2.3.6 SSLによるJP1/AJS3の通信の暗号化
JP1/AJS3の各ホスト間の通信電文は,SSLによって暗号化できます。通信電文を暗号化することで,盗聴による情報漏えいを防ぐことができます。ただし,フレキシブルジョブの宛先エージェントとの通信など,暗号化できない通信もあります。これらの通信は,ほかの手段で通信の安全を確保してください。
ここでは,SSL通信の概要および設定の流れについて説明します。
- 〈この項の構成〉
(1) SSL通信の基本的な用語
SSL通信の基本的な用語について説明します。
|
項番 |
用語 |
説明 |
|---|---|---|
|
1 |
情報を暗号化してネットワーク上で送受信するためのプロトコルのことです。 クライアントとサーバの間で証明書による認証や鍵交換を実施し,通信の暗号化を実現します。 |
|
|
2 |
SSLに改良が加えられたプロトコルのことです。SSLのバージョン3.0の次のバージョンから名称がTLSに変更されています。 このマニュアルでは,SSLと表記している場合,TLSを含みます。 |
|
|
3 |
SSLやTLSに対応した,オープンソースで開発・提供されているSSLのライブラリーのことです。 |
|
|
4 |
SSLを使用するための証明書を発行する認証局のことです。 CAには,次の2種類があります。
|
|
|
5 |
サーバ証明書を発行するための証明書署名要求のことです。CSRには,公開鍵の情報,要求元の組織名,所在地などの情報を記載します。 CSRはCAに提出します。CAは提出されたCSRに署名して,サーバ証明書として発行します。 |
|
|
6 |
CSRの発行元の団体の正当性を証明する,電子的な情報のことです。 |
|
|
7 |
ルートCAが自らの正当性を保証するために発行する証明書のことです。サーバ証明書の発行元のCAの正当性を検証するために利用されます。 |
|
|
8 |
中間CAが自らの正当性を保証するために発行する証明書のことです。中間証明書はルート証明書と合わせることで,サーバ証明書の発行元のCAの正当性を保証します。 |
|
|
9 |
サーバ証明書の登録情報の一つで,サーバ証明書が適用されるサーバのドメイン名(ホスト名)のことです。 |
|
|
10 |
サーバ証明書の登録情報の一つで,CNの別名として扱われる情報のことです。 SANには複数の値を指定できるので,SANを指定することで,一つのサーバ証明書で複数の接続先とSSL通信ができるようになります。 |
|
|
11 |
サーバ証明書の一種で,CNやSANのホスト名部分が「*」になっているサーバ証明書のことです。 同一ドメインであれば,一つのサーバ証明書でホスト名の異なる複数の接続先とSSL通信ができるようになります。JP1/AJS3でSSL通信を利用する場合,ワイルドカード証明書を利用できます。 「*」は,CNまたはSANの先頭(ホスト名部分)だけに使用できます。また,「*」を先頭以外に使用したり,正規表現のように「aから始まるホスト名」という意味で「a*」と指定したりはできません。 例えば,CNが「*.example.com」の場合,一つのサーバ証明書で次のようなホスト名に対応できます。
|
(2) JP1/AJS3のSSL通信の概要
JP1/AJS3の各コンポーネント間の通信電文は,SSL通信を利用して暗号化できます。この機能を,通信暗号化機能と呼びます。通信暗号化機能はコンポーネント単位で有効・無効を設定します。JP1/AJS3 - Manager,JP1/AJS3 - Agent,JP1/AJS3 - View,およびJP1/AJS3 - Web Consoleの通信暗号化機能の有効・無効は,通信するコンポーネント同士で統一する必要があります。ただし,環境設定パラメーターAJS3SSLの値を「INETD」に設定すれば,JP1/AJS3 - ViewとJP1/AJS3 - Manager間で通信暗号化機能を有効にした場合でも,JP1/AJS3 - ManagerとJP1/AJS3 - Agent間の通信暗号化機能を無効にできます。
それぞれのコンポーネントの通信暗号化機能について説明します。
- JP1/AJS3 - Manager
-
JP1/AJS3 - Managerの通信暗号化機能を利用すると,ほかのJP1/AJS3 - Manager,JP1/AJS3 - Agent,JP1/AJS3 - View,およびJP1/AJS3 - Web Consoleとの通信を暗号化できます。
JP1/AJS3 - Managerの通信暗号化機能を有効にするには,JP1/Baseでの設定が必要です。通信暗号化機能を有効にすると,JP1/AJS3 - Managerの通信電文がJP1/BaseのOpenSSLで暗号化されます。
JP1/BaseのSSL通信の詳細については,マニュアル「JP1/Base 運用ガイド」の通信暗号化機能の説明を参照してください。
- JP1/AJS3 - Agent
-
JP1/AJS3 - Agentの通信暗号化機能を利用すると,JP1/AJS3 - Managerとの通信を暗号化できます。
JP1/AJS3 - Agentの通信暗号化機能を有効にするには,JP1/Baseでの設定が必要です。通信暗号化機能を有効にすると,JP1/AJS3 - Agentの通信電文がJP1/BaseのOpenSSLで暗号化されます。
JP1/BaseのSSL通信の詳細については,マニュアル「JP1/Base 運用ガイド」の通信暗号化機能の説明を参照してください。
- JP1/AJS3 - View
-
JP1/AJS3 - Viewの通信暗号化機能を利用すると,JP1/AJS3 - Managerとの通信を暗号化できます。
JP1/AJS3 - Viewの通信暗号化機能を有効にするには,JP1/AJS3 - Viewの非暗号化通信ホスト設定ファイル(nosslhost.conf)を編集して有効にする必要があります。
- JP1/AJS3 - Web Console
-
JP1/AJS3 - Web Consoleの通信暗号化機能を利用すると,次の通信を暗号化できます。
-
JP1/AJS3 - Web ConsoleとJP1/AJS3 - Managerの通信
JP1/AJS3 - Web ConsoleとJP1/AJS3 - Managerの通信を暗号化するためには,JP1/AJS3 - Web Consoleの非暗号化通信ホスト設定ファイル(nosslhost.conf)で,通信暗号化機能を有効にする必要があります。
-
WebブラウザーとJP1/AJS3 - Web Consoleの通信
WebブラウザーとJP1/AJS3 - Web Consoleの通信を暗号化するためには,サーバ証明書および秘密鍵が必要です。
また,Web GUIやユーザーアプリケーションなどのクライアントプログラムでも,Webブラウザーなどの設定でSSL通信を有効にする必要があります。
-
なお,次に示す通信は,JP1/AJS3の通信暗号化機能の対象外です。ほかの手段で通信の安全を確保してください。
-
フレキシブルジョブの宛先エージェントとの通信
-
JP1/AJS3 - Print Option ManagerとJP1/AJS3 - Print Option間の通信
-
HTTP接続ジョブの実行エージェントとHTTP接続先(Web上の業務システム)間の通信
-
Outlookを使用しないメール送信ジョブの実行エージェントとSMTPサーバ間およびPOP3サーバ間の通信
-
通信暗号化機能がない連携製品とJP1/AJS3 - Manager間の通信
通信の安全を確保する手段の例を次に示します。
-
VPNを使用する
-
HTTP接続ジョブの設定でHTTPS通信を使用する
また,次に示す通信もJP1/AJS3の通信暗号化機能の対象外ですが,盗聴の危険性はありません。
-
JP1/AJS3 - ManagerまたはJP1/AJS3 - Agentの自ホスト間通信のうち,他ホストとの通信に使用しないポートを利用した通信
通信暗号化機能の対象となる通信を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020310.GIF)
- 注意事項
-
-
SSL通信の有効・無効が異なるコンポーネント同士は通信できません。SSL通信の設定は,通信するコンポーネント同士で統一してください。
-
JP1/AJS3の通信暗号化機能がサポートしている暗号化プロトコルは,TLSバージョン1.2だけです。それ以外のプロトコルやバージョンはサポートしていません。
-
通信暗号化機能を有効にしたJP1/AJS3製品に,通信暗号化機能をサポートしていないバージョンのJP1/AJS製品,連携製品を接続して使用することはできません。これらを接続して使用する場合は,通信暗号化機能は無効にしてください。
-
(3) マネージャー・エージェント構成でのサーバ証明書とルート証明書
マネージャーホストとエージェントホストの通信電文をSSL通信で暗号化する場合,サーバ側のホストにサーバ証明書が,クライアント側のホストにルート証明書が必要です。
マネージャー・エージェント構成では,処理のリクエストを送信する側がクライアント,送信先がサーバになります。つまり,マネージャーホストにとっては,ジョブの実行リクエストを送信する自ホストがクライアント,送信先のエージェントホストがサーバになります。逆に,エージェントホストにとっては,ジョブの実行結果を送信する自ホストがクライアント,送信先のマネージャーホストがサーバになります。そのため,マネージャーとエージェントには,それぞれサーバ証明書とルート証明書が必要です。
また,マネージャーホストは自ホストとも通信するため,自ホストのサーバ証明書に対するルート証明書も必要です。
マネージャー・エージェント構成でのサーバ証明書とルート証明書の配置を,次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020320.GIF)
同一のCAで発行してもらう証明書の組み合わせについて説明します。図中の数字は,次の項番と対応しています。
-
マネージャーホストにとってはエージェントホストがサーバで,マネージャーホスト自身はクライアントになります。そのため,エージェントホストにサーバ証明書Aが,マネージャーホストにルート証明書Aが必要になります。
-
エージェントホストにとってはマネージャーホストがサーバで,エージェントホスト自身はクライアントになります。そのため,エージェントホストにルート証明書Mが,マネージャーホストにサーバ証明書Mが必要になります。
-
マネージャーホストは自ホストとも通信するため,自ホストのサーバ証明書Mに対するルート証明書Mが必要です。ただし,サーバ証明書Aとサーバ証明書Mを発行したCAが同一である場合,ルート証明書Mとルート証明書Aは同一のファイルになります。この場合,それぞれ別々に取得してマネージャーホストに配置する必要はありません。
-
JP1/AJS3 - Viewホストにとっては,マネージャーホストがサーバ,JP1/AJS3 - Viewホストがクライアントになります。そのため,マネージャーホストのサーバ証明書Mに対するルート証明書Mが必要になります。
このように,マネージャー・エージェント構成の場合,すべてのマネージャーホストとエージェントホストにサーバ証明書とルート証明書が,JP1/AJS3 - Viewホストにルート証明書が必要になります。
(4) マネージャー・エージェント構成でのサーバ証明書とルート証明書の設定の流れ
サーバ証明書およびルート証明書は,それぞれCAに発行を依頼します。サーバ証明書とルート証明書の取得および設定の流れを次に示します。
|
|
![[図データ]](GRAPHICS/ZH020360.GIF)
マネージャーホストとエージェントホストが複数存在する場合,通信するマネージャーホストとエージェントホストのすべての組み合わせで,これらの作業を実施します。また,JP1/AJS3 - Viewホストが複数存在する場合,すべてのJP1/AJS3 - Viewホストでクライアントホストの作業を実施します。
設定方法の詳細については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 21.4.2 マネージャー・エージェント構成でのSSL通信の設定手順」を参照してください。
(5) Web Consoleサーバのサーバ証明書とルート証明書
Web Consoleサーバを利用する場合,マネージャーホスト,エージェントホスト,JP1/AJS3 - Viewホストの通信の暗号化に加えて,次のホストの通信を暗号化します。
-
Web Consoleサーバとマネージャーホストの通信
-
WebブラウザーとWeb Consoleサーバの通信
それぞれのホストでの証明書の取得方法や配置方法は,Web Consoleサーバとマネージャーホストを異なるホストに導入するか,同一のホストに導入するかによって異なります。
(a) Web Consoleサーバとマネージャーホストを異なるホストに導入する場合
マネージャーホストおよびエージェントホストには,サーバ証明書とルート証明書が必要です。サーバ証明書は,JP1/BaseのOpenSSLを利用して取得します。
Web Consoleサーバには,マネージャーホストのサーバ証明書を検証するためのルート証明書が必要です。また,WebブラウザーなどのクライアントとのSSL通信を実現するために,サーバ証明書が必要です。サーバ証明書はJP1/AJS3 - Web Consoleの機能を利用して取得します。
Web Consoleサーバとマネージャーホストを異なるホストに導入する場合の,サーバ証明書とルート証明書の配置を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020330.GIF)
マネージャーホストおよびエージェントホストには,マネージャー・エージェント構成と同様のサーバ証明書とルート証明書の組み合わせが必要です(図中の1.〜3.)。マネージャーホストと通信するWeb Consoleサーバには,マネージャーホストのサーバ証明書Mを検証するためのルート証明書Mが必要です(図中の4.)。
また,Web ConsoleサーバがクライアントホストとSSLで通信するためには,Web Consoleサーバにサーバ証明書Wが必要です(図中の5.)。
なお,各ホストのサーバ証明書を発行したCAが同一である場合,ルート証明書Aおよびルート証明書Mは同一のファイルになります。それぞれ別々に取得してマネージャーホストに配置する必要はありません。
(b) Web Consoleサーバとマネージャーホストを同一のホストに導入する場合
マネージャーホストとWeb Consoleサーバで共通のサーバ証明書を使用します。サーバ証明書は,JP1/BaseまたはJP1/AJS3 - Web Consoleのどちらかを利用して取得します。
- 注意事項
-
JP1/AJS3 - Web ConsoleとJP1/AJS3 - Managerを同一のサーバ(マシン)にインストールした場合でも,それぞれのインストール先のホストが異なる場合は,サーバ証明書は共通で利用できません。「(a) Web Consoleサーバとマネージャーホストを異なるホストに導入する場合」を参考に,それぞれのホストでサーバ証明書を取得する必要があります。
■ JP1/Baseでサーバ証明書を取得するとき
JP1/BaseのOpenSSLを利用してサーバ証明書を取得し,JP1/AJS3 - Web Consoleのフォルダにコピーします。
Web Consoleサーバとマネージャーホストを同一のホストに導入してJP1/Baseでサーバ証明書を取得する場合の,サーバ証明書とルート証明書の配置を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020350.GIF)
JP1/Baseおよびエージェントホストには,マネージャー・エージェント構成と同様のサーバ証明書とルート証明書の組み合わせが必要です(図中の1.〜3.)。マネージャーホストと通信するJP1/AJS3 - Web Consoleには,マネージャーホストのサーバ証明書Mを検証するためのルート証明書Mが必要です(図中の4.)。
また,JP1/AJS3 - Web ConsoleがクライアントホストとSSLで通信するためには,サーバ証明書が必要です。JP1/AJS3 - Web Consoleのフォルダに,サーバ証明書Mをコピーして配置します(図中の5.)。クライアントホストとのSSL通信には,コピーしたサーバ証明書Mを利用します(図中の6.)。
なお,各ホストのサーバ証明書を発行したCAが同一である場合,ルート証明書Aおよびルート証明書Mは同一のファイルになります。それぞれ別々に取得してマネージャーホストに配置する必要はありません。
■ JP1/AJS3 - Web Consoleでサーバ証明書を取得するとき
JP1/AJS3 - Web Consoleの機能を使ってCSRを作成します。作成したCSRを使ってサーバ証明書を取得したら,JP1/AJS3 - Web Consoleのフォルダに格納し,JP1/Baseの共通定義情報にサーバ証明書のパスを指定します。
Web Consoleサーバとマネージャーホストを同一のホストに導入してJP1/AJS3 - Web Consoleでサーバ証明書を取得する場合の,サーバ証明書とルート証明書の配置を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZH020340.GIF)
JP1/AJS3 - Web ConsoleがクライアントホストとSSLで通信するためには,サーバ証明書が必要です。JP1/AJS3 - Web Consoleの機能を使ってサーバ証明書Wを取得し,JP1/AJS3 - Web Consoleのフォルダに配置します。JP1/AJS3 - Web ConsoleとクライアントホストのSSL通信には,サーバ証明書Wを利用します(図中の1.)。
JP1/Baseでは,共通定義情報にサーバ証明書Wのパスを指定します(図中の2.)。JP1/Baseおよびエージェントホストには,サーバ証明書Wに対応するルート証明書Wを格納します(図中の2.〜3.)。マネージャーホストと通信するJP1/AJS3 - Web Consoleにも,ルート証明書Wを格納します(図中の4.)。また,マネージャー・エージェント構成と同様に,エージェントホストにサーバ証明書Aが,マネージャーホスト(JP1/Base)にルート証明書Aが必要です(図中の5.)。
なお,各ホストのサーバ証明書を発行したCAが同一である場合,ルート証明書Aおよびルート証明書Wは同一のファイルになります。それぞれ別々に取得してマネージャーホストに配置する必要はありません。
(6) Web Consoleサーバのサーバ証明書とルート証明書の設定の流れ
Web Consoleサーバを利用する場合のサーバ証明書およびルート証明書の基本的な設定の流れは,「(4) マネージャー・エージェント構成でのサーバ証明書とルート証明書の設定の流れ」と同じです。ただし,Web Consoleサーバとマネージャーホストのシステム構成によって,CSRや秘密鍵の作成方法,取得したサーバ証明書の配置先や配置方法などが異なります。
詳細については,マニュアル「JP1/Automatic Job Management System 3 構築ガイド 21.4.1 JP1/AJS3のシステム構成とSSL通信の設定」を参照してください。
(7) SSL通信に関する注意事項
SSL通信に関する注意事項について説明します。
(a) 証明書に関する注意事項
-
サーバ証明書の検証が失敗すると,通信処理が中断されてエラーになります。
-
サーバ証明書およびルート証明書には有効期限があります。証明書は適切な方法で管理し,有効期限が切れる前に入れ替え作業を実施してください。証明書の有効期限が切れているかどうかは,システム時刻で判定されます。スケジューラーサービスのローカル日時とは関係しません。証明書の有効期限が切れている場合の通信の動作を次に示します。
-
JP1/AJS3 - ManagerとJP1/AJS3 - Agent間の通信は,証明書の有効期限が切れても暗号化されます。このとき,ジョブの実行はエラーにはなりません。ただし,1日1回だけ警告メッセージが出力されます。この警告メッセージは,キューレスジョブの場合は出力されません。
-
JP1/AJS3 - ViewとJP1/AJS3 - Manager間の通信で,証明書の有効期限が切れている場合,JP1/AJS3 - ViewからJP1/AJS3 - Managerにログインできません。
-
JP1/AJS3 - Web ConsoleとJP1/AJS3 - Manager間の通信で,証明書の有効期限が切れている場合,Web GUIからJP1/AJS3 - Managerにログインできません。ただし,WebブラウザーとJP1/AJS3 - Web Console間の通信では,証明書の有効期限が切れた場合でも,WebブラウザーにWeb GUIを表示できます。
-
(b) CNおよびSANの設定に関する注意事項
CNやSANを指定する上での注意事項を次に示します。
-
JP1/AJS3の通信暗号化機能では,サーバの成り済ましを防止するため,CNとSANを両方チェックします。ただし,同一ホスト内の通信の場合は,CNとSANをチェックしません。また,SANが指定されている場合は,CNはチェックしません。そのため,SANが指定されている場合は,SANとCNに同じ値を指定してください。
-
CNまたはSANにはホスト名を指定してください。IPアドレスは指定しないでください。
-
ワイルドカード証明書を使用する場合,「*」はCNまたはSANの先頭(ホスト名部分)だけに使用できます。「*」を先頭以外に使用したり,正規表現のように「aから始まるホスト名」という意味で「a*」と指定したりはできません。例えば,「*.example.com」はCNまたはSANとして指定できますが,「a*.example.com」や「test.*.com」は指定できません。
-
ホストの指定にエイリアスホスト名を使う場合は,SANに指定しておいてください。
-
ホスト名をショート名で運用する場合,SANにはショート名とFQDNを両方とも指定してください。指定しないと,ジョブの実行がエラーになるおそれがあります。
-
環境設定パラメーターResolveAgentInfoの値がhostの場合,マネージャーホストがエージェントホストと通信するときに,実行エージェント情報として保存している実行先ホストに加えて,エージェントホストの実ホストとも通信します。そのため,SANにはエージェントホストの実ホスト名も指定してください。
-
論理ホスト環境で定義内容の事前チェックまたはキューレスジョブを実行する場合,物理ホストのサーバ証明書のSANには,物理ホスト名,および物理ホスト上のすべての論理ホスト名を登録してください。
定義内容の事前チェック機能やキューレスジョブのサービスは,物理ホスト上のプロセスで処理します。論理ホストから処理を要求する場合でも,クライアントには物理ホストのサーバ証明書を送信します。そのため,物理ホストのサーバ証明書のSANには,物理ホスト名と論理ホスト名を設定しておく必要があります。
(c) 物理ホストと論理ホストでSSL通信の有効・無効が異なる場合の注意事項
物理ホストと論理ホストでSSL通信の有効・無効が異なる場合の注意事項を次に説明します。
■ マネージャーホストまたは認証サーバを論理ホストとして導入する場合
マネージャーホストと認証サーバのSSL通信の有効・無効は,両方のホストで一致させてください。マネージャーホストと認証サーバでSSL通信の有効・無効が異なる場合,JP1/AJS3 - ViewやWeb GUIからJP1/AJS3 - Managerにログインできなくなります。
マネージャーホストまたは認証サーバを論理ホストとして導入する場合の例を次に示します。
|
|
![[図データ]](GRAPHICS/ZH020370.GIF)
この図では,すべての物理ホストと論理ホストにJP1/AJS3 - ManagerとJP1/Baseが導入されているものとします。
hostAはSSL通信が有効なため,hostBを認証サーバとして設定できます。hostA-LやhostB-LはSSL通信が無効なため,認証サーバとして設定できません。
一方,hostA-LはSSL通信が無効なため,hostB-Lを認証サーバとして設定できます。hostAやhostBはSSL通信が有効なため,認証サーバとして設定できません。
■ 定義内容の事前チェック機能を使用する場合
定義内容の事前チェック機能を使用する場合,SSL通信の有効・無効は物理ホストの設定に従います。そのため,事前チェックの要求元ホストおよび実行先ホストの物理ホストでは,SSL通信の有効・無効を一致させてください。
定義内容の事前チェック機能を使用する場合の例を次に示します。
|
|
![[図データ]](GRAPHICS/ZH020380.GIF)
この図では,hostAまたはhostCが事前チェックの要求元ホスト,hostBまたはhostDが事前チェックの実行先ホストです。
hostAとhostBは物理ホストのSSL通信の設定が一致しています。そのため,例えばhostA-LがhostBに対して事前チェックを要求した場合,要求元ホストのSSL通信の設定が一致していなくても,事前チェック機能は正常に動作します。同様に,hostAがhostA-Lに対して事前チェックを要求した場合も,事前チェック機能は正常に動作します。
一方,hostCとhostDは物理ホストのSSL通信の設定が一致していません。そのため,例えばhostC-LがhostDに対して事前チェックを要求した場合,要求元ホストのSSL通信の設定は一致しても,事前チェック機能はエラーになります。
■ キューレスジョブを実行する場合
キューレスジョブを実行する場合,キューレスジョブの実行要求元のSSL通信の有効・無効は,論理ホスト,物理ホストそれぞれの設定に従います。一方,実行先のキューレスエージェントのSSL通信の有効・無効は,論理ホスト,物理ホストに関係なく,物理ホストの設定に従います。実行要求元と実行先でSSL通信の有効・無効が異なる場合,キューレスジョブは正しく実行されなくなります。実行要求元と実行先でSSL通信の有効・無効を一致させてください。
キューレスジョブを実行できる例を次に示します。
|
|
![[図データ]](GRAPHICS/ZH020390.GIF)
この図では,キューレスジョブの実行要求元は物理ホストのhostAです。実行要求元のSSL通信の設定は,hostAに従って有効になります。このとき,キューレスジョブの実行先は,hostA(自ホスト),hostA-L,hostB,またはhostB-Lのどれであっても,物理ホスト(hostAおよびhostB)のSSL通信の設定が有効であるため,実行要求元と実行先でSSL通信の設定が一致します。そのため,キューレスジョブは実行できます。
また,キューレスジョブを実行できない例を次に示します。
|
|
![[図データ]](GRAPHICS/ZH020400.GIF)
この図では,キューレスジョブの実行要求元は論理ホストのhostA-Lです。実行要求元のSSL通信の設定は,hostA-Lに従って無効になります。しかし,キューレスジョブの実行先は,hostA(自ホスト),hostA-L,hostB,またはhostB-Lのどれであっても,物理ホスト(hostAおよびhostB)のSSL通信の設定が有効であるため,実行要求元と実行先でSSL通信の設定が一致しません。そのため,キューレスジョブは実行待ちのまま実行されなくなります。実行待ちのキューレスジョブを終了させたい場合は,キューレスジョブの状態を変更してください。