WebSphere Application Server に対する SSL の設定 configuring-ssl-for-websphere-application-server
この節では、IBM WebSphere Application Server で SSL を設定する次の手順について説明します。
WebSphere でのローカルユーザーアカウントの作成 creating-a-local-user-account-on-websphere
SSL を有効にするには、WebSphere は、ローカルの OS ユーザーレジストリ内の、システムを管理する権限を持つユーザーアカウントにアクセスする必要があります。
- (Windows) Administrators グループに属し、オペレーティングシステムの一部として機能する権限を持つ新しい Windows ユーザーを作成します。 ( WebSphere 用の Windows ユーザーの作成.)
- (Linux、UNIX)root ユーザーまたは root 権限を持つ別のユーザーを指定できます。 WebSphere で SSL を有効にする場合は、このユーザーのサーバー ID とパスワードを使用します。
WebSphere 用の Linux または UNIX ユーザーの作成 create-a-linux-or-unix-user-for-websphere
-
root ユーザーとしてログインします。
-
コマンドプロンプトで次のコマンドを入力して、ユーザーを作成します。
- (Linux および Sun Solaris)
useradd
- (IBM AIX)
mkuser
- (Linux および Sun Solaris)
-
コマンドプロンプトで
passwd
と入力して、新しいユーザーのパスワードを設定します。 -
(Linux および Solaris)コマンドプロンプトでパラメーターを付けずに
pwconv
と入力して、シャドーパスワードファイルを作成します。note note NOTE (Linux および Solaris)WebSphere Application Server のローカル OS セキュリティレジストリが機能するには、シャドーパスワードファイルが存在している必要があります。シャドウパスワードファイルの名前は通常 /etc/shadowとは、/etc/passwd ファイルに基づいたものです。 シャドウパスワードファイルが存在しない場合は、グローバルセキュリティを有効にし、ユーザーレジストリをローカル OS として設定した後にエラーが発生します。 -
/etc ディレクトリにあるグループファイルをテキストエディターで開きます。
-
手順 2 で作成したユーザーを
root
グループに追加します。 -
ファイルを保存して閉じます。
-
(SSL が有効な UNIX)WebSphere を起動し、ルートユーザーとして停止します。
WebSphere 用の Windows ユーザーの作成 create-a-windows-user-for-websphere
- Windows にログインするには、管理者のユーザーアカウントを使用します。
- スタート/コントロールパネル/管理ツール/コンピュータ管理/ローカルユーザーとグループ を選択します。
- ユーザーを右クリックし、「 」を選択します。 新しいユーザー.
- 該当するボックスにユーザ名とパスワードを入力し、残りのボックスに必要な情報を入力します。
- 選択を解除 ユーザーは次回のログイン時にパスワードを変更する必要があります をクリックし、 作成 をクリックし、 閉じる.
- クリック ユーザー、作成したユーザーを右クリックし、「 」を選択します。 プロパティ.
- 次をクリック: 次のメンバー タブを押し、 追加.
- 「選択するオブジェクト名を入力」ボックスに
Administrators
と入力し、「名前の確認」をクリックしてグループ名が正しいことを確認します。 - クリック OK 次に、 OK 再び
- 選択 [ スタート ] > [Campaign コントロールパネル] > [ 管理ツール ] > [ ローカルセキュリティポリシー ] > [ ローカルポリシー ].
- [ ユーザー権限の割り当て ] をクリックし、[ オペレーティングシステムの一部として機能 ] を右クリックして、[ プロパティ ] を選択します。
- クリック ユーザーまたはグループを追加.
- 「選択するオブジェクト名を入力してください」ボックスに、手順 4 で作成したユーザー名を入力し、 名前を確認 名前が正しいことを確認するには、 OK.
- クリック OK をクリックして、[ オペレーティングシステムのプロパティ ] ダイアログボックスの一部として機能を閉じます。
新しく作成したユーザーを管理者として使用するように WebSphere を設定 configure-websphere-to-use-the-newly-created-user-as-administrator
-
WebSphere が実行中であることを確認します。
-
WebSphere Administrative Console で、 セキュリティ/グローバルセキュリティ.
-
「管理セキュリティ」で、「 管理ユーザーの役割.
-
「追加」をクリックし、以下の手順を実行します。
- 検索ボックスに「*」と入力し、「検索」をクリックします。
- クリック 管理者 「役割」で、
- 新しく作成したユーザーを「Mapped to role」に追加し、管理者にマッピングします。
-
クリック OK 変更を保存します。
-
WebSphere プロファイルを再起動します。
管理セキュリティの有効化 enable-administrative-security
-
WebSphere Administrative Console で、 セキュリティ/グローバルセキュリティ.
-
クリック セキュリティ構成ウィザード.
-
確認 アプリケーションセキュリティの有効化 チェックボックスが有効になっている。 「次へ」をクリックします。
-
選択 Federated Repositories をクリックし、 次へ.
-
設定する資格情報を指定し、「 」をクリックします 次へ.
-
「終了」をクリックします。
-
WebSphere プロファイルを再起動します。
WebSphere は、デフォルトのキーストアと信頼ストアを使用して起動します。
SSL を有効にする(カスタムキーと信頼ストア) enable-ssl-custom-key-and-truststore
信頼ストアとキーストアは ikeyman ユーティリティまたは管理コンソールを使用して作成できます。ikeyman を正しく動作させるには、WebSphere のインストールパスに括弧が含まれていないことを確認します。
-
WebSphere Administrative Console で、 セキュリティ/SSL 証明書および鍵の管理.
-
クリック キーストアと証明書 をクリックします。
-
内 キーストアの使用 ドロップダウン、 SSL キーストア が選択されている。 「新規」をクリックします。
-
論理名と説明を入力します。
-
キーストアを作成する場所のパスを指定します。ikeyman を使用して既にキーストアを作成している場合は、キーストアファイルのパスを指定します。
-
パスワードを指定して確定します。
-
キーストアタイプを選択し、 適用.
-
マスター設定を保存します。
-
クリック 個人の証明書.
-
ikeyman を使用してキーストアを既に作成している場合は、証明書が表示されます。 それ以外の場合は、次の手順を実行して、新しい自己署名証明書を追加する必要があります。
- 選択 作成/自己署名証明書.
- 証明書フォームで適切な値を指定します。 エイリアスと共通名をマシンの完全修飾ドメイン名として保持してください。
- 「適用」をクリックします。
-
手順 2 ~ 10 を繰り返して、トラストストアを作成します。
カスタムキーストアと信頼ストアをサーバーに適用する apply-custom-keystore-and-truststore-to-the-server
-
WebSphere Administrative Console で、 セキュリティ/SSL 証明書および鍵の管理.
-
クリック エンドポイントセキュリティ設定を管理. ローカルトポロジマップが開きます。
-
「Inbound」で、ノードの直接の子を選択します。
-
「関連アイテム」で、「 SSL 設定.
-
選択 NodeDefaultSSLSetting.
-
truststore 名とキーストア名のドロップダウンリストから、作成したカスタムの信頼ストアとキーストアを選択します。
-
「適用」をクリックします。
-
マスター設定を保存します。
-
WebSphere プロファイルを再起動します。
これで、プロファイルは SSL 設定と証明書の上で実行されます。
AEM forms ネイティブのサポートの有効化 enabling-support-for-aem-forms-natives
- WebSphere Administrative Console で、 セキュリティ/グローバルセキュリティ.
- 「認証」セクションで、を展開します。 RMI/IIOP セキュリティ をクリックし、 CSIv2 Inbound Communications.
- 以下を確認します。 SSL 対応 が「トランスポート」ドロップダウンリストで選択されている。
- WebSphere プロファイルを再起動します。
https で始まる URL を変換するための WebSphere の設定 configuring-websphere-to-convert-urls-that-begins-with-https
https で始まる URL を変換するには、その URL の署名者証明書を WebSphere サーバーに追加します。
https 対応サイト用の署名者証明書の作成
-
WebSphere が実行中であることを確認します。
-
WebSphere Administrative Console で、「Signer certificates」に移動し、「Security/SSL Certificate and Key Management」/「Key Stores and Certificates」/「NodeDefaultTrustStore/Signer Certificates」の順にクリックします。
-
[Retrieve From Port] をクリックし、次のタスクを実行します。
- 「ホスト」ボックスに URL を入力します。 例えば、
www.paypal.com
と入力します。 - 「ポート」ボックスに、
443
と入力します。このポートはデフォルトの SSL ポートです。 - 「エイリアス」ボックスにエイリアスを入力します。
- 「ホスト」ボックスに URL を入力します。 例えば、
-
「署名者の情報を取得」をクリックし、情報が取得されることを確認します。
-
「適用」をクリックし、「保存」をクリックします。
証明書が追加されたサイトからのHTML間PDF変換は、GeneratePDFサービスから機能するようになりました。
動的ポートの設定 configuring-dynamic-ports
IBM WebSphere では、グローバルセキュリティが有効な場合、ORB.init() への複数の呼び出しは許可されません。 永続的な制限については、https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704 を参照してください。
動的なポートを設定し、問題を解決するには、次の手順を実行します。
-
WebSphere Administrative Console で、 サーバー > サーバータイプ > WebSphere Application Server.
-
「環境設定」セクションで、サーバーを選択します。
-
内 設定 タブ、下 通信 セクション、展開 ポート をクリックし、 詳細.
-
次のポート名をクリックし、 ポート番号 を 0 に設定し、をクリックします。 OK.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
sling.properties ファイルを設定します。 configure-the-sling-properties-file
-
開く [aem-forms_root]\crx-repository\launchpad\sling.propertiesファイルを編集します。
-
sling.bootdelegation.ibm
プロパティを見つけてその値フィールドにcom.ibm.websphere.ssl.*
を追加します。更新されたフィールドは次のようになります。code language-as3 sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
-
ファイルを保存し、サーバーを再起動します。