N1 Service Provisioning System インストールプログラムによって、マスターサーバーへの接続に HTTP または HTTPS を使用するために ブラウザインタフェース を選択するようにメッセージが表示されます。HTTPS を選択すると、キーストアファイルとキーストアパスワードを入力するようにメッセージが表示されます。キーストアファイルとキーストアパスワードは、2 とおりの方法で指定できます。
インストールの前にキーストアファイルとキーストアパスワードを作成する方法: プロビジョニングシステムをインストールする前にキーストアファイルとキーストアパスワードを作成する場合は、インストール中にキーストアファイルとキーストアパスワードの情報を指定できます。プロビジョニングシステムをインストールする前にキーストアファイルとキーストアパスワードを作成する方法については、「HTTPS 接続のキーストアファイルとキーストアパスワードの作成」を参照してください。
キーストアパスワードが有効かどうかは確認されません。無効なパスワードを入力した場合、マスターサーバーを起動できないことがあります。
インストール後にキーストアファイルとキーストアパスワードを作成する方法: インストールする前にキーストアファイルとキーストアパスワードを作成しない場合は、インストール中にキーストアファイルとキーストアパスワードの情報を指定できません。この結果、インストールスクリプトによって、空のキーストアファイルが N1SPS5.1-home/server/tomcat ディレクトリに作成されます。空のキーストアファイルとキーストアパスワード情報は、マスターサーバーを起動する前に手動で置き換える必要があります。手順については、「インストール後の HTTPS の構成」を参照してください。
インストール中に HTTP を選択すると、 HTTPS を使用するようにマスターサーバーを手動で構成できます。手順については、「インストール中に HTTP を選択したあとで行う HTTPS の構成」を参照してください。
HTTPS を使用するようにプロビジョニングシステムを構成した場合でも、プロビジョニングシステムを手動で再構成して HTTP を使用できます。手順については、「HTTP への復帰」を参照してください。
HTTPS では SSL 証明書が必要です。SSL 証明書を生成すると、ブラウザインタフェース がマスターサーバーに接続するときに使用されるキーストアファイルとキーストアパスワードが作成されます。
認証局に証明書に署名してもらうか、自己署名付き証明書を使用するかを選択できます。認証局によって署名された証明書は、ブラウザによって信頼されます。このため、ブラウザはユーザーがマスターサーバー上のブラウザインタフェースに接続する場合に警告を出しません。一般に、認証局は証明書の署名に費用を請求します。自己署名付き証明書は認証局による署名を待つ必要がないため、生成後すぐに使用できます。ただし、ブラウザは自己署名付き証明書を信用しないため、ユーザーがマスターサーバーに接続するたびに警告を発します。
ブラウザインタフェースに SSL を使用させるには、初めに SSL 証明書を生成する必要があります。キーストアファイルとキーストアパスワードは、SSL 証明書を生成中に作成します。
キーストアファイルとキーストアパスワードを作成するには、keytool を使用します。keytool は、JRE で使用可能なセキュリティーツールです。keytool がインストールされていない場合は、HTTPS を使用するようにプロビジョニングシステムを構成する前に keytool をインストールする必要があります。JRE は、N1 Service Provisioning System によってインストールされます。プロビジョニングシステムをインストールしたあとに HTTPS を構成する場合、keytool はシステム上にインストールされています。
JRE をインストールしたディレクトリに移動します。
% cd JAVA-HOME/bin |
JAVA-HOME には、JRE をインストールしたディレクトリを指定します。N1 Service Provisioning System 5.1 でインストールした場合、JRE は N1SPS5.1-home/common/jre/bin ディレクトリにインストールされます。
証明書を生成します。
% keytool -genkey -alias tomcat -keyalg RSA -keystore /keystore-location -storepass password |
/keystore-location に生成されたキーを格納するキーストアファイルの場所とファイル名を設定します。
password にキーストアパスワードとして使用する何らかのパスワードを設定します。
メッセージに従って操作を進めます。
組織名には区切り文字を入れないようにしていください。区切り文字が入ると、Java Certificate ツールは要求の生成に失敗します。共通名 (Common Name: CN) は、ドメイン名、URI のコンポーネントを含む完全修飾のホスト名である必要があります。
認証局によって署名された証明書を使用する場合は、この手順に従って証明書を認証局に提出し、署名を依頼してください。
証明書要求を生成します。
% keytool -certreq -v -alias tomcat -keyalg RSA -keystore /keystore-location |
/keystore-location には、生成したキーを格納した場所とファイル名を指定します。
この証明書要求を認証局へ送信します。
認証局の指示に従います。認証局から、証明書応答 (Certificate Reply) が返送されてきます。
証明書応答をファイルに保存します。
証明書応答を確認します。
% keytool -printcert -file certificate-reply-file |
certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。
証明書応答ファイルを keystore ファイルにインポートします。
% keytool -v -import -trustcacerts -keystore /keystore-location -file certificate-reply-file -alias tomcat |
/keystore-location には、生成したキーを格納した場所とファイル名を指定します。certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。
インポートされた証明書応答を確認します。
% keytool -v -list -keystore /keystore-location |
/keystore-location には、生成したキーを格納した場所とファイル名を指定します。
N1 Service Provisioning System インストールプログラムによって、マスターサーバーの Web インタフェースに接続するために ブラウザインタフェース が使用する HTTPS または HTTP を選択するようメッセージが表示されます。インストール中に HTTPS を選択したもののキーストアファイルとキーストアパスワードをインストール中に指定しなかった場合は、キーストアファイルをプロビジョニングシステムのキーストアディレクトリに手動でコピーする必要があります。また、符号化されたキーストアパスワードを作成して、server.xml ファイル内で、そのパスワードを構成することも必要です。
キーストアファイルを N1SPS5.1-MasterServer-home/server/tomcat/keystore ファイルにコピーするには、次の操作を行います。
SSL 証明書を生成し、必要に応じて認証局から署名を取得します。手順については、「HTTPS 接続のキーストアファイルとキーストアパスワードの作成」を参照してください。
キーストアファイルをマスターサーバーのホームディレクトリに移動させます。
%mv /keystore-location N1SPS5.1-MasterServer-home/server/tomcat/keystore |
/keystore-location には、生成したキーを格納した場所とファイル名を指定します。N1SPS5.1-MasterServer-home は、マスターサーバーをインストールしたディレクトリです。
キーストアファイルを移したディレクトリに移動します。
% cd N1SPS5.1-MasterServer-home/server/tomcat/ |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
キーストアファイルに所有権とアクセス権を設定します。
%chmod 600 keystore |
%chown MS_user:MS_group keystore |
MS_user には、マスターサーバーアプリケーションを所有するユーザーを指定します。MS_group には、マスターサーバーアプリケーションを所有するグループを指定します。
SSL 証明書を生成するときには、キーストアファイルを作成し、キーストアパスワードを指定します。プロビジョニングシステムは、このキーストアパスワードを server.xml ファイルに格納する必要があります。セキュリティー向上のため、プロビジョニングシステムでは、パスワードの符号化バージョンを server.xml ファイルに格納する必要があります。
crkeys コマンドを含むマスターサーバー上のディレクトリに移動します。
%cd N1SPS5.1-MasterServer-home/server/bin |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
キーストアファイルを作成したときに作成したパスワードの符号化バージョンを作成します。
% crkeys -epass -password password |
password は、SSL 証明書の生成中に作成したパスワードです。
crkeys ツールは、符号化されたパスワードを画面に出力します。符号化されたパスワードを控えてください。
Tomcat 構成ファイルが置かれているディレクトリに移動します。
% cd /N1SPS5.1-MasterServer-home/server/tomcat/conf |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
Factory 要素を編集して、符号化されたパスワードを含めます。
<Factory className="com.raplix.rolloutexpress.ui.web.EncodedPasswordSSLFactory" clientAuth="false" protocol="TLS" keystoreFile="/opt/SUNWn1sps/N1_Service_Provisioning_System_5.1/server/tomcat/keystore" keystorePass="ADD_ENCODED_PASSWORD_HERE"/> |
ADD_ENCODED_PASSWORD_HERE を符号化されたパスワードに変更します。
N1 Service Provisioning System インストールプログラムによって、マスターサーバーに接続するために ブラウザインタフェース が使用する HTTPS または HTTP を選択するようメッセージが表示されます。インストール中に HTTP を選択した場合でも、N1 Service Provisioning System を手動で再構成して HTTPS を使用できます。
次の操作を行い、マスターサーバーへの接続に HTTP ではなく HTTPS を使用するようにブラウザインタフェースを構成します。
SSL 証明書を生成し、必要に応じて認証局から署名を取得します。手順については、「HTTPS 接続のキーストアファイルとキーストアパスワードの作成」を参照してください。
マスターサーバーを停止します。
% N1SPS5.1-MasterServer-home/server/bin/cr_server stop |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
キーストアファイルをマスターサーバーのホームディレクトリに移動させます。
%mv /keystore-location N1SPS5.1-MasterServer-home/server/tomcat/keystore |
/keystore-location には、生成したキーを格納した場所とファイル名を指定します。N1SPS5.1-MasterServer-home は、マスターサーバーをインストールしたディレクトリです。
キーストアファイルを移したディレクトリに移動します。
% cd N1SPS5.1-MasterServer-home/server/tomcat/ |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
キーストアファイルに所有権とアクセス権を設定します。
%chmod 600 keystore |
%chown MS_user:MS_group keystore |
MS_user には、マスターサーバーアプリケーションを所有するユーザーを指定します。MS_group には、マスターサーバーアプリケーションを所有するグループを指定します。/keystore-location には、生成したキーを格納したファイル名を指定します。
Tomcat 構成ファイルが置かれているディレクトリに移動します。
% cd /N1SPS5.1-MasterServer-home/server/tomcat/conf |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
server.xml ファイルで、次の行のコメントを解除します。XML comments begin with <!-- and end with -->.
<Connector className="org.apache.catalina.connector.http.HttpConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="10" debug="0" scheme="https" secure="true"> <Factory className="com.raplix.rolloutexpress.ui.web.EncodedPasswordSSLFactory" clientAuth="false" protocol="TLS"/> </Connector> |
Factory 要素を次のように編集します。
<Factory className="com.raplix.rolloutexpress.ui.web.EncodedPasswordSSLFactory" clientAuth="false" protocol="TLS" keystoreFile="N1SPS5.1-MasterServer-home/server/tomcat/keystore" keystorePass="password"/> |
N1SPS5.1-MasterServer-home は、マスターサーバーをインストールしたディレクトリです。password は、符号化したパスワードです。
SSL を使用するようにマスターサーバーのブラウザインタフェースを構成したあとで、ユーザーが N1 Service Provisioning System マスターサーバー上のブラウザインタフェースに接続する際に SSL を使用するように構成できます。
Tomcat の web.xml ファイルをセキュリティー保護された web.xml ファイルに置き換えます。
% cd /N1SPS5.1-MasterServer-home/server/webapp/WEB-INF |
% cp web.xml.secure web.xml |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
マスターサーバーを再起動します。
% N1SPS5.1-MasterServer-home/server/bin/cr_server start |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
|
HTTPS を使用するためにプロビジョニングシステムを構成した場合でも、プロビジョニングシステムを手動で再構成して HTTP を使用できます。
マスターサーバーを停止します。
% N1SPS5.1-MasterServer-home/server/bin/cr_server stop |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
元の構成に戻るには、セキュリティー保護された web.xml ファイルをデフォルトの web.xml ファイルに置き換えます。
% cd /N1SPS5.1-MasterServer-home/server/webapp/WEB-INF |
% cp web.xml.default web.xml |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
マスターサーバーを再起動します。
% N1SPS5.1-MasterServer-home/server/bin/cr_server start |
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
|