Cosminexus V9 アプリケーションサーバ 機能解説 セキュリティ管理機能編
(1) SSLアクセラレータを使用する目的
セキュリティ上の脅威のうち,アプリケーションの通信内容の第三者への漏洩または改ざんを防ぐ方法の一つに,通信内容の暗号化があります。暗号化手段としては,通信にHTTPSを使用する方法があります。ただし,HTTPSの基盤となるTLS/SSLによる通信は大変負荷が高い処理です。
SSLアクセラレータは,このような場合に,Webサーバやアプリケーションサーバに負荷を掛けないで,HTTPSによって暗号化された通信内容の処理を実現するための専用ハードウェアです。SSLアクセラレータを適切に配置することで,Webサーバやアプリケーションサーバに負荷を掛けることなく,暗号化された内容の通信を高速化できます。
(2) SSLアクセラレータの配置
SSLアクセラレータを適用した構成の例を次の図に示します。
図4-9 SSLアクセラレータを適用した構成
WebクライアントからHTTPSによって送信された通信内容は,SSLアクセラレータによって復号化され,HTTPによってWebサーバまたはアプリケーションサーバに送信されます。また,WebサーバまたはアプリケーションサーバからHTTPによって送信された通信内容は,SSLアクセラレータによって暗号化されて,Webクライアントに送信されます。
SSLアクセラレータを配置する場合は,次の点に留意してください。
- SSLアクセラレータは,ファイアウォールとの併用もできます。併用する場合は,SSLアクセラレータをWebサーバまたはアプリケーションサーバと一体として扱ってください。
- Webサーバ連携をする場合は,SSLアクセラレータ使用時に,リダイレクタの追加設定が必要な場合があります。リダイレクタを設定すると,例えば,WebクライアントからのリクエストがHTTP/1.0の場合にリクエストのフォワード先指定などができます。Management Serverを利用してシステムを構築する場合は,運用管理ポータルの「論理サーバの環境設定」で設定できます。論理Webサーバの[リダイレクタの設定]画面の「ゲートウェイ指定機能の設定」で,「SSLアクセラレータの使用」に,「する」を選択してください。
Management Serverを利用しないでシステムを構築する場合は,次のファイルに設定します。
- HTTP Serverの場合
- mod_jk.confファイルのJkGatewayHttpsSchemeキー
- Microsoft IISの場合
- isapi_redirect.confファイルのgateway_https_schemeキー
Management Serverを利用してシステムを構築する場合は,マニュアル「アプリケーションサーバ 運用管理ポータル操作ガイド」の「10.10.2 リダイレクタの設定」を参照してください。
Management Serverを利用しないでシステムを構築する場合は,マニュアル「アプリケーションサーバ リファレンス 定義編(サーバ定義)」の「9. Webサーバ連携で使用するファイル」を参照してください。
- インプロセスHTTPサーバを使用する場合は,SSLアクセラレータ使用時に,Webコンテナの追加設定が必要な場合があります。この設定によって,例えば,WebクライアントからのリクエストがHTTP/1.0の場合にリクエストのフォワード先指定などができます。Management Serverを利用してシステムを構築する場合は,運用管理ポータルの「論理サーバの環境設定」で設定できます。論理J2EEサーバの[その他の設定]画面で,「ゲートウェイ指定機能の設定」の「SSLアクセラレータの使用」に,「する」を選択してください。
Management Serverを利用しないでシステムを構築する場合は,usrconf.propertiesファイルのwebserver.connector.inprocess_http.gateway.https_schemeキーに設定します。
Management Serverを利用してシステムを構築する場合は,マニュアル「アプリケーションサーバ 運用管理ポータル操作ガイド」の「10.9.16 レスポンスヘッダ・ゲートウェイ指定機能の設定(インプロセスHTTPサーバ)」を参照してください。
Management Serverを利用しないでシステムを構築する場合は,マニュアル「アプリケーションサーバ リファレンス 定義編(サーバ定義)」の「2.4 usrconf.properties(J2EEサーバ用ユーザプロパティファイル)」を参照してください。
All Rights Reserved. Copyright (C) 2012, 2015, Hitachi, Ltd.