ページの先頭行へ戻る
Systemwalker Software Configuration Manager Express ユーザーズガイド
FUJITSU Software
第2部 導入 > 第6章 セットアップ > 6.1 管理サーバのセットアップ > 6.1.1 管理サーバのセットアップ前の作業
前次

6.1.1 管理サーバのセットアップ前の作業

管理サーバをセットアップする前に必要な作業について説明します。

6.1.1.1 ServerView Resource Orchestratorの停止(ServerView Resource Orchestratorと連携時)

ServerView Resource Orchestratorと連携して管理サーバを運用していた場合、以下のコマンドを実行してServerView Resource Orchestratorを停止します。

【Windows】

[ServerView Resource Orchestratorインストールディレクトリ]\SVROR\Manager\bin\rcxmgrctl stop

【Linux】

/opt/FJSVrcvmr/bin/rcxmgrctl stop

注意

Systemwalker Runbook Automation管理サーバなど他の運用管理製品と同一の管理サーバにSystemwalker Software Configuration Managerを導入する場合、他の運用管理製品の機能を停止する必要があります。Systemwalker Software Configuration Managerのセットアップを開始する前に必ず停止させてください。詳細は、「付録B 管理サーバへの運用管理製品の導入について」を参照してください。

6.1.1.2 管理コンソールのSSL通信の環境設定

ブラウザからSystemwalker Software Configuration Managerの管理コンソールへアクセスする場合は、SSL通信を使用します。

注意

Systemwalker Software Configuration ManagerをServerView Resource Orchestratorと連携して運用する場合、またはすでにSSL通信の環境構築が完了している場合、以下の手順1.~手順3.は実施する必要はありません。手順4.から実施してください。

SSL通信環境の構築は、以下の手順で行います。

  1. Interstage証明書環境へのアクセス権限の設定【Linux】

  2. Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請書の作成

  3. SSL通信に使用する証明書の登録

  4. SSL通信を行うための設定

  5. Apache証明書の作成

参照

SSL環境の構築方法の詳細については、『Interstage Application Server セキュリティシステム運用ガイド』の「Interstage証明書環境の構築と利用」を参照してください。

6.1.1.2.1 Interstage証明書環境へのアクセス権限の設定【Linux】

Interstage証明書環境へのアクセスを許可する、所有グループを作成します。

ここではコマンドで所有グループを作成する例を示します。

  1. Interstage証明書環境の所有グループを作成します。

    以下の例では、所有グループをiscertgで作成しています。

    # groupadd iscertg

    注意

    Interstage証明書環境の構築時に作成した所有グループを、証明書取得申請書(CSR)の作成コマンド(scsmakeenv)の-gオプションに指定する必要があります。証明書取得申請書(CSR)の作成コマンドについては、「6.1.1.2.2 Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請書の作成」を参照してください。

  2. 実行ユーザーをiscertgグループへ登録します。

    以下の例では、実行ユーザーをnobodyにしています。

    # usermod -G iscertg nobody

    注意

    Interstage証明書環境の所有グループに登録する実行ユーザーは、Interstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに設定されているユーザーを使用する必要があります。

6.1.1.2.2 Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請書の作成

証明書取得申請書(CSR)の作成コマンド(以降、scsmakeenvコマンドと記述します)を使用して、Interstage証明書環境の作成、およびSSL通信に使用する証明書の取得申請するための証明書取得申請書(CSR)を作成します。
以下に作成手順および実行例を示します。

作成手順

  1. 環境変数JAVA_HOMEにJDKまたはJREのインストールパスを設定します。

    Linuxで必要な手順です。Windowsでは環境変数JAVA_HOMEの設定は必要ありません。

  2. scsmakeenvコマンドを実行します。

    【Windows】

    scsmakeenv -n <秘密鍵のニックネーム> -f <証明書取得申請書の出力先ファイル名>

    【Linux】

    scsmakeenv -n <秘密鍵のニックネーム> -f <証明書取得申請書の出力先ファイル名> -g <Interstage証明書環境へのアクセスを許可するグループ>

    証明書取得申請書(CSR)の出力先ファイル名は、必要に応じて変更してください。

    注意

    scsmakeenvコマンドで指定する秘密鍵のニックネームは、認証局から取得したサイト証明書を登録するときに必要になります。

    参考

    scsmakeenvコマンドの詳細については、『Interstage Application Server リファレンスマニュアル(コマンド編)』の「SSL環境設定コマンド」を参照してください。

  3. Interstage証明書環境へアクセスするためのパスワードを入力します。

    パスワードは、Interstage証明書環境へアクセスするために必要です。

  4. 識別名を入力します。

    “What is your first and last name?”(英数字氏名)の問い合わせに、Webサーバのホスト名として証明書の申請を行うサーバのFQDN(Fully Qualified Domain Name)を指定してください。

  5. 上記の手順同様、以下の項目を入力します。

    • organizational unit(英数字組織単位名)

    • organization(英数字組織名)

    • City or Locality(市区町村名)

    • State or Province(都道府県名)

    • country code(国名)

  6. 入力した値を確認します。

    入力した値で証明書取得申請書を作成する場合は[yes]を、入力し直す場合には、[no]を入力してください。

  7. 証明書取得申請書(CSR)を認証局に送付し、証明書の発行を依頼します。

    scsmakeenvコマンドが正常に終了すると、証明書取得申請書(CSR)がscsmakeenvコマンドの-fオプションで指定した申請書の出力先ファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従ってください。

実行例

【Windows】

以下の設定値を使って、コマンドの実行例を示します。

・サイト証明書のニックネーム:SERVERCERT
・申請書の出力先ファイル名:C:\temp\ssocert.txt
・Interstage証明書環境へのアクセスを許可するグループ:iscertg
・英数字氏名:ssoserver.fujitsu.com
・英数字組織単位名:FUJITSU TOKYO
・英数字組織名:FUJITSU
・市区町村名:Shinjuku
・都道府県名:Tokyo
・国名:jp

申請書の出力先ファイル名を“C:\temp\ssocert.txt”にした場合の例です。必要に応じて申請書の出力先ファイル名を変更してください。

パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。

C:\>scsmakeenv -n SERVERCERT -f C:\temp\ssocert.txt
New Password:
Retype:

Input X.500 distinguished names.
What is your first and last name?
  [Unknown]: ssoserver.fujitsu.com
What is the name of your organizational unit?
  [Unknown]: FUJITSU TOKYO
What is the name of your organization?
  [Unknown]: FUJITSU
What is the name of your City or Locality?
  [Unknown]: Shinjuku
What is the name of your State or Province?
  [Unknown]: Tokyo
What is the two-letter country code for this unit?
  [Un]: jp

Is <CN=ssoserver.fujitsu.com, OU=FUJITSU TOKYO, O=FUJITSU, L=Shinjuku, ST=Tokyo,C=jp> correct?
  [no]: yes
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\temp\ ssocert.txt>
C:\>

【Linux】

以下の設定値を使って、コマンドの実行例を示します。

・サイト証明書のニックネーム:SERVERCERT
・申請書の出力先ファイル名:/tmp/ssocert.txt
・Interstage証明書環境へのアクセスを許可するグループ:iscertg
・英数字氏名:ssoserver.fujitsu.com
・英数字組織単位名:FUJITSU TOKYO
・英数字組織名:FUJITSU
・市区町村名:Shinjuku
・都道府県名:Tokyo
・国名:jp

実行例では、“iscertg”によるアクセス権限が設定されたInterstage証明書環境を新規に作成し、証明書取得申請書を作成します。すでにInterstage証明書環境が作成されている場合は、必要に応じてInterstage証明書環境にアクセス権限を設定してください。

実行例では、Bourneシェルを使用しています。

# JAVA_HOME=/opt/FJSVawjbk/jdk6;export JAVA_HOME
# scsmakeenv -n SERVERCERT -f /tmp/ssocert.txt -g iscertg
New Password:
Retype:

Input X.500 distinguished names.
What is your first and last name?
  [Unknown]: ssoserver.fujitsu.com
What is the name of your organizational unit?
  [Unknown]: FUJITSU TOKYO
What is the name of your organization?
  [Unknown]: FUJITSU
What is the name of your City or Locality?
  [Unknown]: Shinjuku
What is the name of your State or Province?
  [Unknown]: Tokyo
What is the two-letter country code for this unit?
  [Un]: jp

Is <CN=ssoserver.fujitsu.com, OU=FUJITSU TOKYO, O=FUJITSU, L=Shinjuku, ST=Tokyo,C=jp> correct?
  [no]: yes
UX:SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</tmp/ssocert.txt>
UX:SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。
#

注意

すでにInterstage証明書環境を構築済みの場合、Interstage証明書環境のパスワードの入力が要求されるので、Interstage証明書環境構築時に設定したパスワードを入力してください。

参考

テスト環境用にテスト用サイト証明書を利用できます。テスト用サイト証明書はテスト環境用のみに利用し、実際の運用では利用しないでください。テスト用サイト証明書の作成については、「付録C テスト用サイト証明書の作成について」を参照してください。

6.1.1.2.3 SSL通信に使用する証明書の登録

認証局から発行されたサイト証明書と、その証明書の発行者である認証局証明書を取得し、証明書・CRL登録コマンド(以降、scsenterコマンドと記述します)を使用して登録します。

参考

  • 認証局によっては、中間認証局証明書の登録が必要な場合があります。詳細については、『Interstage Application Server セキュリティシステム運用ガイド』の「Interstage証明書環境の構築と利用」の「証明書・CRLの登録」を参照してください。

  • テスト用サイト証明書を利用する場合には本手順は実施不要です。

作成手順

  1. 環境変数JAVA_HOMEにJDKまたはJREのインストールパスを設定します。

    Linuxで必要な手順です。Windowsでは環境変数JAVA_HOMEの設定は必要ありません。

  2. scsenterコマンドで認証局の証明書を登録します。

    scsenter -n <認証局の証明書のニックネーム> -f <認証局の証明書>

    参照

    scsenterコマンドの詳細については、『Interstage Application Server リファレンスマニュアル(コマンド編)』の「SSL環境設定コマンド」を参照してください。

  3. Interstage証明書環境へアクセスするためのパスワードを入力します。

    scsmakeenvコマンドで指定したInterstage証明書環境にアクセスするためのパスワードを入力します。

  4. scsenterコマンドでサイト証明書を登録します。

    scsenter -n <サイト証明書のニックネーム> -f <サイト証明書> -o

    認証局から取得したサイト証明書を登録する場合に、scsmakeenvコマンドで秘密鍵に指定したニックネームを指定してください。なお、サイト証明書の登録には、-oオプションを必ず指定してください。

  5. Interstage証明書環境へアクセスするためのパスワードを入力します。

    scsmakeenvコマンドで指定したInterstage証明書環境にアクセスするためのパスワードを入力します。

実行例

【Windows】

以下の設定値を使って、コマンドの実行例を示します。

・認証局の証明書:C:\temp\ca-cert.cer
・認証局の証明書のニックネーム:CACERT
・サイト証明書:C:\temp\server-cert.cer
・サイト証明書のニックネーム:SERVERCERT

取得した認証局の証明書、およびサイト証明書を“C:\temp\ca-cert.cer”、および“C:\temp\server-cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。

パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。

C:\>scsenter -n CACERT -f C:\temp\ca-cert.cer
Password:
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。
C:\>scsenter -n SERVERCERT -f C:\temp\server-cert.cer -o
Password:
証明書応答がキーストアにインストールされました。
SCS: 情報: scs0104: 証明書を登録しました。
C:\>

【Linux】

以下の設定値を使って、コマンドの実行例を示します。

・認証局の証明書:/tmp/ca-cert.cer
・認証局の証明書のニックネーム:CACERT
・サイト証明書:/tmp/server-cert.cer
・サイト証明書のニックネーム:SERVERCERT

取得した認証局の証明書およびサイト証明書のファイル名は、必要に応じて変更してください。
実行例では、Bourneシェルを使用しています。

# JAVA_HOME=/opt/FJSVawjbk/jdk6;export JAVA_HOME
# scsenter -n CACERT -f /tmp/ca-cert.cer
Password:
証明書がキーストアに追加されました。
UX:SCS: 情報: scs0104: 証明書を登録しました。
# scsenter -n SERVERCERT -f /tmp/server-cert.cer -o
Password:
証明書応答がキーストアにインストールされました。
UX:SCS: 情報: scs0104: 証明書を登録しました。
#
6.1.1.2.4 SSL通信を行うための設定

Interstage管理コンソールを使用して、SSLの定義を作成します。

  1. Interstage管理コンソールを起動します。

    Interstage管理コンソールの起動手順は以下です。

    1. Webブラウザを起動します。

    2. Interstage管理コンソールのURLを指定します。

      http://[管理サーバのホスト名]:[Interstage管理コンソールのポート番号]/IsAdmin/

      ※ ポート番号はデフォルトでは「12000」です。

    3. Interstage管理コンソールにログインします。

      ログインユーザは、Administrators権限を持つ、管理サーバのマシンユーザでログインしてください。

  2. SSLの定義を作成します。

    [システム]>[セキュリティ]>[SSL]>[新規作成]タブを選択し、[簡易設定]で、登録したサイト証明書のニックネームを選択し、SSL定義を作成してください。

    以下の項目を設定し、[作成]ボタンをクリックしてください。

    設定項目

    設定値

    定義名

    SSL定義を識別する名前を設定します。

    CFMG-SSL

    [固定]

    サイト証明書のニックネーム

    6.1.1.2.3 SSL通信に使用する証明書の登録」で、Interstage証明書環境にサイト証明書を登録した際に指定したニックネームを選択してください。または、登録済みのサイト証明書のニックネームを選択してください。登録したサイト証明書はInterstage管理コンソールの[システム]>[セキュリティ]>[証明書]>[サイト証明書]画面で参照できます。

    プロトコルバージョン

    “TLS 1.0”を選択します。

    "SSL 3.0"が選択されている場合、選択を外してください。

    クライアント認証

    “しない”を選択します。

    暗号化方法

    Interstage管理コンソールのヘルプを参照し、必要に応じて変更します。

    認証局証明書のニックネーム

    Interstage管理コンソールのヘルプを参照し、必要に応じて変更します。

6.1.1.2.5 Apache証明書の作成

  1. Apache証明書の作成

    1. 管理サーバでコマンドプロンプトを起動します。

    2. 以下のコマンドを実行し、インストールフォルダーに移動します。

      Windows】

      cd "%SWCFMGM_HOME%\SWCFMGX\Manager\sys\apache\conf"

      Linux】

      cd /etc/opt/FJSVcfmgm/SWCFMGX/sys/apache/conf

    3. 現在のApache証明書をバックアップします。

      Windows】

      copy ssl.crt\server.crt ssl.crt\server.crt.org 
copy ssl.key\server.key ssl.key\server.key.org

      Linux】

      cp ssl.crt/server.crt ssl.crt/server.crt.org 
cp ssl.key/server.key ssl.key/server.key.org

    4. Apache証明書を新規作成します。

      Windows】

      "%SWCFMGM_HOME%\SWCFMGX\Manager\sys\apache\bin\openssl.exe" req -new -x509 -nodes -out ssl.crt\server.crt -keyout ssl.key\server.key -days 5479 -config openssl.cnf

      Linux】

      /opt/FJSVcfmgm/SWCFMGX/sys/apache/bin/openssl req -new -x509 -nodes -out ssl.crt/server.crt -keyout ssl.key/server.key -days 5479 -config /opt/FJSVcfmgm/SWCFMGX/sys/apache/ssl/openssl.cnf

    Windows】

    >cd "%SWCFMGM_HOME%\SWCFMGX\Manager\sys\apache\conf" <RETURN>
>copy ssl.crt\server.crt ssl.crt\server.crt.org <RETURN>
>copy ssl.key\server.key ssl.key\server.key.org <RETURN>
>..\bin\openssl.exe req -new -x509 -nodes -out ssl.crt\server.crt -keyout ssl.key\server.key -days 5479 -config openssl.cnf <RETURN>
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
.................++++++
................................++++++
writing new private key to 'ssl.key\server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []: <RETURN>
State or Province Name (full name) []: <RETURN>
Locality Name (eg, city) [Kawasaki]: <RETURN>
Organization Name (eg, company) []: <RETURN>
Organizational Unit Name (eg, section) []: <RETURN>
Common Name (eg, YOUR name) [localhost]: 管理サーバのホスト名(FQDN) (注) <RETURN>
Email Address []: <RETURN>

    Linux】

    # cd /etc/opt/FJSVcfmgm/SWCFMGX/sys/apache/conf <RETURN>
# cp ssl.crt/server.crt ssl.crt/server.crt.org <RETURN>
# cp ssl.key/server.key ssl.key/server.key.org <RETURN>
# /opt/FJSVcfmgm/SWCFMGX/sys/apache/bin/openssl req -new -x509 -nodes -out ssl.crt/server.crt -keyout ssl.key/server.key -days 5479 -config /opt/FJSVcfmgm/SWCFMGX/sys/apache/ssl/openssl.cnf <RETURN>
Generating a 1024 bit RSA private key
.................++++++
................................++++++
writing new private key to 'ssl.key/server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []: <RETURN>
State or Province Name (full name) []: <RETURN>
Locality Name (eg, city) [Kawasaki]: <RETURN>
Organization Name (eg, company) []: <RETURN>
Organizational Unit Name (eg, section) []: <RETURN>
Common Name (eg, YOUR name) [localhost]:ホスト名 (注) <RETURN>
Email Address []: <RETURN>

    注) Webブラウザに入力するホスト名(FQDN)を入力します。

    例:

    ホスト名: myhost.company.com

6.1.1.2.6 サイト証明書の有効期限が切れた場合の対処方法

登録したサイト証明書の有効期限が切れた場合、Systemwalker Software Configuration Managerにログインできなくなってしまいます。有効期限が切れたサイト証明書を更新する手順を以下に記載します。

Systemwalker Software Configuration ManagerをServerView Resource Orchestratorと連携して運用している場合、ServerView Resource Orchestratorの環境設定完了後に本手順を実施してください。

  1. Systemwalker Software Configuration Managerの停止

    以下のコマンドを実行してSystemwalker Software Configuration Managerを停止します。

    【Windows】

    [Systemwalker Software Configuration Mangerインストールディレクトリ]\SWCFMGM\bin\swcfmg_stop

    【Linux】

    /opt/FJSVcfmgm/bin/swcfmg_stop

  2. 運用環境に合わせて、以下のどちらかの製品を停止してください。

    1. Systemwalker Runbook Automationの停止

      以下のコマンドを実行してSystemwalker Runbook Automationを停止します。

      【Windows】

      %SWRBA_HOME%\bin\swrba_stop

      【Linux】

      /opt/FJSVswrbam/bin/swrba_stop

    2. ServerView Resource Orchestratorの停止【ServerView Resource Orchestratorと連携する場合】

      以下のコマンドを実行してServerView Resource Orchestratorを停止します。

      【Windows】

      [ServerView Resource Orchestratorインストールディレクトリ]\SVROR\Manager\bin\rcxmgrctl stop

      【Linux】

      /opt/FJSVrcvmr/bin/rcxmgrctl stop

  3. 旧サイト証明書の登録解除

    1. WebサーバのSSL通信の設定を解除します。

      1. Interstage管理コンソールを起動します。

        ・Webブラウザを起動します。

        ・Interstage管理コンソールのURLを指定します。

        http://[管理サーバのホスト名]:[Interstage管理コンソールのポート番号]/IsAdmin/

        ※ ポート番号はデフォルトでは「12000」です。

        ・Interstage管理コンソールにログインします。
        ログインユーザは、Administrators権限を持つ、管理サーバのマシンユーザでログインしてください。

      2. Webサーバ(CFMG-ext)を停止します。

        [システム]>[サービス]>[Webサーバ]>[CFMG-ext]の状態タブを開き、Webサーバが停止していない場合、[停止]ボタンをクリックし、Webサーバを停止します。

      3. Webサーバ(CFMG-ext)の設定を変更します。

        Webサーバ名(CFMG-ext)を選択し、環境設定タブを開き、[詳細設定]>[表示]をクリックして、以下のように環境設定を変更後、[適用]ボタンをクリックしてください。

        設定項目

        設定値

        SSLの使用

        使用しない

        SSL定義

        「管理コンソールのSSL通信の環境設定」で作成したSSL定義を選択します。

        • CFMG-SSL

    2. 登録してあるサイト証明書の登録を解除します。

    7.2.4.1 SSL通信の環境削除」を参照してください。

  4. 新サイト証明書の登録

    1. 新しいサイト証明書を登録します。

      6.1.1.2 管理コンソールのSSL通信の環境設定」を参照してください。

    2. WebサーバのSSL通信を設定します。

      1. Interstage管理コンソールを起動します。

        ・Webブラウザを起動します。

        ・Interstage管理コンソールのURLを指定します。

        http://[管理サーバのホスト名]:[Interstage管理コンソールのポート番号]/IsAdmin/

        備考. ポート番号はデフォルトでは「12000」です。

        ・Interstage管理コンソールにログインします。
        ログインユーザは、Administrators権限を持つ、管理サーバのマシンユーザでログインしてください。

      2. Webサーバ(CFMG-ext)の設定を変更します。

        [システム]>[サービス]>[Webサーバ]>[CFMG-ext]の環境設定タブを開き、[詳細設定]>[表示]をクリックして、以下のように環境設定を変更後、[適用]ボタンをクリックしてください。

        設定項目

        設定値

        SSLの使用

        使用する

        SSL定義

        「管理コンソールのSSL通信の環境設定」で作成したSSL定義を選択します。

        • CFMG-SSL

      3. Webサーバ(CFMG-ext)を起動します。

        状態タブを開き、 [起動]ボタンをクリックし、Webサーバを起動します。

  5. 運用環境に合わせて、以下のどちらかの製品を起動してください。

    1. Systemwalker Runbook Automationの起動

      以下のコマンドを実行してSystemwalker Runbook Automationを起動します。

      【Windows】

      %SWRBA_HOME%\bin\swrba_start

      【Linux】

      /opt/FJSVswrbam/bin/swrba_start

    2. ServerView Resource Orchestratorの起動【ServerView Resource Orchestratorと連携する場合】

      以下のコマンドを実行してServerView Resource Orchestratorを起動します。

      【Windows】

      [ServerView Resource Orchestratorインストールディレクトリ]\SVROR\Manager\bin\rcxmgrctl start

      【Linux】

      /opt/FJSVrcvmr/bin/rcxmgrctl start

  6. Systemwalker Software Configuration Managerの起動

    以下のコマンドを実行してSystemwalker Software Configuration Managerを起動します。

    【Windows】

    [Systemwalker Software Configuration Mangerインストールディレクトリ]\SWCFMGM\bin\swcfmg_start

    【Linux】

    /opt/FJSVcfmgm/bin/swcfmg_start

前次
Copyright 2010-2015 FUJITSU LIMITED