDir/server/jre/bin/ ディレクトリーに
あります。
keytool プログラムは、ネットワーク名でホストを識別するユーザー独自の自己署名証明書を作成する場合に役立ちます。 あるいは、トラステッド認証局 (CA) によって署名された証明書を要求することもできます。 自己署名証明書は Web ブラウザーを使用して受け入れる必要があります。
keytool プログラムについて詳しくは、http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html を参照してください。
セキュリティー証明書のインストール
自己署名証明書を会社が所有する証明書で置き換えることができます。
Apache Tomcat の
場合、JazzInstallDir/server/tomcat/conf/server.xml ファイルで、Apache Tomcat はサーバー証明書を JazzInstallDir/server/tomcat/ibm-team-ssl.keystore ファイルから読み取るように構成されています。
デフォルトの鍵ストア・パスワードは、ibm-team に設定されています。 この鍵ストアには、サーバーを「localhost」として識別する自己署名証明書が組み込まれています。 セキュリティーを向上させるには、デフォルトの鍵ストア・パスワードを変更します。
Apache Tomcat 用のセキュリティー証明書について
詳しくは、Tomcat SSL Configuration を
参照してください。
WebSphere Application Server 用のセキュリティー証明書については、以下のトピックをお読みください。