9.4.1　新規に通信暗号化機能を使用する

通信暗号化機能を初めて使用するユーザーが，マネージャーホストとビューアーホストで設定する手順を説明します。JP1/IM - Managerで設定する手順はありません。なお，マネージャーホストが複数ある場合はそれぞれで実施してください。システム構成については，マニュアル「JP1/Integrated Management 2 - Manager 導入・設計ガイド」の「13.11.6　システム構成」を参照してください。

マネージャーホストで使用する秘密鍵，CSR，各証明書，およびSSL通信定義ファイル（jp1bs_ssl.conf）を基に設定する共通定義情報は，JP1/IM - Manager，JP1/AJS3，およびJP1/Baseの通信暗号化機能で使用します。

新規に通信暗号化機能を使用する場合の手順を図に示すと，次のようになります。

図9‒8　新規に通信暗号化機能を使用する場合の手順

図9‒9　ユーザーが操作するファイルの概要

図中の番号に従って説明します（図中の丸付き番号は，次に示す番号にそれぞれ対応しています）。

1. JP1/Baseで秘密鍵を作成する。^※1

   秘密鍵にパスフレーズを設定しないでください。パスフレーズ付きの秘密鍵は使用できません。

2. JP1/BaseでCSR（証明書署名要求）を作成する。^※1

   手順1で作成した秘密鍵を指定し，CSRを作成します。CN（Common Name）にマネージャーホスト名を設定してください。CNのマネージャーホスト名は，サーバ証明書のホスト名の検証（CNおよびSANの検証）で使用します。

   サーバ証明書のホスト名の検証（CNおよびSANの検証）については，マニュアル「JP1/Integrated Management 2 - Manager 導入・設計ガイド」の「13.11.4(2)　サーバ証明書のホスト名の検証（CNおよびSANの検証）」を参照してください。

3. CA（認証局）に手順2で作成したCSRを送付し，各証明書を発行してもらう。^※1

   手順2で作成したCSRをCAに送付し，サーバ証明書とルート証明書を発行してもらいます。

   中間CA証明書がある場合は，中間CA証明書を取得します。

   なお，CAから署名を受けた証明書ではなく，自己署名証明書を使用する場合はCSRをCAに送付しません。

4. JP1/Baseに秘密鍵，各証明書を配置する。^※1※2

   手順1で作成した秘密鍵，手順3で発行されたサーバ証明書およびルート証明書をサーバ側の任意のフォルダに配置します。

   中間CA証明書がある場合は，サーバ証明書に証明書の階層構造に従って中間CA証明書をテキストエディターなどで結合します。

   結合後のサーバ証明書は次のようになります。

   -----BEGIN CERTIFICATE-----

   サーバ証明書の内容

   -----END CERTIFICATE-----

   -----BEGIN CERTIFICATE-----

   中間CA証明書の内容

   -----END CERTIFICATE-----

5. JP1/Baseで通信暗号化機能を有効にする。^※1

   通信暗号化機能の設定手順を次に示します。

   1. SSL通信定義ファイル（jp1bs_ssl.conf）を定義する。

   SSL通信定義ファイルに，SSL通信を有効にするかどうか，およびサーバ証明書のファイル名やルート証明書の格納先など，SSL通信の設定情報を定義します。

   SSL通信定義ファイルの詳細については，マニュアル「JP1/Base 運用ガイド」のSSL通信定義ファイルについて説明している章を参照してください。

   2. SSL通信定義ファイルを引数にjbssetcnfコマンドを実行する。

   jbssetcnfコマンドを実行すると，共通定義情報に設定内容が反映されます。反映される設定内容は，JP1/IM - Manager，JP1/AJS3，およびJP1/Baseで通信暗号化機能を実行するための設定情報です。

   jbssetcnfコマンドについては，マニュアル「JP1/Base 運用ガイド」を参照してください。

6. JP1/IM - Viewに手順3で発行されたルート証明書を配置する。^※2

   • ルート証明書の格納場所

     Viewパス\conf\ssl\rootcer

   JP1/IM - Viewはルート証明書のファイルを複数配置できます。

   JP1/IM - Viewへのルート証明書の配置については，ユーザーは配置するルート証明書が，どのマネージャーホストに対応するルート証明書か区別する必要があります。詳細については，マニュアル「JP1/Integrated Management 2 - Manager 導入・設計ガイド」の「13.11.3(1)　マネージャーホストとビューアーホスト間の暗号化」を参照してください。

7. 非暗号化通信するホストを設定するファイルを編集する。

   非暗号化通信ホスト設定ファイルは，非暗号化通信をするホストを設定するファイルです。初期設定では，すべてのホストで非暗号化通信となる設定がされています。詳細については，マニュアル「JP1/Integrated Management 2 - Manager コマンド・定義ファイル・APIリファレンス」の「非暗号化通信ホスト設定ファイル（nosslhost.conf）」（2.　定義ファイル）を参照してください。

8. 次の場合，他マネージャーホストにルート証明書を配置する。^※2

   • 他マネージャーホストからjcochstatコマンドの-hオプションで対処状況を変更する場合

     他マネージャーホストで通信暗号化機能を使用していない場合は，通信暗号化機能を有効にし，他マネージャーホストのルート証明書ファイルに手順3で発行されたルート証明書を追加してください。

   • 上位マネージャーでIM構成管理機能を使用する場合

     上位マネージャーとなる他マネージャーホストのJP1/Baseに，手順3で発行されたルート証明書を配置します。 他マネージャーホストのJP1/Baseに，ルート証明書の格納場所（共通定義情報のCACERTIFICATEFILE）を設定する作業は必要ですが，通信暗号化機能を有効にする必要はありません。

   他マネージャーホストで通信暗号化機能を使用している場合は，他マネージャーホストのルート証明書ファイルに手順3で発行されたルート証明書を追加してください。

   他マネージャーホストにルート証明書を追加する場合は，追加するルート証明書をテキストエディターなどで結合します。

   結合後のルート証明書ファイルは次のようになります。

   -----BEGIN CERTIFICATE-----

   ルート証明書の内容

   -----END CERTIFICATE-----

   -----BEGIN CERTIFICATE-----

   ルート証明書の内容

   -----END CERTIFICATE-----

注※1　詳細については，マニュアル「JP1/Base 運用ガイド」を参照してください。

注※2　複数の証明書を結合する場合は，テキストエディターで証明書を開き，証明書を結合してください。

重要

JP1/IM - ManagerおよびJP1/Baseの起動中は，通信暗号化機能の設定は変更できません。有効期限切れに伴うサーバ証明書やルート証明書の入れ替えなどで，通信暗号化機能の設定を変更する場合は，JP1/IM - ManagerおよびJP1/Baseを停止してから変更してください。

設定後，通信暗号化機能が正しく設定できているかどうかを確認してください。確認手順については，「9.4.5　通信暗号化機能が正しく設定できているか確認する」を参照してください。

ページの先頭へ