Internet Navigware Enterprise LMS Server V9.0

目次

20.2.3 SSL通信の設定

サイト証明書を用いて、Internet Navigware ServerにSSL通信で接続する環境の設定方法を説明します。

1. 証明書環境を構築します。
   Interstage Application Server オンラインマニュアルのInterstage Application Server セキュリティシステム運用ガイドの“第11章 Interstage証明書環境の構築と利用”を参照し、Interstage証明書環境を構築してください。
   
   主な手順は以下となります。
   手順の詳細は、Interstage Application Server オンラインマニュアルを参照してください。

   1. 認証局へ証明書の発行を依頼するための証明書取得申請書を作成します。

   2. 認証局に証明書の発行を依頼し、証明書を取得します。

   3. 認証局より発行された証明書を証明書環境に登録します。

   4. 証明書環境で登録された証明書よりSSL定義を作成します。

   5. 証明書環境でWebサーバにSSL定義を設定します。

   証明書環境でWebサーバにSSL定義を設定した場合、Webサーバを再起動することにより設定が反映されます。そのため、必ずWebサーバを再起動してください。

   
   

2. 管理コマンドなどの動作環境ファイルを設定します。
   
   [Windows版]
   環境設定ツールの[クライアント]ページで各プロパティを設定します。
   
   [Linux版]
   command.propertiesファイルをエディタで開き各プロパティを設定します。command.propertiesファイルは、以下の場所にあります。
   /opt/FJSVinsve/bin
   設定するプロパティは以下のとおりです。

   1. server.nameの値を、サイト証明書に記載されたホスト名に変更します。
      サイト証明書に記載されたホスト名とは、サイト証明書の申請時に指定したホスト名です。Interstage管理コンソールの[システム]−[セキュリティ]−[証明書]−[サイト証明書]からサイト証明書の一覧を表示し、所有者の欄に表示されているcn=の右側がホスト名です。
      ホスト名がIPアドレスの場合は管理コマンドなどを使用できません。

   2. server.portの値を、項番2で設定したポート番号に変更します。

   3. server.protocolの値を、'https'に変更します。(Linux版では設定ファイルの行頭の'#'は削除してください)

3. サイト証明書を登録します。
   SSL環境のInternet Navigwareで管理コマンドなどを利用する場合、Interstageに登録されたサイト証明書をJREの証明書ストアに登録し、Internet Navigwareの設定を変更する必要があります。以下を実施してください。
   なお、a.とb.の手順は、scsmakeenvコマンドを使用して作成したテスト用証明書を使用する場合にのみ必要になる手順です。認証局が発行した証明書を使用する場合はa.とb.の手順は不要です。

   1. コマンドプロンプトまたはシェルプロンプトで以下のディレクトリに移動します。
      
      [Windows版]
      <Interstageのインストールディレクトリ>\etc\security\env\keystore
      
      [Linux版]
      /etc/opt/FJSVisscs/security/env/keystore

   2. 次のコマンドを実行し、Interstageの証明書ストアから直接証明書をエクスポートします。
      keytool -export -alias [1] -keystore .keystore -file [2].cer
      ※aliasの[1]には、Interstage管理コンソールの[セキュリティ]−[SSL]で新規作成したSSL定義のサイト証明書のニックネームを指定します。
      ※fileの[2]には、証明書をエクスポートする任意の証明書ファイル名を指定します。
      ※Linuxの場合、keytoolコマンドは、/opt/FJSVawjbk/jdk14/binディレクトリに存在します。
      ※Interstageの証明書ストアのパスワードは、scsmakeenvコマンドを初めて実行した時に登録したパスワードとなります。

   3. 次のコマンドを実行し、認証局が発行した証明書ファイルまたはb.でエクスポートした証明書ファイルをJREの証明書ストアにインポートします。
      
      [Windows版]
      keytool -import -alias [1] -keystore %JAVA_HOME%\jre\lib\security\cacerts -file [2].cer
      
      [Linux版]
      keytool -import -alias [1] -keystore $JAVA_HOME/jre/lib/security/cacerts -file [2].cer
      ※aliasの[1]には、Interstage管理コンソールの[セキュリティ]−[SSL]で新規作成したSSL定義のサイト証明書のニックネームを指定します。
      ※fileの[2]には、インポートする証明書のファイル名を指定します。
      ※Linuxの場合、keytoolコマンドは、/opt/FJSVawjbk/jdk14/binディレクトリに存在します。
      ※keytoolの実行時、証明書ストアのパスワードの入力が必要になる場合があります。JREの初期パスワードは changeit です。

   4. 次のコマンドを実行し、正しくインポートされたかを表示された証明書から確認します。
      
      [Windows版]
      keytool -list -alias [1] -v -keystore %JAVA_HOME%\jre\lib\security\cacerts
      
      [Linux版]
      keytool -list -alias [1] -v -keystore $JAVA_HOME/jre/lib/security/cacerts
      ※aliasの[1]は上記c.で指定した値を指定します。
      ※keytoolの実行時、証明書ストアのパスワードの入力が必要になる場合があります。JREの初期パスワードは changeit です。
      

目次