マルチシステム機能を使用した環境での、CORBAサービスのSSLによる暗号化通信機能の運用方法について、デフォルトシステムと拡張システムでの違いを説明します。
拡張システムの運用を行う場合は、SSL環境設定コマンドでは、以下の方法で対象のシステム名を指定する必要があります。システム名には、iscreatesysコマンドで指定したシステム名を入力して拡張システムへの操作を行います。
コマンドの-Mオプション
コマンドの-Mオプションで拡張システム名を指定します。
環境変数“IS_SYSTEM”
環境変数“IS_SYSTEM”で拡張システム名を指定します。
なお、両方が指定されている場合には、コマンドの-Mオプションで指定したシステム名が有効になります。
また、拡張システム名に指定する必要のあるコマンドを以下に示します。-Mオプションがないコマンドについては、拡張システムとして考慮する必要はありません。
SSL環境設定コマンド
SSL環境設定コマンドで“-M 拡張システム名”を指定すると、拡張システムのSSL連携機能、およびその資源に対して、運用/操作を行います。
SSL環境設定コマンドの詳細(-Mアプションの有無など)については、“リファレンスマニュアル(コマンド編)”を参照してください。
ここでは、拡張システム上のサーバのSSL環境設定で、デフォルトシステムと違いのある操作について、説明します。
クライアントのSSL環境設定では、サーバが拡張システムであっても、特に違いはありません。
なお、サーバのSSL環境設定の詳細、およびクライアントのSSL環境設定については、“セキュリティシステム運用ガイド”を参照してください。
CORBAサーバでSSLを利用する場合の環境設定は、以下の手順で行います。
証明書/鍵管理環境の作成
秘密鍵の作成と証明書の取得
証明書とCRLの登録
CORBAサービスへの秘密鍵/証明書の設定
configファイルの編集
オブジェクトリファレンス作成時のSSL情報付加の指定
イベントサービスの設定
拡張システムでSSL環境設定を行う場合は、デフォルトシステムで設定した秘密鍵/証明書を共有することができるため、4以降の手順について説明します。1から3の手順については、“セキュリティシステム運用ガイド”を参照してください。
(4)CORBAサービスへの秘密鍵/証明書の設定
CORBAアプリケーション連携でSSL通信を行うには、CORBAサービスに秘密鍵/証明書を設定しておく必要があります。
秘密鍵/証明書の設定
CORBAサービスに秘密鍵/証明書を設定するため、odsetSSLコマンドで拡張システムを指定(-Mオプション)して実行します。コマンド実行時、トークンに設定したユーザPINを入力します。
拡張システム(system1)のCORBAサービスに秘密鍵/証明書を設定(トークン:Token01、ニックネーム:Jiro、スロット情報ディレクトリ:/home/SSL/slot、運用管理ディレクトリ:/home/SSL/sslcert)
odsetSSL -sd /home/SSL/slot -ed /home/SSL/sslcert -tl Token01 -nn Jiro -M system1 |
アクセス権限の設定
一般ユーザ(システム管理者(root)以外)の権限でアプリケーションを動作させる場合は、秘密鍵/証明書に一般ユーザのアクセス権限を設定する必要があるため、odsetpathコマンドで拡張システムを指定(-Mオプション)して実行します。
odsetpathコマンドはシステム管理者権限で実行してください。
システム管理者権限でアプリケーションを動作させる場合、本操作は不要です。
拡張システム(system1)のCORBAサービスで秘密鍵/証明書にアクセス権限を設定
odsetpath /home/SSL/slot /home/SSL/sslcert -M system1 |
環境変数“IS_SYSTEM”で拡張システム名を指定すると、-Mオプションを指定せずに、odsetSSL、odsetpathコマンドを実行することもできます。ただし、両方が指定されている場合は、-Mオプションが有効となります。
CORBAサービスにSSL通信処理を組み込むため、configファイルのUNO_IIOP_ssl_useにyesを指定します。
また、UNO_IIOP_ssl_portには、SSL通信用のポート番号を指定します。なお、UNO_IIOP_ssl_portの初期値は4433ですが、デフォルトシステムのSSL通信用、または他のプログラムで使用されている場合は、1024から65535の間の未使用の番号を設定します。
/var/opt/FJSVisas/system/システム名/FSUNod/etc/config |
configファイルの新しい設定値を有効にするためには、CORBAサービスを再起動してください。
以下の手順でInterstageの初期化を行った場合には、本手順の実施は不要です。
Interstage動作環境定義に以下の定義項目を定義した上で、isinitコマンドによる初期化を行った場合
SSL USE=yes
SSL Port Number=ポート番号
(6)オブジェクトリファレンス作成時のSSL情報付加の指定
SSL通信を行う場合は、以下のいずれかまたは両方を行い、サーバアプリケーションのオブジェクトリファレンスにSSL情報が付加されるようにします。
OD_or_admコマンドの-sオプションを実行し、SSL情報付きのオブジェクトリファレンスを作成する。このとき、同時に-Mオプションで拡張システムを指定する。
OD_impl_instコマンドの定義ファイル内でsslパラメタを指定し、オブジェクトリファレンス生成時のSSL情報付加の有無を指定する。このとき、同時に-Mオプションで拡張システムを指定する。
OD_or_admコマンドとOD_impl_instコマンドでの指定情報と、SSL通信の有効/無効の関係については、“リファレンスマニュアル(コマンド編)”の“OD_impl_inst”を参照してください。
(5)configファイルの編集後、CORBAサービスを再起動していない状態で、OD_or_admコマンドを実行する場合は、ホスト名(-hオプション)、ポート番号(-pオプション)を指定する必要があります。
このとき、ポート番号にはconfigファイルのUNO_IIOP_ssl_portに設定したものを指定してください。
環境変数“IS_SYSTEM”で拡張システム名を指定すると、-Mオプションを指定せずに、OD_or_adm, OD_impl_instコマンドを実行することもできます。ただし、両方が指定されている場合は、-Mオプションが有効となります。
(7)イベントサービスの設定
イベントサービスでSSL通信を行う場合のみ設定が必要です。以下のいずれかの方法でSSL通信の設定を行います。
動的生成運用の場合
Interstage動作環境定義に“Event SSL = yes”に指定して、isinitコマンドでInterstageを初期化する際にSSL通信を設定します。このとき、同時に-Mオプションで拡張システムを指定します。
静的生成運用の場合
esmkchnlコマンドを-sslオプション付きで実行して、SSL通信を設定します。このとき、同時に-Mオプションで拡張システムを指定します。
