5.1.2.2 SSL環境設定について

Interstage Application Server マルチシステム運用ガイド

目次索引

5.1.2.2 SSL環境設定について

　ここでは、拡張システム上のサーバのSSL環境設定で、デフォルトシステムと違いのある操作について、説明します。
　クライアントのSSL環境設定では、サーバが拡張システムであっても、特に違いはありません。
　なお、サーバのSSL環境設定の詳細、およびクライアントのSSL環境設定については、“セキュリティシステム運用ガイド”を参照してください。

　CORBAサーバでSSLを利用する場合の環境設定は、以下の手順で行います。

証明書/鍵管理環境の作成
秘密鍵の作成と証明書の取得
証明書とCRLの登録
CORBAサービスへの秘密鍵/証明書の設定
configファイルの編集
オブジェクトリファレンス作成時のSSL情報付加の指定
イベントサービスの設定

　拡張システムでSSL環境設定を行う場合は、デフォルトシステムで設定した秘密鍵／証明書を共有することができるため、4以降の手順について説明します。1から3の手順については、“セキュリティシステム運用ガイド”を参照してください。

(4)CORBAサービスへの秘密鍵/証明書の設定

　CORBAアプリケーション連携でSSL通信を行うには、CORBAサービスに秘密鍵/証明書を設定しておく必要があります。

秘密鍵/証明書の設定

　CORBAサービスに秘密鍵/証明書を設定するため、odsetSSLコマンドで拡張システムを指定（-Mオプション）して実行します。コマンド実行時、トークンに設定したユーザPINを入力します。

　拡張システム（system1）のCORBAサービスに秘密鍵/証明書を設定（トークン:Token01、ニックネーム:Jiro、スロット情報ディレクトリ:/home/SSL/slot、運用管理ディレクトリ:/home/SSL/sslcert）

　odsetSSL -sd /home/SSL/slot -ed /home/SSL/sslcert -tl Token01 -nn Jiro -M system1
　UserPIN:
　Re-type UserPIN:

アクセス権限の設定

　一般ユーザ（システム管理者（root）以外）の権限でアプリケーションを動作させる場合は、秘密鍵/証明書に一般ユーザのアクセス権限を設定する必要があるため、odsetpathコマンドで拡張システムを指定（-Mオプション）して実行します。
　odsetpathコマンドはシステム管理者権限で実行してください。

　システム管理者権限でアプリケーションを動作させる場合、本操作は不要です。

　拡張システム（system1）のCORBAサービスで秘密鍵/証明書にアクセス権限を設定

　odsetpath /home/SSL/slot /home/SSL/sslcert -M system1

　環境変数“IS_SYSTEM”で拡張システム名を指定すると、-Mオプションを指定せずに、odsetSSL、odsetpathコマンドを実行することもできます。ただし、両方が指定されている場合は、-Mオプションが有効となります。

(5)configファイ ル の編集

　CORBAサービスにSSL通信処理を組み込むため、configファイルのUNO_IIOP_ssl_useにyesを指定します。
　また、UNO_IIOP_ssl_portには、SSL通信用のポート番号を指定します。なお、UNO_IIOP_ssl_portの初期値は4433ですが、デフォルトシステムのSSL通信用、または他のプログラムで使用されている場合は、1024から65535の間の未使用の番号を設定します。

　/var/opt/FJSVisas/system/システム名/FSUNod/etc/config
　　　UNO_IIOP_ssl_use = yes
　　　UNO_IIOP_ssl_port = 4434

configファイルの新しい設定値を有効にするためには、CORBAサービスを再起動してください。
以下の手順でInterstageの初期化を行った場合には、本手順の実施は不要です。
- Interstage動作環境定義に以下の定義項目を定義した上で、isinitコマンドによる初期化を行った場合
  　SSL USE=yes
  　SSL Port Number=ポート番号
- Interstage運用操作ツールによるInterstageのカスタムセットアップ時に、“SSL連携定義”で以下の項目のカストマイズを行った場合
  - “SSL連携機能の使用有無”に“使用する”を設定する。
  - “SSL連携機能で使用するポート番号”にポート番号を設定する。

(6)オブジェクトリファレンス作成時のSSL情報付加の指定

　SSL通信を行う場合は、以下のいずれかまたは両方を行い、サーバアプリケーションのオブジェクトリファレンスにSSL情報が付加されるようにします。

OD_or_admコマンドの-sオプションを実行し、SSL情報付きのオブジェクトリファレンスを作成する。このとき、同時に-Mオプションで拡張システムを指定する。
OD_impl_instコマンドの定義ファイル内でsslパラメタを指定し、オブジェクトリファレンス生成時のSSL情報付加の有無を指定する。このとき、同時に-Mオプションで拡張システムを指定する。

　OD_or_admコマンドとOD_impl_instコマンドでの指定情報と、SSL通信の有効/無効の関係については、“リファレンスマニュアル（コマンド編）”の“OD_impl_inst”を参照してください。

configファイルの編集後、CORBAサービスを再起動していない状態で、OD_or_admコマンドを実行する場合は、ホスト名（-hオプション）、ポート番号（-pオプション）を指定する必要があります。
このとき、ポート番号にはconfigファイルのUNO_IIOP_ssl_portに設定したものを指定してください。
環境変数“IS_SYSTEM”で拡張システム名を指定すると、-Mオプションを指定せずに、OD_or_adm, OD_impl_instコマンドを実行することもできます。ただし、両方が指定されている場合は、-Mオプションが有効となります。

(7)イベントサービスの設定

　イベントサービスでSSL通信を行う場合のみ設定が必要です。以下のいずれかの方法でSSL通信の設定を行います。

動的生成運用の場合
　essetupコマンドの-sslオプションを実行して、SSL通信の設定を行います。このとき、同時に-Mオプションで拡張システムを指定します。
静的生成運用の場合
　esmkchnlコマンドの-sslオプションを実行して、SSL通信の設定を行います。このとき、同時に-Mオプションで拡張システムを指定します。

目次索引