21.4.2 マネージャー・エージェント構成でのSSL通信の設定手順
マネージャー・エージェント構成でのSSL通信の設定手順を次に説明します。
各ホストの設定作業の流れを次の図に示します。
|
各ホストでの設定作業は,ホストにインストールしたコンポーネントの設定作業に加えて,通信先のコンポーネントの設定作業が必要です。
なお,この作業はJP1/AJS3システムを構成するすべてのホストで実施してください。ただし,環境設定パラメーターAJS3SSLの値を「INETD」に設定した場合は,JP1/AJS3 - AgentがSSLで通信するための設定はしないで,JP1/AJS3 - ViewとJP1/AJS3 - ManagerがSSLで通信するための設定をしてください。SSL通信の設定対象が誤っていると,ホスト間通信がエラーになります。
- 〈この項の構成〉
(1) JP1/AJS3 - ManagerがSSLで通信するための設定
JP1/AJS3 - ManagerがSSLで通信するための設定作業について説明します。
-
JP1/Baseを使用して,秘密鍵とCSRを作成する。
秘密鍵とCSRの作成方法については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
CAにCSRを送信する。
CAにCSRを送信すると,CAはサーバ証明書,およびサーバ証明書を検証するためのルート証明書を発行します。
-
CAからサーバ証明書およびルート証明書を取得する。
-
サーバ証明書を中間CAに発行してもらった場合で,サーバ証明書に中間証明書が含まれていないときは,中間CAから中間証明書を取得し,サーバ証明書の中間証明書を一つのファイルにまとめる。
サーバ証明書に中間証明書が含まれていないと,サーバ証明書の正当性を検証できません。サーバ証明書の正当性を検証するために,中間証明書を取得してください。
中間証明書を取得したら,サーバ証明書と中間証明書をテキストエディターで開いて,サーバ証明書の末尾に中間証明書の内容を貼り付けてください。
中間証明書が複数存在する場合は,証明書の階層構造に従って証明書を結合してください。
-
JP1/AJS3サービスおよびJP1/Baseサービスを停止する。
-
秘密鍵およびサーバ証明書を任意のフォルダに配置して,マネージャーホストのJP1/Baseの共通定義情報CERTIFICATEFILEに配置先のパスを指定する。
JP1/Baseの共通定義情報CERTIFICATEFILEの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
PEM形式のルート証明書を,通信先のホストに配置する。
通信先(クライアント側)でマネージャーホストのサーバ証明書を検証するため,マネージャーホストのサーバ証明書を発行したCAのルート証明書を通信先ホストに配置します。
ルート証明書を配置するホストを次に示します。
-
作業中のマネージャーホスト(自ホスト)
-
通信するすべてのマネージャーホスト
-
通信するすべてのエージェントホスト(環境設定パラメーターAJS3SSLの値が「ALL」の場合)
-
通信するすべてのJP1/AJS3 - Viewホスト
格納先フォルダのパスを次に示します。
表21‒10 ルート証明書の格納先フォルダ 項番
ホストの種類
格納先フォルダのパス(Windowsの場合)
格納先フォルダのパス(Linuxの場合)
1
マネージャーホスト
JP1/Baseのフォルダに格納します。詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
2
エージェントホスト
3
JP1/AJS3 - Viewホスト
JP1/AJS3 - Viewのインストール先フォルダ\conf\ssl\rootcer
該当しません。
通信先のホストにルート証明書がすでに配置されている場合,配置されているルート証明書の発行元のCAが,手順3.でサーバ証明書を取得したCAと同一かどうか確認してください。
- 同一のCAの場合
-
すでに配置されているルート証明書がそのまま利用できます。ルート証明書を上書きする必要はありません。
- 異なるCAの場合
-
すでに配置されているルート証明書と,取得したルート証明書をまとめてください。この場合,ルート証明書の有効期限が切れても該当部分を適切に入れ替えられるように,個々のルート証明書と結合後のルート証明書の該当部分が対応づけられるようにしておいてください。ルート証明書はBase64でエンコードされているため,結合後のファイルを確認しても,どの部分がどのルート証明書に対応するのかわからなくなります。
詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
-
マネージャーホストに,エージェントホストのルート証明書が配置されているか確認する。
エージェントホストのルート証明書の配置は,JP1/AJS3 - AgentがSSLで通信するための設定作業として実施します。JP1/AJS3 - Agentの設定作業を確認してください。
-
SSL通信を有効にする。
SSL通信を有効にする手順については,マニュアル「JP1/Base 運用ガイド」の通信暗号化機能の説明を参照してください。
(2) JP1/AJS3 - AgentがSSLで通信するための設定
JP1/AJS3 - AgentがSSLで通信するための設定作業について説明します。
-
JP1/Baseを使用して,秘密鍵とCSRを作成する。
秘密鍵とCSRの作成方法については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
CAにCSRを送信する。
CAにCSRを送信すると,CAはサーバ証明書,およびサーバ証明書を検証するためのルート証明書を発行します。
-
CAからサーバ証明書およびルート証明書を取得する。
-
サーバ証明書を中間CAに発行してもらった場合で,サーバ証明書に中間証明書が含まれていないときは,中間CAから中間証明書を取得し,サーバ証明書と中間証明書を一つのファイルにまとめる。
サーバ証明書に中間証明書が含まれていないと,サーバ証明書の正当性を検証できません。サーバ証明書の正当性を検証するために,中間証明書を取得してください。
中間証明書を取得したら,サーバ証明書と中間証明書をテキストエディターで開いて,サーバ証明書の末尾に中間証明書の内容を貼り付けてください。
中間証明書が複数存在する場合は,証明書の階層構造に従って証明書を結合してください。
-
JP1/AJS3サービスおよびJP1/Baseサービスを停止する。
-
秘密鍵およびサーバ証明書を任意のフォルダに配置して,エージェントホストのJP1/Baseの共通定義情報CERTIFICATEFILEに配置先のパスを指定する。
JP1/Baseの共通定義情報CERTIFICATEFILEの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
PEM形式のルート証明書を,通信するすべてのマネージャーホストに配置する。
通信先のマネージャーホストでエージェントホストのサーバ証明書を検証するため,エージェントホストのサーバ証明書を発行したCAのルート証明書をマネージャーホストに配置します。格納先フォルダのパスについては,マニュアル「JP1/Base 運用ガイド」を参照してください。
通信先のマネージャーホストにルート証明書がすでに配置されている場合,配置されているルート証明書の発行元のCAが,手順3.でサーバ証明書を取得したCAと同一かどうか確認してください。
- 同一のCAの場合
-
すでに配置されているルート証明書がそのまま利用できます。ルート証明書を上書きする必要はありません。
- 異なるCAの場合
-
すでに配置されているルート証明書と,取得したルート証明書をまとめてください。この場合,ルート証明書の有効期限が切れても該当部分を適切に入れ替えられるように,個々のルート証明書と結合後のルート証明書の該当部分が対応づけられるようにしておいてください。ルート証明書はBase64でエンコードされているため,結合後のファイルを確認しても,どの部分がどのルート証明書に対応するのかわからなくなります。
詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
エージェントホストに,マネージャーホストのルート証明書が配置されているか確認する。
マネージャーホストのルート証明書の配置は,JP1/AJS3 - ManagerがSSLで通信するための設定作業として実施します。JP1/AJS3 - Managerの設定作業を確認してください。
-
SSL通信を有効にする。
SSL通信を有効にする手順については,マニュアル「JP1/Base 運用ガイド」の通信暗号化機能の説明を参照してください。
(3) JP1/AJS3 - ViewがSSLで通信するための設定
JP1/AJS3 - ViewがSSLで通信するための設定作業について説明します。
-
JP1/AJS3 - ViewからJP1/AJS3 - Managerにログインしている場合は,ログアウトする。
-
非暗号化通信ホスト設定ファイル(nosslhost.conf)をテキストエディターで開く。
JP1/AJS3 - Viewの非暗号化通信ホスト設定ファイル(nosslhost.conf)は,JP1/AJS3 - Viewとの通信電文を暗号化しないマネージャーホストを定義するファイルです。
nosslhost.confの詳細については,「21.4.6 非暗号化通信ホスト設定ファイル(nosslhost.conf)の設定項目の詳細」を参照してください。
-
nosslhost.confに,JP1/AJS3 - ViewとSSLで通信しないマネージャーホストを定義する。
nosslhost.confのデフォルトでは,すべてのマネージャーホストとの通信が暗号化されないように「*」と記載されています。次のようにSSL通信しないマネージャーホストだけを記載して,SSL通信するマネージャーホストが含まれないようにしてください。
[NO_SSL_HOST] SSLで通信しないマネージャーホストのホスト名またはIPアドレス SSLで通信しないマネージャーホストのホスト名またはIPアドレス : SSLで通信しないマネージャーホストのホスト名またはIPアドレス
すべてのマネージャーホストとの通信を暗号化する場合は,[NO_SSL_HOST]とだけ記載してください。
-
nosslhost.confを保存して閉じる。
-
JP1/AJS3 - Viewホストに,マネージャーホストのルート証明書が配置されているか確認する。
マネージャーホストのルート証明書の配置は,JP1/AJS3 - ManagerがSSLで通信するための設定作業として実施します。JP1/AJS3 - Managerの設定作業を確認してください。
(4) SSL通信の接続確認
各コンポーネント間の通信が暗号化されていることを確認する手順を次に示します。
(a) マネージャーホストとJP1/AJS3 - ViewホストのSSL通信の接続確認
-
JP1/AJS3 - ViewからJP1/AJS3 - Managerにログインする。
-
マネージャーホストの統合トレースログに,メッセージKNAD3995-IとメッセージKAVS0532-Iが出力されていることを確認する。
メッセージKNAD3995-Iは,SSL通信が有効であることを示します。
メッセージKAVS0532-Iは,JP1/AJS3 - Viewを使ってJP1/AJS3 - Managerに正常にログインしていることを示します。
(b) マネージャーホストとエージェントホストのSSL通信の接続確認
-
JP1/AJS3 - ViewからJP1/AJS3 - Managerにログインする。
-
JP1/AJS3 - Viewを使ってジョブネットを作成し,その配下にPCジョブまたはUNIXジョブを定義して,[実行エージェント]にSSL通信で接続するエージェントホストを指定する。
-
定義したジョブネットを即時実行登録する。
-
ジョブネットが正常終了することを確認する。
ジョブネットが正常終了すれば,マネージャーホストとエージェントホストのSSL通信が正常に動作しています。