4.15 SSL サポート
LANSA Integrator に付属の HTTP サービスは、標準 Java SSL 拡張経由で &<acronym title="Secure Socket Layer- A protocol that allows communication between a Web browser and a server to be encrypted for privacy"&>SSL&</acronym&> を使用して通信できます。
SSL サポート用に IBM i を構成する場合は、IBM インフォメーション・センターのサイトを使用してください。
JSM manager.properties ファイルの例を以下に示します。
#
- Java Service Manager configuration
# - javax.net.ssl.keyStore=
- javax.net.ssl.keyStoreType=jks
- javax.net.ssl.keyStorePassword=
- javax.net.ssl.trustStore=
- javax.net.ssl.trustStoreType=jks
- javax.net.ssl.trustStorePassword=
- javax.net.debug=all
- javax.net.debug=ssl,handshake,data,trustmanager
#
Java 信頼/キー・ストア
デフォルトでは、IBM Technology for Java JDKは、cacerts信頼/キー・ストア・ファイルを使用します。
cacertsファイルの場所は、JDKのバージョンとビット・モードによって異なります。
cacertsファイルは、以下のいずれかのディレクトリにあります。
/QOpenSys/QIBM/ProdData/JavaVM/jdk50/32bit/jre/lib/security
/QOpenSys/QIBM/ProdData/JavaVM/jdk50/64bit/jre/lib/security
/QOpenSys/QIBM/ProdData/JavaVM/jdk60/32bit/jre/lib/security
/QOpenSys/QIBM/ProdData/JavaVM/jdk60/64bit/jre/lib/security
/QOpenSys/QIBM/ProdData/JavaVM/jdk70/32bit/jre/lib/security
/QOpenSys/QIBM/ProdData/JavaVM/jdk70/64bit/jre/lib/security
/QOpenSys/QIBM/ProdData/JavaVM/jdk80/32bit/jre/lib/security
/QOpenSys/QIBM/ProdData/JavaVM/jdk80/64bit/jre/lib/security
クライアントで側の SSL クライアント認証
サーバーがクライアント認証用に構成されている場合、クライアントがサーバーの認証を受けると、サーバーはクライアントの証明書を要求します。
クライアントは署名付き証明書を送信し、サーバーはクライアントの証明書と既存の証明書のライブラリを比較しながらクライアントと同じ認証プロセスを行います。
信頼マネージャーがDigital Certificate Managerの場合、認証用にサーバーに送信される証明書はos400.certificateLabelプロパティで指定されます。
一部のサーバーでは、証明書に拡張されたキー属性「client authentication」 (1.3.6.1.5.5.7.3.2)を含める必要があります。
クライアント証明書に署名したCA証明書は、信頼できる証明書のサーバー・リストに含まれるように他のパーティーに送信する必要があります。
サーバー側の SSL クライアント認証
サーバーがクライアント認証用に構成されている場合、クライアントがサーバーの認証を受けると、サーバーはクライアントの証明書を要求します。
<VirtualHost 10.2.0.170>
Options None
ServerName SERVER1
SSLEngine On
SSLClientAuth required
SSLAppName QIBM_HTTP_SERVER_JSMSSL
</VirtualHost>
クライアントは署名付き証明書を送信し、サーバーはクライアントの証明書と既存の証明書のライブラリを比較しながらクライアントと同じ認証プロセスを行います。