7.4 インストール後の作業

インストール後の作業について以下に説明します。

環境変数の設定

本ソフトウェアの運用に必要な環境変数を設定します。
本ソフトウェアでは、環境変数の設定を行う支援ツールとして、以下のシェルスクリプトを提供しています。

/opt/FJSVisas/bin/setISASEnv.sh
/opt/FJSVisas/bin/setISASEnv.csh

支援ツールを使用して環境変数の設定を行う方法を以下に示します。

ボーンシェルまたはbashの場合
運用を行う各端末において、ドットコマンドを使用してsetISASEnv.shを実行します。
```
. /opt/FJSVisas/bin/setISASEnv.sh
```
Cシェルの場合
運用を行う各端末において、sourceコマンドを使用してsetISASEnv.cshを実行します。
```
source /opt/FJSVisas/bin/setISASEnv.csh
```

各支援ツールの詳細については、Interstage Application Serverのマニュアルを参照してください。

注意

支援ツールを使用した環境変数の設定は、/etc/profileに設定しないでください。
設定した場合、本ソフトウェアアンインストール後のOS起動に失敗する場合があります。

環境定義ファイルのリストア

環境定義ファイルなどのファイルをバックアップした場合は、必要に応じてリストアします。環境定義ファイルのバックアップ・リストアについては、Interstage Application Serverのマニュアルを参照してください。

Webサーバのポート番号の設定

以下のWebサーバを利用する場合、基本ソフトウェアにバンドルされるApache HTTP Serverとポート番号が重複する可能性があります。

Interstage HTTP Server 2.4（Apache HTTP Server Version 2.4ベースのWebサーバ）

注意

Webサーバを共存して運用する場合は、すべてのWebサーバに異なるポート番号を設定する必要があります。

以下の表を参照して、それぞれのWebサーバの使用条件に応じた対処を行ってください。

Webサーバの使用条件	対処
Interstage HTTP Server 2.4
Interstage HTTP Server 2.4を通常使用するWebサーバ(ポート番号:80)として利用する場合	対処不要
上記以外のWebサーバを通常使用するWebサーバ(ポート番号:80)として利用する場合	対処1

Webサーバの使用条件

対処

Interstage HTTP

Server 2.4

Interstage HTTP Server 2.4を通常使用するWebサーバ(ポート番号:80)として利用する場合

対処不要

上記以外のWebサーバを通常使用するWebサーバ(ポート番号:80)として利用する場合

対処1

対処1

Interstage HTTP Server 2.4の環境定義ファイル（httpd.conf）を編集します。

ポート番号の設定：Listen

機能説明：ポート番号の指定範囲：1～65535

注）Listenディレクティブに設定するIPアドレスには、IPv6アドレスのリンクローカルアドレスを指定できません。リンクローカルアドレスを指定すると、システムログにエラーメッセージahs00018を出力し、Webサーバの起動に失敗します。

設定例：

ポート番号「80」を設定する場合

Listen 80

IPアドレス「127.0.0.1」およびポート番号「80」を設定する場合

Listen 127.0.0.1:80

GlassFish Server管理コンソールのSSL暗号化通信用の証明書のフィンガープリントの確認

インストール時に、GlassFish Server管理コンソールのSSL暗号化通信で利用する証明書が自動生成されます。WebブラウザからGlassFish Server管理コンソールに正しく接続しているかを確認するときのために、生成されている証明書のフィンガープリントを確認します。

証明書のフィンガープリントの確認方法を以下に示します。

cd [運用資産格納ディレクトリ]/domains/domain1/config
/opt/FJSViaps/openjdk/jdk8/bin/keytool -list -keystore keystore.jks -alias s1as -storepass changeit -v

証明書のフィンガープリントは以下のように表示されます。

…
証明書のフィンガープリント:
         MD5:  30:37:0B:6D:6E:58:F0:4C:25:82:E9:E5:AC:FC:8A:C9
         SHA1: 63:69:53:09:8B:29:2D:73:87:62:8E:D6:D4:7D:A3:6B:73:23:29:8D
…

表示されたフィンガープリントは記録しておいてください。

参考

上記の確認方法で使用されている文字列"changeit"は、マスターパスワードのデフォルト値です。

マスターパスワードは、DASまたはGlassFish ServerインスタンスがSSLの通信時にアクセスするキーストア/トラストストアのパスワードとして使用します。

マスターパスワードの変更は、asadminコマンドの「change-master-passwordサブコマンド」で行います。

以下のasadminのサブコマンドでマスターパスワードの指定が必要になります。

「start-domainサブコマンド」
「start-clusterサブコマンド」
「start-local-instanceサブコマンド」

マスターパスワードの指定方法は、以下から選択可能です。

「start-clusterサブコマンド」を利用する場合
- 事前に保存したファイルを利用
「start-domainサブコマンド」「start-local-instanceサブコマンド」を利用する場合
- 事前に保存したファイルを利用
- パスワードファイルオプションを利用

●事前に保存したファイルを利用: asadminコマンドのchange-master-passwordサブコマンド実行時に--savemasterpasswordオプションを指定し、変更後のマスターパスワードをファイルに保存します。以降、asadminコマンドは保存したファイルを参照するため、マスターパスワードの指定を省略できます。

●パスワードファイルオプションを利用

asadminコマンドの共通オプション--passwordfileにマスターパスワードを記載したファイルを指定します。

※各コマンドの使用方法については、Interstage Application Serverのマニュアルをご覧ください。

注意

マスターパスワードの管理について

キーストア/トラストストアには、暗号化、復号化、デジタル署名に使用する鍵が含まれるため、マスターパスワードは厳重に管理する必要があります。運用方針に従ってマスターパスワードの指定方法と変更の要否を検討してください。

Interstage管理コンソールのSSL暗号化通信用の証明書のフィンガープリントの確認

インストール時に、運用形態としてSSL暗号化通信(SSL暗号化コミュニケーション)を使用する設定にした場合は、Interstage管理コンソールのSSL暗号化通信で利用する証明書が生成されています。WebブラウザからInterstage管理コンソールに正しく接続しているかを確認するときのために、ここでは生成されている証明書のフィンガープリントを確認しておきます。
SSL暗号化通信を使用しない設定にした場合は、証明書は生成されていないため、本操作を実施する必要はありません。

証明書のフィンガープリントの確認方法を以下に示します。

cd [SSL環境設定コマンドの格納先]
./cmdspcert -ed /etc/opt/FJSVisgui/cert -nn SSLCERT | grep FINGERPRINT

コマンドの格納先および詳細については、Interstage Application Serverのマニュアルを参照してください。

証明書のフィンガープリントは以下のように表示されます。

FINGERPRINT(MD5): 40 79 98 2F 37 12 31 7C AE E7 B4 AB 78 C8 A2 28
FINGERPRINT(SHA1): 07 28 BE 26 94 89 6D F9 ... ←(16進数で20バイト分表示されます。)
FINGERPRINT(SHA256): F7 16 00 6E A1 6E A2 14 ... ←(16進数で32バイト分表示されます。)

表示されたフィンガープリントは記録しておいてください。

なお、この証明書は、Interstage管理コンソールとWebブラウザ間のSSL暗号化通信において、インストール直後から簡単にSSL暗号化通信が利用できるようにすることを目的に、本ソフトウェアが自動生成したものです。セキュリティを強化したい場合は、認証局から取得した証明書を利用する運用に切り替えることができます。

参考

正式な認証局の発行証明書を使用する場合の手順について説明します。

詳細については、Interstage Application Serverのマニュアルをご覧ください。

Interstage証明書環境の作成

scsmakeenvコマンドを実行して、Interstage証明書環境を作成し、CSR(証明書取得申請書)を作成します。

scsmakeenvコマンド実行時、-nオプションで指定するニックネームは、サイト証明書の登録時にも指定する必要があるので、忘れないようにしてください。以下の実行例では、このニックネームをIS-Console-SSL-Certとして説明しています。

# scsmakeenv -n IS-Console-SSL-Cert -f /usr/home/my_dir/my_csr.txt -c

上記コマンドを実行し、要求に応じて、以下のように入力します。

New Password:
  ↑Interstage証明書環境のパスワードを設定します。本パスワードがUSER-PINとなります。
Retype:

Input X.500 distinguished names.
What is your first and last name?
[Unknown]:host.domain.com ←Interstage管理コンソールのホスト名を入力します。
What is the name of your organizational unit?
  [Unknown]:xxxxx
What is the name of your organization?
  [Unknown]:xxxx
What is the name of your City or Locality?
  [Unknown]:xxxxxxx
What is the name of your State or Province?
  [Unknown]:xxxxxxxxx
What is the two-letter country code for this unit?
  [Un]:JP
Is <CN=host.domain.com, OU=xxxxx, O=xxxx, L=xxxxxxx, ST=xxxxxxxxx, C=JP> correct?
  [no]:yes

以下のようなメッセージが出力されます。

UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</usr/home/my_dir/my_csr.txt>

作成したCSRを使用した証明書の発行依頼
作成したCSRを使用して、証明書の発行依頼を行います。
認証局証明書(ca-cert.cer)をInterstage証明書環境へ登録
本ソフトウェアがサポートしている証明書を取得した場合、本処理は不要です。
以下では、ca-cert.cerに認証局証明書があるとして説明します。
```
# scsenter -n CA-Cert -f /usr/home/my_dir/ca-cert.cer
Password: ←(注1)
Certificate was added to keystore
SCS: 情報: scs0104: 証明書を登録しました。
```
注1) Interstage証明書環境にアクセスするためのパスワードを指定します。scsmakeenvコマンドで指定したパスワードと同じものを指定してください。
中間CA証明書(中間認証局証明書)(intermediateCA-cert.cer)をInterstage証明書環境へ登録
認証局によっては、認証局証明書とSSLサーバ証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があります。その場合は、認証局から配布されている中間CA証明書も登録してください。
以下では、intermediateCA-cert.cerに中間CA証明書があるとして説明します。
```
# scsenter -n intermediateCA-Cert -f /usr/home/my_dir/intermediateCA-cert.cer
Password: ←(注1)
Certificate was added to keystore
SCS:情報: scs0104: 証明書を登録しました。
```
注1) Interstage証明書環境にアクセスするためのパスワードを指定します。scsmakeenvコマンドで指定したパスワードと同じものを指定してください。
SSLサーバ証明書(site-cert.cer)をInterstage証明書環境へ登録
以下では、site-cert.cerに発行されたSSLサーバ証明書があるとして説明します。
```
# scsenter -n IS-Console-SSL-Cert -f /usr/home/my_dir/site-cert.cer -o
Password: ←(注1)
Certificate reply was installed in keystore
SCS: 情報: scs0104: 証明書を登録しました。
```
注1) Interstage証明書環境にアクセスするためのパスワードを指定します。scsmakeenvコマンドで指定したパスワードと同じものを指定してください。

Interstage HTTP ServerのユーザPINファイルの作成

ユーザPINにはInterstage証明書環境のパスワードを指定します。

# ihsregistupin -f /etc/opt/FJSVisgui/cert/upinfile
-d /etc/opt/FJSVisscs/security/env/smee/slot
UserPIN: ←Interstage証明書環境のパスワードを指定します。
Re-type UserPIN: ←Interstage証明書環境のパスワードを指定します。

Interstage HTTP Serverの定義ファイルの編集

Interstage 管理コンソール用Interstage HTTP Serverの定義ファイルを以下のとおり編集します。

# ---- Configuration for SSL ---
SSLEnvDir "/etc/opt/FJSVisscs/security/env/smee" ←固定
SSLSlotDir "/etc/opt/FJSVisscs/security/env/smee/slot" ←固定
SSLTokenLabel Token01 ←固定
SSLUserPINFile "/etc/opt/FJSVisgui/cert/upinfile"
  ↑ihsregistupinで作成したユーザPINファイル
SSLExec on
SSLVersion 3.2-3.3
SSLVerifyClient none
SSLCipherSuite RSA-AES-256-GCM-SHA384:RSA-AES-128-GCM-SHA256:RSA-AES-256-SHA256:RSA-AES-256-SHA:
RSA-AES-128-SHA256:RSA-AES-128-SHA ←(実際には改行せず記載されています。)
SSLCertName IS-Console-SSL-Cert ←SSLサーバ証明書のニックネーム
#SSLClCACertName cli01

Interstage管理コンソール用Interstage HTTP Serverの再起動
1)Interstage管理コンソール用Interstage HTTP Serverを停止します。
```
# /opt/FJSVisgui/bin/S99isstartoptool stop
```
2)Interstage管理コンソール用Interstage HTTP Serverを起動します。
```
# /opt/FJSVisgui/bin/S99isstartoptool start
```