test

N1 Grid Service Provisioning System 5.0 インストールガイド

Master Server のブラウザインタフェースからの HTTPS 接続の有効化

デフォルトでは、N1 Grid Service Provisioning System 5.0 ブラウザインタフェースは SSL を使用しません。要求は、HTTPS ではなく HTTP 経由で行われます。HTTPS を有効にするには SSL 証明書を使用します。この場合、認証局が署名した証明書を使用するか、自己署名付き証明書を使用するか選択できます。

認証局によって署名された証明書は、ブラウザによって信頼されます。このため、ブラウザはユーザーが Master Server 上のブラウザインタフェースに接続する場合に警告を出しません。一般に、認証局は証明書の署名に費用を請求します。

自己署名付き証明書は認証局による署名を待つ必要がないため、生成後すぐに使用できます。しかし、ブラウザは自己署名付き証明書を信頼しないため、ユーザーが Master Server のブラウザインタフェースに接続するたびに警告を表示します。

ProcedureSSL 証明書の生成方法

ブラウザインタフェースに SSL を使用させるには、初めに SSL 証明書を生成する必要があります。

手順

  1. JRE をインストールしたディレクトリに移動します。


    % cd JAVA-HOME/bin

    JAVA-HOME には、JRE をインストールしたディレクトリを指定します。N1 Grid Service Provisioning System 5.0 と共に JRE をインストールした場合は、JRE は N1SPS5.0-home/common/jre/bin ディレクトリに入っています。

  2. 証明書を生成します。


    % keytool -genkey -alias tomcat -keyalg RSA -keystore /keystore-location
-storepass password

    /keystore-location には、生成したキーを格納する場所とファイル名を指定します。

    password には、任意のパスワードを指定します。

  3. メッセージに従って操作を進めます。

    組織名には区切り文字を入れないようにしていください。区切り文字が入ると、Java Certificate ツールは要求の生成に失敗します。共通名 (Common Name: CN) は、ドメイン名、URI のコンポーネントを含む完全修飾のホスト名である必要があります。

ProcedureSSL 証明書の署名を取得する

認証局によって署名された証明書を使用する場合は、この手順に従って証明書を認証局に提出し、署名を依頼してください。

手順

  1. 証明書要求を生成します。


    % keytool -certreq -v -alias tomcat -keyalg RSA -keystore /keystore-location

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。

  2. この証明書要求を認証局へ送信します。

    認証局の指示に従います。認証局から、証明書応答 (Certificate Reply) が返送されてきます。

  3. 証明書応答をファイルに保存します。

  4. 証明書応答を確認します。


    % keytool -printcert -file certificate-reply-file

    certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。

  5. 証明書応答ファイルを keystore ファイルにインポートします。


    % keytool -v -import -trustcacerts -keystore /keystore-location
-file certificate-reply-file -alias tomcat

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。

  6. インポートされた証明書応答を確認します。


    % keytool -v -list -keystore /keystore-location

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。

ProcedureMaster Server のブラウザインタフェースからの HTTPS 接続を有効にする

SSL 証明書を生成し、(必要に応じて) 認証局から署名を受け取ったあと、SSL を使用するように Master Server のブラウザインタフェースを構成します。

手順

  1. Master Server を停止します。


    % N1SPS5.0-MasterServer-home/server/bin/cr_server stop

    N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

  2. キーストアファイルを Master Server のホームディレクトリに移動させます。


    %mv /keystore-location N1SPS5.0-MasterServer-home/server/tomcat/

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。N1SPS5.0-MasterServer-home は、Master Server をインストールしたディレクトリです。

  3. キーストアファイルを移したディレクトリに移動します。


    % cd N1SPS5.0-MasterServer-home/server/tomcat/

    N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

  4. キーストアファイルに所有権とアクセス権を設定します。


    %chmod 600 /keystore-location


    %chown MS_user:MS_group /keystore-location

    MS_user には、Master Server アプリケーションを所有するユーザーを指定します。MS_group には、Master Server アプリケーションを所有するグループを指定します。/keystore-location には、生成したキーを格納したファイル名を指定します。

  5. Tomcat 構成ファイルが置かれているディレクトリに移動します。


    % cd /N1SPS5.0-MasterServer-home/server/tomcat/conf

    N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

  6. server.xml ファイルで、次の行のコメントを解除します。XML コメントは、<!-- から --> までです。


    <Connector className="org.apache.catalina.connector.http.HttpConnector"
           port="8443" minProcessors="5" maxProcessors="75"
           enableLookups="true"
           acceptCount="10" debug="0" scheme="https" secure="true">
  <Factory className="org.apache.catalina.net.SSLServerSocketFactory"
           clientAuth="false" protocol="TLS"/>
</Connector>

  7. Factory 要素を次のように編集します。


    <Factory className="org.apache.catalina.net.SSLServerSocketFactory"
           clientAuth="false" protocol="TLS" 
	keystoreFile="N1SPS5.0-MasterServer-home/server/tomcat/keystore-file" keystorePass="password"/>

    N1SPS5.0-MasterServer-home/server/tomcat/keystore-file には、keystore ファイルのパスを指定します。password には、本来のキーストアを作成した際に使用したパスワードを指定します。

SSL を使用して Master Server のブラウザインタフェースに接続するようにユーザーに要求する

SSL を使用するように Master Server のブラウザインタフェースを構成したあとで、ユーザーが N1 Grid Service Provisioning System Master Server 上の▼に接続する際に SSL を使用するように構成できます。▼(connect to the のあとの文字が不明)

ProcedureSSL を使用して Master Server ブラウザインタフェースに接続するようにユーザーに要求する

手順

  1. Tomcat の web.xml ファイルをセキュリティ保護された web.xml ファイルに置き換えます。


    % cd /N1SPS5.0-MasterServer-home/server/webapp/WEB-INF


    % cp web.xml.secure web.xml

    N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

  2. Master Server を再起動します。


    % N1SPS5.0-MasterServer-home/server/bin/cr_server start

    N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。


    
    		

    

    

    3. 




Procedure元の構成に戻す


手順
    


  1. 

    Master Server を停止します。
    


    

    


    

    % N1SPS5.0-MasterServer-home/server/bin/cr_server stop

    
    		

    

    

    
N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。
    


    2. 


  2. 

    元の構成に戻すには、セキュリティ保護された web.xml ファイルをデフォルトの web.xml ファイルに置き換えます。
    


    

    


    

    % cd /N1SPS5.0-MasterServer-home/server/webapp/WEB-INF

    
    		

    

    

    

    


    

    % cp web.xml.default web.xml

    
    		

    

    

    
N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。
    


    3. 


  3. 

    Master Server を再起動します。
    


    

    


    

    % N1SPS5.0-MasterServer-home/server/bin/cr_server start

    
    		

    

    

    
N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。
    


    

    


    

    
    		

    

    

    4.