8.4.3 トラストストアの設定
APIによる直接接続を使用すると,負荷分散機とHTTPまたはHTTPSで通信します。HTTPS 通信をする場合には,信頼できる証明書を登録したトラストストアが必要になります。HTTPS通信をする場合は,次のファイルのプロパティでhttpsを指定または省略します。
- Management Serverで負荷分散機を制御する場合
-
-
lb.propertiesのlb.API.protocol.<負荷分散機の管理IPアドレス>
-
- 仮想サーバマネージャで負荷分散機を制御する場合
-
-
<LB接続情報の識別名>.propertiesのlb.API.protocol
-
tierlb.propertiesのlb.API.protocol
-
HTTPS通信をする場合には,あらかじめ,次の作業を実施してトラストストアを設定しておいてください。
-
負荷分散機からSSLサーバ証明書を取得します。
取得方法の詳細は,負荷分散機のドキュメントを参照してください。
-
運用管理機能が稼働するホストでJDKのkeytoolコマンドを実行して,手順1で取得したSSLサーバ証明書をトラストストアに登録します。
JDKのkeytoolコマンドの実行例を次に示します。
<Application Serverのインストールディレクトリ>/jdk/bin/keytool -import -file loadbalancer.cer -alias loadbalancer -keystore C:\work\loadbalancer.keystore -storepass keystore_pass
JDKのkeytoolコマンドについては,JDKのドキュメントを参照してください。
- 注意事項
-
JDKのデフォルトのトラストストア(cacerts)以外に証明書を登録した場合は,lb.propertiesのjavax.net.ssl.trustStoreパラメタにSSLサーバ証明書の絶対パスを指定してください。デフォルトのトラストストア(cacerts)に登録した場合は指定する必要はありません。
BIG-IPの場合,デフォルトのトラストストア(cacerts)以外は設定できません。
JDKのデフォルトのトラストストア(cacerts)は,<Application Serverのインストールディレクトリ>/jdk/jre/lib/security下にあります。パスワードの初期値は,「changeit」です。