1.6.3 https接続を有効にする手順(Windows,Linux 6,Linux 7,SUSE Linux 12)
user_httpsd.confファイルを設定し,秘密鍵ファイルおよびSSLサーバ証明書ファイルを指定したフォルダに格納して,Webサーバのhttps接続を有効にします。
事前作業
Administrators権限またはroot権限を持つユーザーでJP1/AOサーバにログインします。
JP1/AOのサービスを停止します。
- 非クラスタシステムの場合
hcmds64srvコマンドにstopオプションを指定して実行します。
- クラスタシステムの場合
クラスタソフトを使用してサービスをオフラインにします。
https接続を有効にする手順
user_httpsd.confファイルを,https接続を使用する設定に変更します。
user_httpsd.confファイルは次のフォルダに格納されています。
JP1/AOサーバのOSがWindowsの場合
共通コンポーネントのインストール先フォルダ\uCPSB\httpsd\conf
JP1/AOサーバのOSがLinux 6,Linux 7,SUSE Linux 12の場合
/opt/HiCommand/Base64/uCPSB/httpsd/conf
user_httpsd.confファイルを,次のように変更します。
https 接続で使用するポート番号が記載されている「Listen」ディレクティブの行から「HWSLogSSLVerbose On」の行までの行頭の「#」を削除します。
ただし,「SSLECCCertificateKeyFile」,「SSLECCCertificateFile」,「SSLCACertificateFile」,「Header set Strict-Transport-Security max-age= 31536000」ディレクティブの行頭の「#」は削除しません。
また,「Listen [::]:22016」はIPv6での通信を有効にする時のみ行頭の「#」を削除します。
-
https接続以外の接続を無効にしたい場合は,さらに次のように変更してください。
・http接続で使用するポート番号が記載されている「Listen」および「Listen [::]:」ディレクティブの行頭に「#」を指定しコメントアウトします。
・「Listen 127.0.0.1:」ディレクティブの行頭の「#」を削除します。
JP1/AO のインストール後(http接続を使用する場合)のuser_httpsd.confファイルの内容と,https接続を使用する場合の設定に変更したuser_httpsd.confファイルの内容を次に示します。http接続では「22015」,https接続では「22016」のデフォルトのポート番号を使用する場合の例です。
http接続を使用する場合のuser_httpsd.confファイル(デフォルト)
ServerName ホスト名 Listen 22015 Listen [::]:22015 #Listen 127.0.0.1:22015 SSLDisable #Listen 22016 #Listen [::]:22016 #<VirtualHost *:22016> # ServerName ホスト名 # SSLEnable # SSLProtocol TLSv12 # SSLRequiredCiphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256 # SSLRequireSSL # SSLCertificateKeyFile "共通コンポーネントのインストール先フォルダ/uCPSB/httpsd/conf/ssl/server/httpsdkey.pem" # SSLCertificateFile "共通コンポーネントのインストール先フォルダ/uCPSB/httpsd/conf/ssl/server/httpsd.pem" # SSLECCCertificateKeyFile "共通コンポーネントのインストール先フォルダ/uCPSB/httpsd/conf/ssl/server/ecc-httpsdkey.pem" # SSLECCCertificateFile "共通コンポーネントのインストール先フォルダ/uCPSB/httpsd/conf/ssl/server/ecc-httpsd.pem" # SSLCACertificateFile "共通コンポーネントのインストール先フォルダ/uCPSB/httpsd/conf/ssl/cacert/anycert.pem" # Header set Strict-Transport-Security max-age=31536000 #</VirtualHost> #HWSLogSSLVerbose On
https接続を使用する場合のuser_httpsd.confファイル(変更後)
ServerName ホスト名 #Listen 22015 #Listen [::]:22015 Listen 127.0.0.1:22015 SSLDisable Listen 22016 Listen [::]:22016 <VirtualHost *:22016> ServerName ホスト名 SSLEnable SSLProtocol TLSv12 SSLRequiredCiphers AES256-SHA256:AES256-SHA:AES128-SHA256:AES128-SHA:DES-CBC3-SHA SSLRequireSSL SSLCertificateKeyFile "共通コンポーネントのインストール先フォルダ/uCPSB/httpsd/conf/ssl/server/httpsdkey.pem" SSLCertificateFile "共通コンポーネントのインストール先フォルダ/uCPSB/httpsd/conf/ssl/server/httpsd.pem" # SSLECCCertificateKeyFile "共通コンポーネントのインストール先フォルダ/uCPSB/httpsd/conf/ssl/server/ecc-httpsdkey.pem" # SSLECCCertificateFile "共通コンポーネントのインストール先フォルダ/uCPSB/httpsd/conf/ssl/server/ecc-httpsd.pem" # SSLCACertificateFile "共通コンポーネントのインストール先フォルダ/uCPSB/httpsd/conf/ssl/cacert/anycert.pem" # Header set Strict-Transport-Security max-age=31536000 </VirtualHost> HWSLogSSLVerbose On
注意事項:- 先頭行の「ServerName」ディレクティブと「<VirtualHost>」タグ内の「ServerName」ディレクティブに,証明書発行要求のCommon Nameに設定したホスト名(クラスタ環境の場合は論理ホスト名)を指定します。大文字,小文字の区別も同じにしてください。
-
「SSLCertificateKeyFile」ディレクティブに,秘密鍵ファイルを絶対パスで指定します。
パスにシンボリックリンクやジャンクションを指定しないでください。
-
「SSLCertificateFile」ディレクティブに,サーバ証明書を絶対パスで指定します。
サーバ証明書には,認証局で署名済みの証明書と自己署名証明書があります。
- 認証局の証明書を使用する場合は,「SSLCACertificateFile」ディレクティブの行頭の番号記号「#」を削除して,認証局の証明書を絶対パスで指定します。複数の証明書(PEM形式)をテキストエディターで連結させることで,1つのファイルに複数の証明書を混在させることができます。ただし,パスにシンボリックリンクやジャンクションを指定しないでください。
-
JP1/AOのサービスを開始します。
- 非クラスタシステムの場合
-
hcmds64srvコマンドにstartオプションを指定して実行します。
- クラスタシステムの場合
-
クラスタソフトを使用してサービスをオンラインにします。
-
WebブラウザーからJP1/AOサーバへ接続するURL情報を更新します。
hcmds64chgurlコマンドを実行して,URL情報を更新します。
SSLサーバ証明書にホスト名を指定しているときはホスト名を,IPアドレスを指定しているときはIPアドレスをURLに指定します。
JP1/AOサーバのOSがWindowsの場合,次のショートカットファイルのURLを変更します。
スタートメニューの[すべてのプログラム]-[JP1_Automatic Operation]-[JP1_AOログイン画面]
- 重要
WebブラウザーとJP1/AOの接続の設定に誤りがある場合,HBase 64 Storage Mgmt Web Serviceの起動に失敗して,JP1/AOのログイン画面が表示できなくなることがあります。