4.3.15 Webブラウザと監視コンソールサーバ間の暗号化通信の設定および変更の流れ
Webブラウザと監視コンソールサーバ間では,暗号化通信で接続するかどうかを選択できます。デフォルトでは暗号化通信は無効になっています。
暗号化通信に必要な証明書には,認証局から取得するサーバ証明書または,テスト用に作成する自己署名証明書があります。用途に合わせた証明書を用意してください。自己署名証明書は,Webブラウザによっては使用できないことがあります。
次のような場合,設定を変更する必要があります。
変更の流れを次に示します。
順番 |
手順 |
参照先 |
---|---|---|
1 |
証明書(サーバ証明書または自己署名証明書)を用意する |
|
2 |
暗号化通信ファイル格納フォルダにファイルを格納する |
|
3 |
Webブラウザと監視コンソールサーバ間の暗号化通信を有効にする |
|
4 |
暗号化通信の設定の変更をシステム連携の設定に反映する |
|
5 |
Webブラウザで暗号化通信のための設定をする |
順番 |
手順 |
参照先 |
---|---|---|
1 |
Webブラウザと監視コンソールサーバ間の暗号化通信を無効にする |
|
2 |
暗号化通信の設定の変更をシステム連携の設定に反映する |
順番 |
手順 |
参照先 |
---|---|---|
1 |
証明書(サーバ証明書または自己署名証明書)を再度用意する |
|
2 |
暗号化通信ファイル格納フォルダにファイルを格納する |
|
3 |
Webブラウザと監視コンソールサーバ間の暗号化通信を再度有効にする |
|
4 |
Webブラウザで暗号化通信のための設定をする |
- 〈この項の構成〉
(1) 証明書を用意する手順(認証局からサーバ証明書を取得する場合)
監視二重化構成の場合は,プライマリーおよびセカンダリーそれぞれで実行してください。
-
PFM - Web Consoleホストで,証明書発行要求(CSR)ファイルおよび秘密鍵ファイルを作成する。
jpcwtool https create certreqコマンド※を実行します。
秘密鍵にパスワードを指定した場合は,秘密鍵のパスワードファイルも作成されます。
クラスタシステムを利用している場合は,待機系ノードで実行します。
コマンドの詳細については,マニュアル「JP1/Performance Management リファレンス」のコマンドについて説明している章を参照してください。
- 注※
-
jpcwtool https create certreqコマンドは,SAN(サブジェクト代替名)を出力しません。使用するブラウザがGoogle Chromeの場合,SANの定義がない証明書発行要求で作成したサーバ証明書は,信頼されない証明書と判断されます。そのため,SANの定義を追加した証明書発行要求を作成できるOpenSSLなどのツールで,サーバ証明書を作成してください。サーバ証明書を作成する際は,jpcwtool https create certreqコマンドに設定する入力項目に加えて,CN(Common Name)に指定する値をSANに設定してください。
-
認証局に手順1で作成した証明書発行要求ファイルを送付し,x.509(PEM)形式のサーバ証明書ファイルおよび中間CA証明書ファイルを取得する。
クロスルート用の中間CA証明書を利用する場合は,中間CA証明書とクロスルート用の中間CA証明書を連結したx.509(PEM)形式のファイルを取得します。連結した証明書の取得方法については,認証局に確認してください。
-
手順2で取得した,サーバ証明書ファイルおよび中間CA証明書ファイルをリネームする。
次のようにリネームします。
-
サーバ証明書ファイル:jpcwhttpscert.pem
-
中間CA証明書ファイル:jpcwhttpscacert.pem
-
(2) 証明書を用意する手順(テスト用に自己署名証明書を作成する場合)
監視二重化構成の場合は,プライマリーおよびセカンダリーそれぞれで実行してください。
-
PFM - Web Consoleホストで,自己署名証明書ファイルおよび秘密鍵ファイルを作成する。
jpcwtool https create provcertコマンドを実行します。
クラスタシステムを利用している場合は,待機系ノードで実行します。
コマンドの詳細については,マニュアル「JP1/Performance Management リファレンス」のコマンドについて説明している章を参照してください。
(3) 暗号化通信ファイル格納フォルダにファイルを格納する手順
事前に用意した暗号化通信をするために必要なファイルを,暗号化通信ファイル格納フォルダに格納します。
-
暗号化通信ファイル格納フォルダにファイルを格納する。
クラスタシステムを利用している場合は,待機系ノードで格納したあと,実行系ノードにファイルをコピーしてください。
格納先および格納するファイルを次に示します。
- 格納先(暗号化通信ファイル格納フォルダ)
-
- Windowsの場合
-
PFM - Web Consoleのインストール先フォルダ\CPSB\httpsd\conf\ssl\server
- UNIXの場合
-
/opt/jp1pcwebcon/CPSB/httpsd/conf/ssl/server
- 格納するファイル
-
すべてのファイルに次の権限での読み込み権限が必要です。
-
Windowsの場合:Administrators権限
-
Unixの場合:root権限
表4‒18 格納ファイル(サーバ証明書を使用する場合) ファイル名
内容
jpcwhttpscacert.pem
中間CA証明書ファイル
jpcwhttpscert.pem
サーバ証明書ファイル
jpcwhttpskey.pem
秘密鍵ファイル
jpcwhttpskeypass.dat
秘密鍵のパスワードファイル
(秘密鍵にパスワードを指定した場合だけ格納する)
表4‒19 格納ファイル(自己署名証明書を使用する場合) ファイル名
内容
jpcwhttpscert.pem
自己署名証明書ファイル
jpcwhttpskey.pem
秘密鍵ファイル
-
(4) Webブラウザと監視コンソールサーバ間の暗号化通信を有効にする手順
暗号化通信ファイル格納フォルダに必要なファイルを格納していることを前提とします。必要なファイルについては,「4.3.15(3) 暗号化通信ファイル格納フォルダにファイルを格納する手順」を参照してください。
監視二重化構成の場合は,プライマリーおよびセカンダリーそれぞれで実行してください。
-
PFM - Web Consoleホストでjpcwstopコマンドを実行し,サービスを停止する。
クラスタシステムを利用している場合は,クラスタソフトからの操作で,PFM - Web Consoleを登録している論理ホストを停止します。
-
jpcwconf https enableコマンドを実行し,暗号化通信を有効にする。
クラスタシステムを利用している場合は,実行系および待機系の両方のノードで実行します。
コマンドの詳細については,マニュアル「JP1/Performance Management リファレンス」のコマンドについて説明している章を参照してください。
-
PFM - Web Consoleホストでjpcwstartコマンドを実行し,サービスを起動する。
クラスタシステムを利用している場合は,クラスタソフトからの操作で,PFM - Web Consoleを登録している論理ホストを起動します。
(5) Webブラウザと監視コンソールサーバ間の暗号化通信を無効にする手順
監視二重化構成の場合は,プライマリーおよびセカンダリーそれぞれで実行してください。
-
PFM - Web Consoleホストでjpcwstopコマンドを実行し,サービスを停止する。
クラスタシステムを利用している場合は,クラスタソフトからの操作で,PFM - Web Consoleを登録している論理ホストを停止します。
-
jpcwconf https disableコマンドを実行し,暗号化通信を無効にする。
クラスタシステムを利用している場合は,実行系および待機系の両方のノードで実行します。
コマンドの詳細については,マニュアル「JP1/Performance Management リファレンス」のコマンドについて説明している章を参照してください。
-
必要に応じて,暗号化通信ファイル格納フォルダからファイルを削除する。
暗号化通信ファイル格納フォルダについては,「4.3.15(3) 暗号化通信ファイル格納フォルダにファイルを格納する手順」を参照してください。
-
PFM - Web Consoleホストでjpcwstartコマンドを実行し,サービスを起動する。
クラスタシステムを利用している場合は,クラスタソフトからの操作で,PFM - Web Consoleを登録している論理ホストを停止します。
(6) 暗号化通信の設定の変更をシステム連携の設定に反映する手順
Webブラウザと監視コンソールサーバ間の暗号化通信の設定を変更した場合,統合管理製品(JP1/IM),サービスレベル管理製品(JP1/SLM),およびジョブ管理製品(JP1/AJS3)との設定に変更を反映します。
手順を次に示します。
-
統合管理製品(JP1/IM)と連携した稼働監視をしている場合,設定を変更する。
設定しているイベントによって,次のように変更します。
-
JP1ユーザーイベントを設定している場合
モニター画面呼び出し定義ファイル,および統合機能メニュー定義ファイルのURLを変更します。
-
JP1システムイベントを設定している場合
暗号化通信の設定を変更します。
詳細については,マニュアル「JP1/Performance Management 運用ガイド」の,統合管理製品(JP1/IM)と連携した稼働監視について説明している章の次の個所を参照してください。
-
連携のための定義ファイルの編集・コピーについて説明している個所
-
各PFMサービスのJP1システムイベントの発行の設定について説明している個所
-
-
サービスレベル管理製品(JP1/SLM)と連携した稼働監視をしている場合,設定を変更する。
JP1/SLMからPFM - Web Consoleの画面が起動できるようにするために設定を変更します。
JP1/SLMの次のファイルのプロパティで設定されているPFM - Web ConsoleのURLを変更します。
-
システム定義ファイル(jp1itslm.properties)のpfmWebConsoleURL
詳細については,マニュアル「JP1/Service Level Management」を参照してください。
-
-
ジョブ管理製品(JP1/AJS3)と連携した稼働監視をしている場合,設定を変更する。
JP1/AJS3 - Web Consoleの環境設定ファイル(ajs3web.conf)を変更して,JP1/AJS3からPFM - Web Consoleの画面を起動できるようにします。