Interstage管理コンソールは、SSL暗号化通信を使用するかを指定できます。httpd.confファイルを編集し、SSL環境の構築をすることでSSL暗号化通信が使用できるようになります。

Interstage管理コンソールの運用においてSSL暗号化通信を使用するか否かについては、本製品インストール時に「運用形態の選択」で設定されます。
インストール後に、インストール時に選択した運用形態から変更する場合は、以下の手順で環境設定を行います。
なお、SSL暗号化通信を使用しない場合は、Interstage管理コンソールをアクセスするためのIDやパスワードなどが、ネットワーク上をそのまま流れます。そのため、SSL暗号化通信を使用するか、または通信データが傍受されないような対策を実施することを推奨します。

SSL暗号化通信のカスタマイズパターンごとの手順について以下に示します。

• SSL暗号化通信を使用する場合

• SSL暗号化通信を使用しない場合

• 証明書を変更する場合

• SSL暗号化通信の設定を変更する場合

  
  

「SSL暗号化通信を使用する」運用形態に変更する場合の手順を説明します。

1. 証明書/鍵管理環境の作成

   cmcrtsslenvコマンドで作成します。
   コマンドの格納先および詳細については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”－“cmcrtsslenv”を参照してください。

   

   cd [SSL環境設定コマンドの格納先]
   cmcrtsslenv.exe -ed [本製品インストールフォルダ]\gui\etc\cert

   

   cd [SSL環境設定コマンドの格納先]
   cmcrtsslenv -ed /etc/opt/FJSVisgui/cert

2. 証明書のフィンガープリントの確認

   Interstage管理コンソールのSSL暗号化通信で利用する証明書が生成されています。WebブラウザからInterstage管理コンソールに正しく接続しているかを確認するために、ここでは生成されている証明書のフィンガープリントを確認しておきます。cmdspcertコマンドを実行してください。
   コマンドの格納先および詳細については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”－“cmdspcert”を参照してください。

   

   cd [SSL環境設定コマンドの格納先]
   cmdspcert.exe -ed [本製品インストールフォルダ]\gui\etc\cert -nn SSLCERT | find "FINGERPRINT"

   

   cd [SSL環境設定コマンドの格納先]
   cmdspcert -ed /etc/opt/FJSVisgui/cert -nn SSLCERT | grep FINGERPRINT

   フィンガープリントは、以下のように表示されます。

   FINGERPRINT(MD5):      40 79 98 2F 37 12 31 7C AE E7 B4 AB 78 C8 A2 28
   FINGERPRINT(SHA1):     07 28 BE 26 94 89 6D F9 ... ←(16進数で20バイト分表示されます。)
   FINGERPRINT(SHA256):   F7 16 00 6E A1 6E A2 14 ... ←(16進数で32バイト分表示されます。)

   出力されたフィンガープリントは記録しておいてください。
   なお、この証明書は、Interstage管理コンソールとWebブラウザ間のSSL暗号化通信において、簡単にSSL暗号化通信が利用できるようにすることを目的に、本製品が自動生成したものです。セキュリティを強化したい場合は、認証局から発行してもらった証明書を利用する運用に切り替えることができます。運用を切り替える方法については、「証明書を変更する場合」を参照してください。

3. Interstage HTTP Serverの定義ファイルの編集

   Interstage管理コンソール用Interstage HTTP Serverの定義ファイルを編集します。

   

   編集する定義ファイルは、以下のファイルです。

   [本製品インストールフォルダ]\gui\etc\httpd.conf

   編集する内容は、以下のとおりです。

   # ---- Configuration for SSL ---
   SSLEnvDir "[本製品インストールフォルダ]/gui/etc/cert"
   SSLSlotDir "[本製品インストールフォルダ]/gui/etc/cert/slot"
   SSLTokenLabel SSLTOKEN
   SSLUserPINFile "[本製品インストールフォルダ]/gui/etc/cert/sslssl"
   SSLExec on
   SSLVersion 3-3.1
   SSLVerifyClient none
   SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA
   SSLCertName SSLCERT
   #SSLClCACertName cli01

   

   編集する定義ファイルは、以下のファイルです。

   /etc/opt/FJSVisgui/httpd.conf

   編集する内容は、以下のとおりです。

   # ---- Configuration for SSL ---
   SSLEnvDir "/etc/opt/FJSVisgui/cert"
   SSLSlotDir "/etc/opt/FJSVisgui/cert/Slot"
   SSLTokenLabel SSLTOKEN
   SSLUserPINFile "/etc/opt/FJSVisgui/cert/sslssl"
   SSLExec on
   SSLVersion 3-3.1
   SSLVerifyClient none
   SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA
   SSLCertName SSLCERT
   #SSLClCACertName cli01

4. Interstage管理コンソール用Interstage HTTP Serverの再起動

   

   サービス「Interstage Operation Tool(FJapache)」を再起動します。

   

   1. Interstage管理コンソール用Interstage HTTP Serverを停止します。

      # /opt/FJSVisgui/bin/S99isstartoptool stop

   2. Interstage管理コンソール用Interstage HTTP Serverを起動します。

      # /opt/FJSVisgui/bin/S99isstartoptool start

      
      

「SSL暗号化通信を使用しない」運用形態に変更する場合の手順を説明します。

1. Interstage HTTP Serverの定義ファイルの編集

   Interstage HTTP Serverの定義ファイルを以下のように編集します。

   編集前

   # ---- Configuration for SSL ---
   SSLEnvDir "．．．．．．"
   SSLSlotDir "．．．．．．"
   SSLTokenLabel SSLTOKEN
   SSLUserPINFile "．．．．．．"
   SSLExec on
   SSLVersion 3-3.1
   SSLVerifyClient none
   SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA
   #SSLClCACertName cli01

   編集後(太字部分が変更箇所です。)

   # ---- Configuration for SSL ---
   #SSLEnvDir "．．．．．．"
   #SSLSlotDir "．．．．．．"
   #SSLTokenLabel SSLTOKEN
   #SSLUserPINFile "．．．．．．"
   #SSLExec on
   #SSLVersion 3-3.1
   #SSLVerifyClient none
   #SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA
   #SSLCertName SSLCERT
   #SSLClCACertName cli01

2. Interstage管理コンソール用Interstage HTTP Serverの再起動

   サービス「Interstage Operation Tool(FJapache)」を再起動します。

   

   1. Interstage管理コンソール用Interstage HTTP Serverを停止します。

      # /opt/FJSVisgui/bin/S99isstartoptool stop

   2. Interstage管理コンソール用Interstage HTTP Serverを起動します。

      # /opt/FJSVisgui/bin/S99isstartoptool start

      
      

本製品インストール時または、cmcrtsslenvコマンドで使用する証明書は、Interstage管理コンソールのSSL暗号化通信を簡単に利用できるようにすることを目的に、本製品が生成した証明書です。
なお、認証局が発行した証明書をInterstage管理コンソールのSSL暗号化通信に使用することもできます。セキュリティを強化したい場合は、信頼できる認証局が発行した証明書で運用することを推奨します。

正式な認証局の発行証明書を使用する場合の手順について説明します。

1. Interstage証明書環境の作成

   scsmakeenvコマンドを実行して、Interstage証明書環境を作成し、CSR(証明書取得申請書)を作成します。詳細については、「セキュリティシステム運用ガイド」の「Interstage HTTP Serverの認証とアクセス制御の設定」を参照してください。

   注意

   scsmakeenvコマンド実行時、-nオプションで指定するニックネームは、サイト証明書の登録時にも指定する必要があるので、忘れないようにしてください。以下の実行例では、このニックネームをIS-Console-SSL-Certとして説明しています。

   

   # scsmakeenv -n IS-Console-SSL-Cert -f c:\temp\csr.txt -c

   

   # scsmakeenv -n IS-Console-SSL-Cert -f /usr/home/my_dir/my_csr.txt -c

   上記コマンドを実行し、要求に応じて、以下のように入力します。

   New Password:
     ↑Interstage証明書環境のパスワードを設定します。本パスワードがUSER-PINとなります。
   Retype:
   
   Input X.500 distinguished names.
   What is your first and last name?
     [Unknown]:host.domain.com  ←Interstage管理コンソールのホスト名を入力します。
   What is the name of your organizational unit?
     [Unknown]:xxxxx
   What is the name of your organization?
     [Unknown]:xxxx
   What is the name of your City or Locality?
     [Unknown]:xxxxxxx
   What is the name of your State or Province?
     [Unknown]:xxxxxxxxx
   What is the two-letter country code for this unit?
     [Un]:JP
   Is <CN=host.domain.com, OU=xxxxx, O=xxxx, L=xxxxxxx, ST=xxxxxxxxx, C=JP> correct?
     [no]:yes

   以下のようなメッセージが出力されます。

   

   SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<c:\temp\csr.txt>

   

   UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</usr/home/my_dir/my_csr.txt>

2. 作成したCSRを使用した証明書の発行依頼

   作成したCSRを使用して、証明書の発行依頼を行います。処理の詳細については、「セキュリティシステム運用ガイド」の「証明書の発行依頼」を参照ください。

3. 認証局証明書(ca-cert.cer)をInterstage証明書環境へ登録

   本製品がサポートしている証明書を取得した場合、本処理は不要です。本製品がサポートしている証明書については、「セキュリティシステム運用ガイド」の「Interstage証明書環境の構築と利用」の「証明書と秘密鍵について」を参照ください。
   以下では、ca-cert.cerに認証局証明書があるとして説明します。

   

   # scsenter -n CA-Cert -f c:\temp\ca-cert.cer
   Password:
   Certificate was added to keystore
   SCS: 情報: scs0104: 証明書を登録しました。

   

   # scsenter -n CA-Cert -f /usr/home/my_dir/ca-cert.cer
   Password:
   Certificate was added to keystore
   SCS: 情報: scs0104: 証明書を登録しました。

4. 中間CA証明書(中間認証局証明書)(intermediateCA-cert.cer)をInterstage証明書環境へ登録

   認証局によっては、認証局証明書とSSLサーバ証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があります。その場合は、認証局から配布されている中間CA証明書も登録してください。

   参考

   本製品の本バージョンでは、「セキュリティシステム運用ガイド」の「Interstage組み込み証明書一覧」に記載されている証明書を組み込んでいます。本製品に組み込まれている中間CA証明書は、Interstage証明書環境の構築時にscsmakeenvコマンドで-cオプションを指定すれば、認証局証明書と一緒にInterstage証明書環境に登録されます。

   以下では、intermediateCA-cert.cerに中間CA証明書があるとして説明します。

   

   # scsenter -n intermediateCA-Cert -f c:\temp\intermediateCA-cert.cer
   Password:
   Certificate was added to keystore
   SCS: 情報: scs0104: 証明書を登録しました。

   

   # scsenter -n intermediateCA-Cert -f /usr/home/my_dir/intermediateCA-cert.cer
   Password:
   Certificate was added to keystore
   SCS: 情報: scs0104: 証明書を登録しました。

5. SSLサーバ証明書(site-cert.cer)をInterstage証明書環境へ登録

   以下では、site-cert.cerに発行されたSSLサーバ証明書があるとして説明します。

   

   # scsenter -n IS-Console-SSL-Cert -f c:\temp\site-cert.cer -o
   Password:
   Certificate reply was installed in keystore
   SCS: 情報: scs0104: 証明書を登録しました。

   

   # scsenter -n IS-Console-SSL-Cert -f /usr/home/my_dir/site-cert.cer -o
   Password:
   Certificate reply was installed in keystore
   SCS: 情報: scs0104: 証明書を登録しました。

6. Interstage HTTP ServerのユーザPINファイルの作成

   ユーザPINにはInterstage証明書環境のパスワードを指定します。

   

   # ihsregistupin -f [本製品インストールフォルダ]\gui\etc\cert\upinfile 
   -d [本製品インストールフォルダ]\etc\security\env\smee\slot
   UserPIN:  ←Interstage証明書環境のパスワードを指定します。
   Re-type UserPIN:  ←Interstage証明書環境のパスワードを指定します。

   

   # ihsregistupin -f /etc/opt/FJSVisgui/cert/upinfile 
   -d /etc/opt/FJSVisscs/security/env/smee/slot
   UserPIN:  ←Interstage証明書環境のパスワードを指定します。
   Re-type UserPIN:  ←Interstage証明書環境のパスワードを指定します。

7. Interstage HTTP Serverの定義ファイルの編集

   Interstage 管理コンソール用Interstage HTTP Serverの定義ファイルを以下のとおり編集します。

   

   # ---- Configuration for SSL ---
   SSLEnvDir "C:/Interstage/etc/security/env/smee"
     ↑固定(本製品のインストールフォルダは適宜修正)
   SSLSlotDir "C:/Interstage/etc/security/env/smee/slot"
     ↑固定(本製品のインストールフォルダは適宜修正)
   SSLTokenLabel Token01  ←固定
   SSLUserPINFile "C:/Interstage/gui/etc/cert/upinfile"
     ↑ihsregistupinで作成したユーザPINファイル
   SSLExec on
   SSLVersion 3-3.1
   SSLVerifyClient none
   SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA
   SSLCertName IS-Console-SSL-Cert  ←SSLサーバ証明書のニックネーム
   #SSLClCACertName cli01

   

   # ---- Configuration for SSL ---
   SSLEnvDir "/etc/opt/FJSVisscs/security/env/smee"  ←固定
   SSLSlotDir "/etc/opt/FJSVisscs/security/env/smee/slot"  ←固定
   SSLTokenLabel Token01  ←固定
   SSLUserPINFile "/etc/opt/FJSVisgui/cert/upinfile"
     ↑ihsregistupinで作成したユーザPINファイル
   SSLExec on
   SSLVersion 3-3.1
   SSLVerifyClient none
   SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA
   SSLCertName IS-Console-SSL-Cert  ←SSLサーバ証明書のニックネーム
   #SSLClCACertName cli01

8. Interstage管理コンソール用Interstage HTTP Serverの再起動

   

   サービス「Interstage Operation Tool(FJapache)」を再起動します。

   

   1. Interstage管理コンソール用Interstage HTTP Serverを停止します。

      # /opt/FJSVisgui/bin/S99isstartoptool stop

   2. Interstage管理コンソール用Interstage HTTP Serverを起動します。

      # /opt/FJSVisgui/bin/S99isstartoptool start

      
      

SSL暗号化通信において、使用可能なSSLプロトコルバージョンや暗号アルゴリズムを変更することによって、より安全性を高めることができます。
SSLプロトコルバージョンや暗号アルゴリズムを変更する場合の手順を説明します。

1. Interstage HTTP Serverの定義ファイルの編集

   Interstage管理コンソール用Interstage HTTP Serverの定義ファイルの以下の箇所を編集します。

   

   # ---- Configuration for SSL ---
   SSLEnvDir "C:/Interstage/etc/security/env/smee"
   SSLSlotDir "C:/Interstage/etc/security/env/smee/slot"
   SSLTokenLabel Token01
   SSLUserPINFile "C:/Interstage/gui/etc/cert/upinfile"
   SSLExec on
   SSLVersion 3-3.1  ←SSLプロトコルバージョンを指定する (以下の注意参照)
   SSLVerifyClient none
   SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA
     ↑暗号アルゴリズムを指定する
   SSLCertName IS-Console-SSL-Cert
   #SSLClCACertName cli01

   

   # ---- Configuration for SSL ---
   SSLEnvDir "/etc/opt/FJSVisscs/security/env/smee"
   SSLSlotDir "/etc/opt/FJSVisscs/security/env/smee/slot"
   SSLTokenLabel Token01
   SSLUserPINFile "/etc/opt/FJSVisgui/cert/upinfile"
   SSLExec on
   SSLVersion 3-3.1  ←SSLプロトコルバージョンを指定する (以下の注意参照)
   SSLVerifyClient none
   SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA
     ↑暗号アルゴリズムを指定する
   SSLCertName IS-Console-SSL-Cert
   #SSLClCACertName cli01

   注意

   SSLVersionディレクティブには、「2」、「3」、「3.1」、「2-3」、「2-3.1」、または「3-3.1」を指定できますが、SSL2.0で接続できないようにする場合は、「3」、「3.1」 、または「3-3.1」を指定してください。

   指定・変更方法の詳細については、「Interstage HTTP Server運用ガイド」の「ディレクティブ一覧」を参照してください。
   また、暗号アルゴリズムの選択については、「セキュリティシステム運用ガイド」の「セキュリティ動向」を参考にしてください。

2. Interstage管理コンソール用Interstage HTTP Serverの再起動

   

   サービス「Interstage Operation Tool(FJapache)」を再起動します。

   

   1. Interstage管理コンソール用Interstage HTTP Serverを停止します。

      # /opt/FJSVisgui/bin/S99isstartoptool stop

   2. Interstage管理コンソール用Interstage HTTP Serverを起動します。

      # /opt/FJSVisgui/bin/S99isstartoptool start