21.4.5 マネージャーホストのサーバ証明書をWeb Consoleサーバで使用する場合のSSL通信の設定手順
マネージャーホストのサーバ証明書をWeb Consoleサーバで使用する場合の,SSL通信の設定手順について説明します。
各ホストの設定作業の流れを次の図に示します。
各ホストでの設定作業は,ホストにインストールしたコンポーネントの設定作業に加えて,通信先のコンポーネントの設定作業が必要です。
なお,この作業はJP1/AJS3システムを構成するすべてのホストで実施してください。SSL通信の有効・無効の異なるホストが混在すると,ホスト間通信がエラーになります。
- 〈この項の構成〉
(1) JP1/AJS3 - ManagerがSSLで通信するための設定
JP1/AJS3 - ManagerがSSLで通信するための設定手順は,マネージャー・エージェント構成での設定手順と同じです。詳細は,「21.4.2(1) JP1/AJS3 - ManagerがSSLで通信するための設定」を参照してください。
(2) JP1/AJS3 - Web ConsoleがSSLで通信するための設定
JP1/AJS3 - Web ConsoleがSSLで通信するための設定作業について説明します。
(a) マネージャーホストとの通信をSSL通信で暗号化する設定
JP1/AJS3 - Web ConsoleがマネージャーホストとSSLで通信するための設定作業は,マネージャーホストとWeb Consoleサーバで異なるサーバ証明書を使用する場合の設定手順と同じです。詳細は,「21.4.3(2)(a) マネージャーホストとの通信をSSL通信で暗号化する設定」を参照してください。
(b) クライアントホストとの通信をSSL通信で暗号化する設定
JP1/AJS3 - Web ConsoleがクライアントホストとSSLで通信するための設定作業について説明します。
-
マネージャーホストの秘密鍵とサーバ証明書を,JP1/AJS3 - Web Consoleのフォルダにコピーする。
JP1/AJS3 - ManagerがSSLで通信するための設定作業で取得した秘密鍵とサーバ証明書を,JP1/AJS3 - Web Consoleのフォルダにコピーします。
コピー先のJP1/AJS3 - Web Consoleのフォルダを次に示します。
- Windowsの場合
-
JP1/AJS3 - Web Consoleのインストール先フォルダ\uCPSB\httpsd\conf\ssl\server
- Linuxの場合
-
/opt/jp1ajs3web/uCPSB/httpsd/conf/ssl/server
-
Webサーバ定義ファイル(httpsd.conf)を編集して,SSL通信を有効にする。
httpsd.confファイルのSSL通信設定部のコメントを解除して,SSL通信を有効にします。
Windowsの場合の変更例を次に示します。この例では,通信用のポート番号,サーバ証明書ファイル名,および秘密鍵ファイル名はデフォルトのまま(サーバ証明書:httpsd.pem,秘密鍵:httpsdkey.pem)として,コメントを示す「#」だけ編集しています。
変更前
: Listen 22252 #Listen [::]:22252 SSLDisable #Listen 22253 #Listen [::]:22253 #<VirtualHost *:22253> # ServerName MyServer # SSLEnable # SSLCertificateFile "C:/Program Files/HITACHI/JP1AJS3WEB/uCPSB/httpsd/conf/ssl/server/httpsd.pem" # SSLCertificateKeyFile "C:/Program Files/HITACHI/JP1AJS3WEB/uCPSB/httpsd/conf/ssl/server/httpsdkey.pem" #</VirtualHost> :
変更後
: #Listen 22252 #Listen [::]:22252 SSLDisable Listen 22253 #Listen [::]:22253 <VirtualHost *:22253> ServerName MyServer SSLEnable SSLCertificateFile "C:/Program Files/HITACHI/JP1AJS3WEB/uCPSB/httpsd/conf/ssl/server/httpsd.pem" SSLCertificateKeyFile "C:/Program Files/HITACHI/JP1AJS3WEB/uCPSB/httpsd/conf/ssl/server/httpsdkey.pem" </VirtualHost> :
なお,使用する環境で,SSL通信用ポート番号,サーバ証明書ファイル名,および秘密鍵ファイル名をデフォルトから変更している場合は,環境に合わせてこれらの設定値も変更してください。
httpsd.confファイルのデフォルト値は次のとおりです。
表21‒15 httpsd.confファイルのデフォルト値 項番
項目
デフォルト値
1
SSL通信用ポート番号
22253
2
サーバ証明書ファイル名
httpsd.pem
3
秘密鍵ファイル名
httpsdkey.pem
httpsd.confファイルの詳細については,「3.4.5 Webサーバ定義ファイル(httpsd.conf)の設定項目の詳細」(Windowsの場合),または「13.3.5 Webサーバ定義ファイル(httpsd.conf)の設定項目の詳細」(Linuxの場合)を参照してください。
-
Webサーバ定義ファイル(httpsd.conf)を編集して,SSL通信のログ出力を有効にする。
httpsd.confファイルの「LogFormat」および「CustomLog」のコメントを解除して,SSL通信のログ出力を有効にします。Windowsの場合の変更例を次に示します。
変更前
: #LogFormat "%t %{version}c %{cipher}c %{clientcert}c" hws_ssl #CustomLog "|\"\"C:/Program Files/HITACHI/JP1AJS3WEB/uCPSB/httpsd/sbin/rotatelogs2.exe\" \"C:/Program Files/HITACHI/JP1AJS3WEB/uCPSB/httpsd/logs/ssl\" 10240 8\"" hws_ssl :
変更後
: LogFormat "%t %{version}c %{cipher}c %{clientcert}c" hws_ssl CustomLog "|\"\"C:/Program Files/HITACHI/JP1AJS3WEB/uCPSB/httpsd/sbin/rotatelogs2.exe\" \"C:/Program Files/HITACHI/JP1AJS3WEB/uCPSB/httpsd/logs/ssl\" 10240 8\"" hws_ssl :
-
JP1/AJS3 HTTP Serverサービスを再起動する。
(3) JP1/AJS3 - AgentがSSLで通信するための設定
JP1/AJS3 - AgentがSSLで通信するための設定手順は,マネージャー・エージェント構成での設定手順と同じです。詳細は,「21.4.2(2) JP1/AJS3 - AgentがSSLで通信するための設定」を参照してください。
(4) JP1/AJS3 - ViewがSSLで通信するための設定
JP1/AJS3 - ViewがSSLで通信するための設定手順は,マネージャー・エージェント構成での設定手順と同じです。詳細は,「21.4.2(3) JP1/AJS3 - ViewがSSLで通信するための設定」を参照してください。
(5) Web GUIがSSLで通信するための設定
Web GUIがSSLで通信するための設定手順は,マネージャーホストとWeb Consoleサーバで異なるサーバ証明書を使用する場合の設定手順と同じです。詳細は,「21.4.3(5)(a) Web GUIがSSLで通信するための設定」を参照してください。
(6) ユーザーアプリケーションがSSLで通信するための設定
ユーザーアプリケーションがSSLで通信するための設定手順は,マネージャーホストとWeb Consoleサーバで異なるサーバ証明書を使用する場合の設定手順と同じです。詳細は,「21.4.3(5)(b) ユーザーアプリケーションがSSLで通信するための設定」を参照してください。
(7) SSL通信の接続確認
各コンポーネント間のSSL通信の接続確認方法は,マネージャーホストとWeb Consoleサーバで異なるサーバ証明書を使用する場合の設定手順と同じです。詳細は,「21.4.3(6) SSL通信の接続確認」を参照してください。