Interstage Application Server 運用ガイド

目次 索引

1.5.2 Interstage管理コンソール動作環境のカスタマイズ

　Interstage管理コンソール動作環境のカスタマイズについて説明します。
　Interstage管理コンソール動作環境として、カスタマイズ可能な項目は以下のとおりです。

• 接続先ポート番号
• 自動更新間隔
• Interstage管理コンソールのSSL暗号化通信
• Interstage JMXサービスのSSL暗号化通信（HTTPS通信）
• セションタイムアウト時間のカスタマイズ
• 複数のIPアドレスを持つサーバでInterstage JMXサービスを運用する場合

　なお、本作業はInterstageをインストールしているサーバの、マシン管理者権限で実行する必要があります。Windows(R)版ではAdministratorsグループ権限を、Solaris/Linux版ではroot権限を持ったユーザで作業を実施してください。

■接続先ポート番号のカスタマイズ

　Interstage管理コンソールの接続先ポート番号は、以下のファイルで設定します。

　

[Interstageインストールフォルダ]\gui\etc\httpd.conf

　

　

/etc/opt/FJSVisgui/httpd.conf

　

　Interstage管理コンソールの接続先ポート番号を変更する場合は、上記ファイルの以下の項目に設定した値を変更します。

Port 12000

■自動更新間隔のカスタマイズ

　Interstage管理コンソールは、表示画面を自動的に最新情報に更新します。この更新間隔を設定することができます。設定方法を、以下に示します。

1. Interstage管理コンソールにログインします。
2. ツリービューのInterstage管理コンソールをクリックします。
3. 環境設定タブをクリックし、「自動更新間隔」に希望する時間(秒)値を設定します。
   指定可能な値は、10から1799です。

■Interstage管理コンソールのSSL暗号化通信のカスタマイズ

　Interstage管理コンソールの運用に、SSL暗号化通信を使用するか否かは、Interstageインストール時に“運用形態の選択”で設定します。
　インストール後に、インストール時に選択した運用形態から変更する場合は以下に示す手順で環境をカスタマイズします。
　なお、SSL暗号化通信を使用しない場合は、通信データの盗聴などセキュリティ上の脆弱性を考慮しなければなりません。セキュリティ上の問題が考えられる場合には、SSL暗号化通信を使用するなどの対処をしてください。

　以降で、SSL暗号化通信のカスタマイズパターンごとの手順を説明します。

• SSL暗号化通信を使用する場合
• SSL暗号化通信を使用しない場合
• 証明書を変更する場合
• Webサービス情報編集ツールを使用する場合
  注) Interstage管理コンソールの動作環境として“SSL暗号化通信を使用する”状態でInterstageをインストールした場合、Webサービス情報編集ツールは正常動作しません。“Webサービス情報編集ツールを使用する場合”を参照して環境を設定してください。

　以下の変更を実施した場合には、Windows(R)のスタートメニューに登録されている“Interstage管理コンソール”のショートカットは使用できなくなります。Windows(R)のスタートメニューに登録しているURLを変更する必要があります。

例) 「SSL暗号化通信を使用する」から「SSL暗号化通信を使用しない」へ変更する場合 　　　修正前:https://localhost:12000/IsAdmin/ 　　　修正後:http://localhost:12000/IsAdmin/

◆SSL暗号化通信を使用する場合

　“SSL暗号化通信を使用する”運用形態に変更する場合の手順を説明します。

1. 証明書/鍵管理環境の作成
   cmcrtsslenvコマンドで作成します。
   　

   

   　

   "%CommonProgramFiles%\Fujitsu Shared\F3FSSMEE\cmcrtsslenv.exe" -ed [Interstageインストールフォルダ]\gui\etc\cert

   　

   

   　

   "/opt/FJSVsmee/bin/cmcrtsslenv" -ed /etc/opt/FJSVisgui/cert

   　

2. Interstage HTTP Serverの定義ファイルの編集
   Interstage管理コンソール用のInterstage HTTP Serverの定義ファイルを編集します。
   　

   

   　編集する定義ファイルは以下のファイルです。
   　

   [Interstageインストールフォルダ]\gui\etc\httpd.conf

   　

   　編集する内容は以下のとおりです。
   　

   # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "[Interstageインストールフォルダ]/gui/etc/cert" SSLSlotDir "[Interstageインストールフォルダ]/gui/etc/cert/slot" SSLTokenLabel SSLTOKEN SSLUserPINFile "[Interstageインストールフォルダ]/gui/etc/cert/sslssl" SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName SSLCERT #SSLClCACertName cli01

   　

   

   　編集する定義ファイルは以下のファイルです。
   　

   /etc/opt/FJSVisgui/httpd.conf

   　

   　編集する内容は以下のとおりです。
   　

   # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "/etc/opt/FJSVisgui/cert" SSLSlotDir "/etc/opt/FJSVisgui/cert/Slot" SSLTokenLabel SSLTOKEN SSLUserPINFile "/etc/opt/FJSVisgui/cert/sslssl" SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName SSLCERT #SSLClCACertName cli01

   　

3. Interstage管理コンソール用Interstage HTTP Serverの再起動
   　

   

   　以下のサービスを再起動します。
   　

   "Interstage Operation Tool(FJapache)"

   　

   

   　再起動の手順は以下のとおりです。
   　

   1) Interstage HTTP Server（Interstage管理コンソール用）のプロセスをkillコマンドで停止する。 　　# kill `cat PID_FILE` 2) Interstage HTTP Server（Interstage管理コンソール用）を起動する。 　　# /opt/FJSVihs/bin/httpd -f /etc/opt/FJSVisgui/httpd.conf 注) PID_FILE:Interstage HTTP Serverの定義ファイル(httpd.conf)の、“PidFile”に設定されているパスを指定します。Interstage管理コンソール用のInterstage HTTP Serverの定義ファイルは、“/etc/opt/FJSVisgui/httpd.conf”です。

   　

◆SSL暗号化通信を使用しない場合

　“SSL暗号化通信を使用しない”運用形態に変更する場合の手順を説明します。

1. Interstage HTTP Serverの定義ファイルの編集
   Interstage HTTP Serverの定義ファイルを以下のように編集します。
   　

   編集前

   　

   # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "．．．．．．" SSLSlotDir "．．．．．．" SSLTokenLabel SSLTOKEN SSLUserPINFile "．．．．．．" SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName SSLCERT #SSLClCACertName cli01

   　

   編集後　(太字部分が変更箇所です。)

   　

   # ---- Configuration for SSL --- #AddModule mod_ihs_ssl.c #SSLEnvDir "．．．．．．" #SSLSlotDir "．．．．．．" #SSLTokenLabel SSLTOKEN #SSLUserPINFile "．．．．．．" #SSLExec on #SSLVersion 2-3 #SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 #SSLCertName SSLCERT #SSLClCACertName cli01

   　

2. Interstage管理コンソール用Interstage HTTP Serverの再起動
   　

   

   　以下のサービスを再起動します。
   　

   "Interstage Operation Tool(FJapache)"

   　

   

   　再起動の手順は以下のとおりです。
   　

   1) Interstage HTTP Server（Interstage管理コンソール用）のプロセスをkillコマンドで停止する。 　　# kill `cat PID_FILE` 2) Interstage HTTP Server（Interstage管理コンソール用）を起動する。 　　# /opt/FJSVihs/bin/httpd -f /etc/opt/FJSVisgui/httpd.conf 注) PID_FILE:Interstage HTTP Serverの定義ファイル(httpd.conf)の、“PidFile”に設定されているパスを指定します。Interstage管理コンソール用のInterstage HTTP Serverの定義ファイルは、“/etc/opt/FJSVisgui/httpd.conf”です。

   　

◆証明書を変更する場合

　Interstageインストール時または、cmcrtsslenvコマンドで使用する証明書は、Interstage管理コンソールのSSL暗号化通信を使用するために、Interstageが生成した証明書です。
　ベリサインなど、正式な認証局の発行証明書を使用する場合の手順を説明します。

　Interstageが生成した証明書は、正式運用前のテスト運用やイントラネット内での運用に使用できます。
　なお、認証局が発行した証明書をInterstage管理コンソールのSSL暗号化通信に使用することもできます。イントラネット内やインターネットに接続される運用環境では、信頼できる認証局が発行した証明書で運用することを推奨します。

1. Interstage証明書環境の作成
   　scsmakeenvコマンドを実行して、Interstage証明書環境を作成し、CSR(証明書取得申請書)を作成します。詳細については、“セキュリティシステム運用ガイド”の“Interstage HTTP Serverの認証とアクセス制御の設定”を参照してください。
   　

   

   　

   # scsmakeenv -n IS-Console-SSL-Cert -f c:\temp\csr.txt -c

   　

   

   　

   # scsmakeenv -n IS-Console-SSL-Cert -f /usr/home/my_dir/my_csr.txt -c

   　

   　上記コマンドを実行し、要求に応じて、以下のように入力します。

   New Password:　　←Interstage証明書環境のパスワードを設定します。本パスワードがUSER-PINとなります。 Retype: Input X.500 distinguished names. What is your first and last name? [Unknown]:host.domain.com What is the name of your organizational unit? [Unknown]:xxxxx What is the name of your organization? [Unknown]:xxxx What is the name of your City or Locality? [Unknown]:xxxxxxx What is the name of your State or Province? [Unknown]:xxxxxxxxx What is the two-letter country code for this unit? [Un]:JP Is <CN=host.domain.com, OU=xxxxx, O=xxxx, L=xxxxxxx, ST=xxxxxxxxx, C=JP> correct? [no]:yes

   　以下のようなメッセージが出力されます。

   

   　

   SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<.\csr.txt>

   　

   

   　

   UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</ usr/home/my_dir/my_csr.txt>

   　

2. 作成したCSRを使用した証明書の発行依頼
   　作成したCSRを使用して、証明書の発行依頼を行います。処理の詳細については、“セキュリティシステム運用ガイド”の“証明書の発行依頼”を参照ください。
   　
3. 認証局証明書(ca-cert.cer)をInterstage証明書環境へ登録
   　以下では、site-cert.cerに発行されたSSLサーバ証明書が、ca-cert.cerに認証局証明書があるとして説明します。
   　

   

   　

   # scsenter -n CA-Cert -f c:\temp\ca-cert.cer Password: Certificate was added to keystore SCS: 情報: scs0104: 証明書を登録しました。

   　

   

   　

   # scsenter -n CA-Cert -f /usr/home/my_dir/ca-cert.cer Password: Certificate was added to keystore SCS: 情報: scs0104: 証明書を登録しました。

   　

4. SSLサーバ証明書(site-cert.cer)をInterstage証明書環境へ登録
   　以下では、site-cert.cerに発行されたSSLサーバ証明書が、ca-cert.cerに認証局証明書があるとして説明します。
   　

   

   　

   # scsenter -n IS-Console-SSL-Cert -f c:\temp\site-cert.cer -o Password: Certificate reply was installed in keystore SCS: 情報: scs0104: 証明書を登録しました。

   　

   

   　

   # scsenter -n IS-Console-SSL-Cert -f /usr/home/my_dir/site-cert.cer -o Password: Certificate reply was installed in keystore SCS: 情報: scs0104: 証明書を登録しました。

   　

5. Interstage HTTP ServerのユーザPINファイルの作成
   ユーザPINにはInterstage証明書環境のパスワードを指定します。
   　

   

   　

   # ihsregistupin -f [Interstageインストールフォルダ]\gui\etc\cert\upinfile -d [Interstageインストールフォルダ]\etc\security\env\smee\slot UserPIN:　　← Interstage証明書環境のパスワードを指定します。 Re-type UserPIN:　　← Interstage証明書環境のパスワードを指定します。

   　

   

   　

   # ihsregistupin -f /etc/opt/FJSVisgui/cert/upinfile -d /etc/opt/FJSVisscs/security/env/smee/slot UserPIN:　　← Interstage証明書環境のパスワードを指定します。 Re-type UserPIN:　　← Interstage証明書環境のパスワードを指定します。

   　

6. Interstage HTTP Serverの定義ファイルの編集
   　Interstage 管理コンソール用のInterstage HTTP Serverの定義ファイルを以下のとおり編集します。
   　

   

   　

   # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "C:/Interstage/etc/security/env/smee"　　← 固定(Interstageのインストールフォルダは適宜修正) SSLSlotDir "C:/Interstage/etc/security/env/smee/slot"　　← 固定(Interstageのインストールフォルダは適宜修正) SSLTokenLabel Token01　　← 固定 SSLUserPINFile "c:/Interstage/gui/etc/cert/upinfile"　　← ihsregistupinで作成したユーザPINファイル SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName IS-Console-SSL-Cert　　← SSLサーバ証明書のニックネーム #SSLClCACertName cli01

   　

   

   　

   # ---- Configuration for SSL --- AddModule mod_ihs_ssl.c SSLEnvDir "/etc/opt/FJSVisscs/security/env/smee"　　← 固定 SSLSlotDir "/etc/opt/FJSVisscs/security/env/smee/slot"　　← 固定 SSLTokenLabel Token01　　← 固定 SSLUserPINFile "/etc/opt/FJSVisgui/cert/upinfile"　　← ihsregistupinで作成したユーザPINファイル SSLExec on SSLVersion 2-3 SSLVerifyClient none #SSLCipherSuite RC4-MD5:RC2-MD5:EXP-RC4-MD5:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5 SSLCertName IS-Console-SSL-Cert　　← SSLサーバ証明書のニックネーム #SSLClCACertName cli01

   　

7. Interstage管理コンソール用Interstage HTTP Serverの再起動
   　

   

   　以下のサービスを再起動します。
   　

   "Interstage Operation Tool(FJapache)"

   　

   

   　再起動の手順は以下のとおりです。
   　

   1) Interstage HTTP Server（Interstage管理コンソール用）のプロセスをkillコマンドで停止する。 　　# kill `cat PID_FILE` 2) Interstage HTTP Server（Interstage管理コンソール用）を起動する。 　　# /opt/FJSVihs/bin/httpd -f /etc/opt/FJSVisgui/httpd.conf 注) PID_FILE:Interstage HTTP Serverの定義ファイル(httpd.conf)の、“PidFile”に設定されているパスを指定します。Interstage管理コンソール用のInterstage HTTP Serverの定義ファイルは、“/etc/opt/FJSVisgui/httpd.conf”です。

   　

◆Webサービス情報編集ツールを使用する場合

　Interstage管理コンソールの動作環境として“SSL暗号化通信を使用する”状態でInterstageをインストールした直後は、Webサービス(SOAP)がSSL暗号化通信するために必要なSSL定義名の作成が行われていないため、Webサービス情報編集ツールは正常に動作することはできません。
　Webサービス情報編集ツールを動作するには、“SSL暗号化通信を使用しない”環境を作成するか、またはInterstage証明書環境の再構築を行う必要があります。

• SSL暗号化通信を使用しない環境の作成については、“SSL暗号化通信を使用しない場合”を参照してください。
• Interstage証明書環境の再構築は、“証明書を変更する場合”の作業を実施した後、以降に示す追加手順にしたがって行ってください。

1. SSL定義名の作成
   　SSL定義名はInterstage管理コンソールから[システム]>[セキュリティ]>[SSL]を選択して作成します。
   　
2. Interstage管理コンソール用Servletサービスの停止

   

   　

   C:\Interstage\F3FMjs2su\bin\jssvstop

   
   

   　

   

   　

   /opt/FJSVjs2su/bin/jssvstop

   　

3. SSL定義名の指定
   　以下のプロパティファイルに“1.SSL定義名の作成”で作成したSSL定義名を指定します。
   　指定するプロパティ名は、“com.fujitsu.interstage.soapx.sslname”です。
   　

   

   　

   C:\Interstage\F3FMsoap\etc\config.properties

   　

   

   　

   /opt/FJSVsoap/etc/config.properties

   　

4. Interstage管理コンソール用Servletサービスの再起動

   

   　

   C:\Interstage\F3FMjs2su\bin\jssvstart

   　

   

   　

   /opt/FJSVjs2su/bin/jssvstart

   　

■Interstage JMXサービスのSSL暗号化通信（HTTPS通信）

　Interstage JMXサービスの運用にSSL暗号化通信を使用する場合、以下に示す手順で環境をカスタマイズしてください。

1. Interstage JMXサービスの定義ファイルの編集
   Interstage JMXサービス用の定義ファイルを編集します。編集する定義ファイルは、以下のファイルです。

   

   C:\Interstage\jmx\etc\isjmx.xml

   

   /etc/opt/FJSVisjmx/isjmx.xml

   　編集する内容は以下のとおりです。太文字の部分が修正部分です。使用されていないポート番号を指定してください。

   <isjmx>     
   <port rmi="12200" internal="12210" https="12220"/>
                ：

2. Interstage JMXサービスの再起動

   
   以下のサービスを再起動します。

   Interstage Operation Tool

   
   isjmxstartコマンドを使用し、Interstage JMXサービスを起動してください。

　上記サービスの再起動時にIJServerが起動している場合、そのIJServerのモニタ参照およびHotDeploy機能の使用はできません。上記操作と共にIJServerの再起動を行ってください。
　詳細は“トラブルシューティング集”の“Interstage管理コンソールの統計情報の異常”または“Interstage管理コンソールエラー時の対処”参照してください。

　HTTPSの使用をやめる場合は、定義ファイルから<port>タグのhttps属性を削除して、Interstage JMXサービスを再起動してください。

■セションタイムアウト時間のカスタマイズ

Interstage管理コンソールのセションタイムアウト時間を変更する場合は、以下の手順で行います。

　1)Interstage管理コンソールのセションタイムアウト時間は、以下のファイルで設定します。

　2)上記ファイルの<session-timeout>タグに設定した値で設定します。単位は分で、指定可能な範囲は1〜35791394です。タグを省略した場合は、30が設定されます。-35791394〜-2の負の値を記述した時にはタイムアウトしません。
　タイムアウトしない設定にした場合、Interstage管理者以外の第3者により不正操作される可能性が高くなり、セキュリティ上の問題が発生することが考えられるため、タイムアウトしない設定を使用する場合は注意してください。

　3) Interstage JServlet(OperationManagement)サービスを再起動します。

　1)Interstage管理コンソールのセションタイムアウト時間は、以下のファイルで設定します。

　2)上記ファイルの<session-timeout>タグに設定した値で設定します。単位は分で、指定可能な範囲は1〜35791394です。タグを省略した場合は、30が設定されます。-35791394〜-2の負の値を記述した時にはタイムアウトしません。
　タイムアウトしない設定にした場合、Interstage管理者以外の第3者により不正操作される可能性が高くなり、セキュリティ上の問題が発生することが考えられるため、タイムアウトしない設定を使用する場合は注意してください。

　3)以下のコマンドを実行して、Interstage JServlet (OperationManagement)を再起動してください。

■複数のIPアドレスを持つサーバでInterstage JMXサービスを運用する場合

　Interstage JMXサービスを運用するサーバが複数のIPアドレスを持っており、それらのIPアドレスの中で、クライアントでpingコマンドを実行した場合に、接続できないIPアドレスをサーバが持っている場合に、Interstage JMXサービスにRMI通信しようとすると、以下のいずれかのエラーが発生する場合があります。

　上記エラーが発生した場合、以下のいずれかの対処を行ってください。

• クライアントでpingコマンドを実行した場合に、接続できないIPアドレスをOSの設定で削除し、以下の手順で、Interstage JMXサービスを再起動してください。

  
  “Interstage Operation Tool"サービスを起動します。
  
  isjmxstopコマンドでInterstage JMXサービスを停止し、その後、isjmxstartコマンドでInterstage JMXサービスを起動します。

  
  　上記サービスの再起動時にIJServerが起動している場合、そのIJServerのモニタ参照およびHotDeploy機能の使用はできません。上記操作と共にIJServerの再起動を行ってください。
  　詳細は“トラブルシューティング集”の“Interstage管理コンソールの統計情報の異常”または“Interstage管理コンソールエラー時の対処”参照してください。

• 以下の手順でクライアントでpingコマンドを実行した場合に、接続できるIPアドレスを指定してください。

  1.次のファイルをエディタで開きます。

  
  C:\Interstage\jmx\etc\isjmx.xml
  
  /etc/opt/FJSVisjmx/isjmx.xml

  2.以下のようにhostタグを追加し、localhost属性にクライアントでpingコマンドを実行した場合に、接続できるIPアドレスを指定した後、ファイルを保存してください。

  <isjmx> ... <host localhost="クライアントでpingコマンドを実行した場合に、接続できるIPアドレス"/> </isjmx>

  
  

  3.以下の手順で、Interstage JMXサービスを再起動してください。

  
  “Interstage Operation Tool"サービスを起動します。

  
  isjmxstopコマンドでInterstage JMXサービスを停止し、その後、isjmxstartコマンドでInterstage JMXサービスを起動します。

  
  　上記サービスの再起動時にIJServerが起動している場合、そのIJServerのモニタ参照およびHotDeploy機能の使用はできません。上記操作と共にIJServerの再起動を行ってください。
  　詳細は“トラブルシューティング集”の“Interstage管理コンソールの統計情報の異常”または“Interstage管理コンソールエラー時の対処”参照してください。

目次 索引