| Interstage Application Server 運用ガイド |
|
目次
索引
|
| 第1章 Interstage管理コンソールによるInterstage運用 |
Interstage管理コンソール動作環境のカスタマイズについて説明します。
Interstage管理コンソール動作環境として、カスタマイズ可能な項目は以下のとおりです。
なお、本作業はInterstageをインストールしているサーバの、マシン管理者権限で実行する必要があります。Windows版ではAdministratorsグループ権限を、Solaris版ではroot権限を持ったユーザで作業を実施してください。
Interstage管理コンソールの接続先ポート番号は、以下のファイルで設定します。
|
[Interstageインストールフォルダ]\gui\etc\httpd.conf |
Interstage管理コンソールの接続先ポート番号は、以下のファイルで設定します。
|
/etc/opt/FJSVisgui/httpd.conf |
Interstage管理コンソールの接続先ポート番号を変更する場合は、上記ファイルの以下の項目に設定した値を変更します。
|
Port 12000 |
Interstage管理コンソールは、表示画面を自動的に最新情報に更新します。この更新間隔を設定することができます。設定方法は、以下の手順で行います。
Interstage管理コンソールの運用に、SSL暗号化通信を使用するか否かの設定は、Interstageインストール時に"運用形態の選択"で選択することができます。
インストール後に、インストール時に選択した運用形態から変更する場合は以下に示す手順で環境をカスタマイズする必要があります。
また、以下の変更を実施した場合には、Windowsのスタートメニューに登録されている"Interstage管理コンソール"のショートカットは使用できなくなります。Windowsのスタートメニューに登録しているURLを変更する必要があります。
|
例) 「SSL暗号化通信を使用する」から「SSL暗号化通信を使用しない」へ変更する場合 |
Interstage管理コンソールの運用に、SSL暗号化通信を使用するか否かの設定は、Interstageインストール時に"運用形態の選択"で選択することができます。
インストール後に、インストール時に選択した運用形態から変更する場合は以下に示す手順で環境をカスタマイズする必要があります。
なお、SSL暗号化通信を使用しない場合は、通信データの盗聴などセキュリティ上の脆弱性を考慮しなければなりません。セキュリティ上の問題が考えられる場合には、SSL暗号化通信を使用するなどの対処をしてください。
注)
Interstage管理コンソールの動作環境としてSSL暗号化通信の使用する状態でInterstageをインストールした場合、Webサービス情報編集ツールは正常動作しません。"Webサービス情報編集ツールを使用する場合"を参照して環境設定を行ってください。
Interstageインストール時にはSSL暗号化通信を使用しないと選択したが、その後SSL暗号化通信を使用する運用形態に変更したい場合は、以下に示す手順が必要です。
証明書/鍵管理環境の作成を行います。
| "[OSインストールフォルダ]\Program Files\Common Files\Fujitsu Shared\F3FSSMEE\cmcrtsslenv.exe" -ed [Interstageインストールフォルダ]\gui\etc\cert |
| "/opt/FJSVsmee/bin/cmcrtsslenv" -ed /etc/opt/FJSVisgui/cert |
Interstage管理コンソール用のInterstage HTTP Serverの定義ファイルを編集します。編集する定義ファイルは以下のファイルです。
| [Interstageインストールフォルダ]\gui\etc\httpd.conf |
編集する内容は以下のとおりです。
| # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "[Interstageインストールフォルダ]/gui/etc/cert" SSLSlotDir "[Interstageインストールフォルダ]/gui/etc/cert/slot" SSLTokenLabel SSLTOKEN SSLUserPINFile "[Interstageインストールフォルダ]/gui/etc/cert/sslssl" SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName SSLCERT #SSLClCACertName cli01 |
Interstage管理コンソール用のInterstage HTTP Serverの定義ファイルを編集します。編集する定義ファイルは以下のファイルです。
| /etc/opt/FJSVisgui/httpd.conf |
編集する内容は以下のとおりです。
| # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "/etc/opt/FJSVisgui/cert" SSLSlotDir "/etc/opt/FJSVisgui/cert/Slot" SSLTokenLabel SSLTOKEN SSLUserPINFile "/etc/opt/FJSVisgui/cert/sslssl" SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName SSLCERT #SSLClCACertName cli01 |
以下のサービスを再起動します。
| "Interstage Operation Tool(FJapache)" |
Interstage管理コンソール用のInterstage HTTP Serverを再起動します。
再起動の手順は以下のとおりです。
(1) Interstage HTTP Server(Interstage管理コンソール用)のプロセスをkillコマンドにて停止する。
|
# kill `cat PID_FILE` |
(2) Interstage HTTP Server(Interstage管理コンソール用)の起動
|
# /opt/FJSVihs/bin/httpd -f /etc/opt/FJSVisgui/httpd.conf |
注)
PID_FILE:Interstage HTTP Serverの定義ファイル(httpd.conf) の、"PidFile"に設定されているパスを指定します。Interstage管理コンソール用のInterstage HTTP Serverの定義ファイルは、"/etc/opt/FJSVisgui/httpd.conf "です。
Interstageインストール時にはSSL暗号化通信を使用すると選択したが、その後SSL暗号化通信を使用しない運用形態に変更したい場合は、以下に示す手順が必要です。
Interstage HTTP Serverの定義ファイルを以下のように編集します。
編集前
| # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "[Interstageインストールフォルダ]/gui/etc/cert" SSLSlotDir "[Interstageインストールフォルダ]/gui/etc/cert/slot" SSLTokenLabel SSLTOKEN SSLUserPINFile "[Interstageインストールフォルダ]/gui/etc/cert/sslssl" SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName SSLCERT #SSLClCACertName cli01 |
編集後
| # ---- Configuration for SSL --- #AddModule mod_ihs_ssl.c #SSLEnvDir "[Interstageインストールフォルダ]/gui/etc/cert" #SSLSlotDir "[Interstageインストールフォルダ]/gui/etc/cert/slot" #SSLTokenLabel SSLTOKEN #SSLUserPINFile "[Interstageインストールフォルダ]/gui/etc/cert/sslssl" #SSLExec on #SSLVersion 2-3 #SSLVerifyClient none #SSLCipherSuite #RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 #SSLCertName SSLCERT #SSLClCACertName cli01 |
以下のサービスを再起動します。
| "Interstage Operation Tool(FJapache)" |
Interstage HTTP Serverの定義ファイルを以下のように編集します。
編集前
| # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "/etc/opt/FJSVisgui/cert" SSLSlotDir "/etc/opt/FJSVisgui/cert/Slot" SSLTokenLabel SSLTOKEN SSLUserPINFile "/etc/opt/FJSVisgui/cert/sslssl" SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName SSLCERT #SSLClCACertName cli01 |
編集後
| # ---- Configuration for SSL --- #AddModule mod_ihs_ssl.c #SSLEnvDir "/etc/opt/FJSVisgui/cert" #SSLSlotDir "/etc/opt/FJSVisgui/cert/Slot" #SSLTokenLabel SSLTOKEN #SSLUserPINFile "/etc/opt/FJSVisgui/cert/sslssl" #SSLExec on #SSLVersion 2-3 #SSLVerifyClient none #SSLCipherSuite #RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 #SSLCertName SSLCERT #SSLClCACertName cli01 |
Interstage管理コンソール用のInterstage HTTP Serverを再起動します。
再起動の手順は以下のとおりです。
(1) Interstage HTTP Server(Interstage管理コンソール用)のプロセスをkillコマンドにて停止する。
|
# kill `cat PID_FILE` |
(2) Interstage HTTP Server(Interstage管理コンソール用)の起動
|
# /opt/FJSVihs/bin/httpd -f /etc/opt/FJSVisgui/httpd.conf |
注)
PID_FILE:Interstage HTTP Serverの定義ファイル(httpd.conf) の、"PidFile"に設定されているパスを指定します。Interstage管理コンソール用のInterstage HTTP Serverの定義ファイルは、"/etc/opt/FJSVisgui/httpd.conf "です。
Interstageインストール時または、cmcrtsslenvコマンドで使用する証明書は、Interstage管理コンソールのSSL暗号化通信を使用するために、Interstageが生成した証明書です。
ベリサインなど、正式な認証局の発行証明書を使用する場合には、以下の手順が必要です。
Interstageが生成した証明書は、正式運用前のテスト運用やイントラネット内での運用に使用できます。
なお、認証局が発行した証明書をInterstage管理コンソールのSSL暗号化通信に使用することもできます。イントラネット内やインターネットに接続される運用環境では、信頼できる認証局が発行した証明書で運用することを推奨します。
scsmakeenvコマンドを実行して、Interstage証明書環境を作成し、CSR(証明書取得申請書)を作成します。詳細については、"セキュリティシステム運用ガイド"の"Interstage HTTP Serverの認証とアクセス制御の設定"を参照してください。
| # scsmakeenv -n IS-Console-SSL-Cert -f c:\temp\csr.txt -c New Password: ← Interstage証明書環境のパスワードを設定します。 本パスワードがUSER-PINとなります。 Retype: Input X.500 distinguished names. What is your first and last name? [Unknown]:host.domain.com What is the name of your organizational unit? [Unknown]:xxxxx What is the name of your organization? [Unknown]:xxxx What is the name of your City or Locality? [Unknown]:xxxxxxx What is the name of your State or Province? [Unknown]:xxxxxxxxx What is the two-letter country code for this unit? [Un]:JP Is <CN=host.domain.com, OU=xxxxx, O=xxxx, L=xxxxxxx, ST=xxxxxxxxx, C=JP> correct? [no]:yes SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<.\csr.txt> |
作成したCSRを使用して、証明書の発行依頼を行います。処理の詳細については、"セキュリティシステム運用ガイド"の"証明書の発行依頼"を参照ください。
以下では、site-cert.cerに発行されたSSLサーバ証明書が、ca-cert.cerに認証局証明書があるとして説明します。
| # scsenter -n CA-Cert -f c:\temp\ca-cert.cer Password: Certificate was added to keystore SCS: 情報: scs0104: 証明書を登録しました。 |
以下では、site-cert.cerに発行されたSSLサーバ証明書が、ca-cert.cerに認証局証明書があるとして説明します。
| # scsenter -n IS-Console-SSL-Cert -f c:\temp\site-cert.cer -o Password: Certificate reply was installed in keystore SCS: 情報: scs0104: 証明書を登録しました。 |
ユーザPINにはInterstage証明書環境のパスワードを指定します。
| # ihsregistupin -f [Interstageインストールフォルダ]\gui\etc\cert\upinfile -d [Interstageインストールフォルダ]\etc\security\env\smee\slot UserPIN: * Interstage証明書環境のパスワードを指定します。 Re-type UserPIN: * Interstage証明書環境のパスワードを指定します。 |
Interstage 管理コンソール用のInterstage HTTP Serverの定義ファイルを以下のとおり編集します。
| # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "C:/Interstage/etc/security/env/smee" * 固定(Interstageのインストールフォルダは適宜修正) SSLSlotDir "C:/Interstage/etc/security/env/smee/slot" * 固定(Interstageのインストールフォルダは適宜修正) SSLTokenLabel Token01 * 固定 SSLUserPINFile "c:/Interstage/gui/etc/cert/upinfile" * ihsregistupinで作成したユーザPINファイル SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName IS-Console-SSL-Cert * SSLサーバ証明書のニックネーム #SSLClCACertName cli01 |
以下のサービスを再起動します。
| "Interstage Operation Tool(FJapache)" |
scsmakeenvコマンドを実行して、Interstage証明書環境を作成し、CSR(証明書取得申請書)を作成します。詳細については、"セキュリティシステム運用ガイド"の"Interstage HTTP Serverの認証とアクセス制御の設定"を参照してください。
| # scsmakeenv -n IS-Console-SSL-Cert -f /usr/home/my_dir/my_csr.txt -c New Password: ← Interstage証明書環境のパスワードを設定します。 本パスワードがUSER-PINとなります。 Retype: Input X.500 distinguished names. What is your first and last name? [Unknown]:host.domain.com What is the name of your organizational unit? [Unknown]:xxxxx What is the name of your organization? [Unknown]:xxxx What is the name of your City or Locality? [Unknown]:xxxxxxx What is the name of your State or Province? [Unknown]:xxxxxxxxx What is the two-letter country code for this unit? [Un]:JP Is <CN=host.domain.com, OU=xxxxx, O=xxxx, L=xxxxxxx, ST=xxxxxxxxx, C=JP> correct? [no]:yes UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</ usr/home/my_dir/my_csr.txt> |
作成したCSRを使用して、証明書の発行依頼を行います。処理の詳細については、"セキュリティシステム運用ガイド"の"証明書の発行依頼"を参照ください。
以下では、site-cert.cerに発行されたSSLサーバ証明書が、ca-cert.cerに認証局証明書があるとして説明します。
| # scsenter -n CA-Cert -f /usr/home/my_dir/ca-cert.cer Password: Certificate was added to keystore SCS: 情報: scs0104: 証明書を登録しました。 |
以下では、site-cert.cerに発行されたSSLサーバ証明書が、ca-cert.cerに認証局証明書があるとして説明します。
| # scsenter -n IS-Console-SSL-Cert -f /usr/home/my_dir/site-cert.cer -o Password: Certificate reply was installed in keystore SCS: 情報: scs0104: 証明書を登録しました。 |
ユーザPINにはInterstage証明書環境のパスワードを指定します。
| # ihsregistupin -f /etc/opt/FJSVisgui/cert/upinfile -d /etc/opt/FJSVisscs/security/env/smee/slot UserPIN: * Interstage証明書環境のパスワードを指定します。 Re-type UserPIN: * Interstage証明書環境のパスワードを指定します。 |
Interstage 管理コンソール用のInterstage HTTP Serverの定義ファイルを以下のとおり編集します。
| # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "/etc/opt/FJSVisscs/security/env/smee" * 固定 SSLSlotDir "/etc/opt/FJSVisscs/security/env/smee/slot" * 固定 SSLTokenLabel Token01 * 固定 SSLUserPINFile "/etc/opt/FJSVisgui/cert/upinfile" * ihsregistupinで作成したユーザPINファイル SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName IS-Console-SSL-Cert * SSLサーバ証明書のニックネーム #SSLClCACertName cli01 |
Interstage管理コンソール用のInterstage HTTP Serverを再起動します。
再起動の手順は以下のとおりです。
(1) Interstage HTTP Server(Interstage管理コンソール用)のプロセスをkillコマンドにて停止する。
|
# kill `cat PID_FILE` |
(2) Interstage HTTP Server(Interstage管理コンソール用)の起動
|
# /opt/FJSVihs/bin/httpd -f /etc/opt/FJSVisgui/httpd.conf |
注)
PID_FILE:Interstage HTTP Serverの定義ファイル(httpd.conf) の、"PidFile"に設定されているパスを指定します。Interstage管理コンソール用のInterstage HTTP Serverの定義ファイルは、"/etc/opt/FJSVisgui/httpd.conf "です。
Interstage管理コンソールの動作環境としてSSL暗号化通信の設定を行ってインストールした直後では、Webサービス(SOAP)がSSL暗号化通信するために必要なSSL定義名の作成まで行われていないため、Webサービス情報編集ツールは正常に動作することはできません。
Webサービス情報編集ツールを動作するには、SSL暗号化通信をしない環境の作成を行うか、またはInterstage証明書環境の再構築を行う必要があります。
1)SSL定義名を作成する。
SSL定義名はInterstage管理コンソールから[システム]>[セキュリティ]>[SSL]を選択して作成してください。
2)Interstage管理コンソール用Servletサービスを停止します。
/opt/FJSVjs2su/bin/jssvstop
C:\Interstage\F3FMjs2su\bin\jssvstop
3)SSL定義名の指定
プロパティファイル(/opt/FJSVsoap/etc/config.properties)に“1)SSL定義名を作成する”で作成したSSL定義名を指定します。
プロパティファイル(C:\Interstage\F3FMsoap\etc\config.properties)に“1)SSL定義名を作成する”で作成したSSL定義名を指定します。
|
プロパティ名 |
値 |
|
com.fujitsu.interstage.soapx.sslname |
SSL定義名 |
4)Interstage管理コンソール用Servletサービスを再起動します。
/opt/FJSVjs2su/bin/jssvstart
C:\Interstage\F3FMjs2su\bin\jssvstart
Interstage管理コンソールのセションタイムアウト時間を変更する場合は、以下の手順で行います。
1)Interstage管理コンソールのセションタイムアウト時間は、以下のファイルで設定します。
|
[Interstageインストールフォルダ]\gui\isAdmin\WEB-INF\web.xml |
2)上記ファイルの<session-timeout>タグに設定した値で設定します。単位は分で、指定可能な範囲は0〜35791394です。タグを省略した場合は、30が設定されます。0または負の値を記述した時にはタイムアウトしません。
|
<session-config> |
3) Interstage JServlet(OperationManagement)サービスを再起動します。
1)Interstage管理コンソールのセションタイムアウト時間は、以下のファイルで設定します。
|
/opt/FJSVisgui/isadmin/WEB-INF/web.xml |
2)上記ファイルの<session-timeout>タグに設定した値で設定します。単位は分で、指定可能な範囲は0〜35791394です。タグを省略した場合は、30が設定されます。0または負の値を記述した時にはタイムアウトしません。
|
<session-config> |
3)以下のコマンドを実行して、Interstage JServlet (OperationManagement)を再起動してください。
|
/opt/FJSVjs2su/bin/jssvstop |
|
目次
索引
|