test

Sun N1 Service Provisioning System 5.1 インストールガイド

第 6 章 HTTPS を使用するための N1 Service Provisioning System 5.1 の構成

N1 Service Provisioning System インストールプログラムによって、マスターサーバーへの接続に HTTP または HTTPS を使用するために ブラウザインタフェース を選択するようにメッセージが表示されます。HTTPS を選択すると、キーストアファイルとキーストアパスワードを入力するようにメッセージが表示されます。キーストアファイルとキーストアパスワードは、2 とおりの方法で指定できます。

インストール中に HTTP を選択すると、 HTTPS を使用するようにマスターサーバーを手動で構成できます。手順については、「インストール中に HTTP を選択したあとで行う HTTPS の構成」を参照してください。

HTTPS を使用するようにプロビジョニングシステムを構成した場合でも、プロビジョニングシステムを手動で再構成して HTTP を使用できます。手順については、「HTTP への復帰」を参照してください。

HTTPS 接続のキーストアファイルとキーストアパスワードの作成

HTTPS では SSL 証明書が必要です。SSL 証明書を生成すると、ブラウザインタフェース がマスターサーバーに接続するときに使用されるキーストアファイルとキーストアパスワードが作成されます。

認証局に証明書に署名してもらうか、自己署名付き証明書を使用するかを選択できます。認証局によって署名された証明書は、ブラウザによって信頼されます。このため、ブラウザはユーザーがマスターサーバー上のブラウザインタフェースに接続する場合に警告を出しません。一般に、認証局は証明書の署名に費用を請求します。自己署名付き証明書は認証局による署名を待つ必要がないため、生成後すぐに使用できます。ただし、ブラウザは自己署名付き証明書を信用しないため、ユーザーがマスターサーバーに接続するたびに警告を発します。

ProcedureSSL 証明書の生成方法

ブラウザインタフェースに SSL を使用させるには、初めに SSL 証明書を生成する必要があります。キーストアファイルとキーストアパスワードは、SSL 証明書を生成中に作成します。

始める前に

キーストアファイルとキーストアパスワードを作成するには、keytool を使用します。keytool は、JRE で使用可能なセキュリティーツールです。keytool がインストールされていない場合は、HTTPS を使用するようにプロビジョニングシステムを構成する前に keytool をインストールする必要があります。JRE は、N1 Service Provisioning System によってインストールされます。プロビジョニングシステムをインストールしたあとに HTTPS を構成する場合、keytool はシステム上にインストールされています。

手順

  1. JRE をインストールしたディレクトリに移動します。


    % cd JAVA-HOME/bin

    JAVA-HOME には、JRE をインストールしたディレクトリを指定します。N1 Service Provisioning System 5.1 でインストールした場合、JRE は N1SPS5.1-home/common/jre/bin ディレクトリにインストールされます。

  2. 証明書を生成します。


    % keytool -genkey -alias tomcat -keyalg RSA -keystore /keystore-location
-storepass password

    /keystore-location に生成されたキーを格納するキーストアファイルの場所とファイル名を設定します。

    password にキーストアパスワードとして使用する何らかのパスワードを設定します。

  3. メッセージに従って操作を進めます。

    組織名には区切り文字を入れないようにしていください。区切り文字が入ると、Java Certificate ツールは要求の生成に失敗します。共通名 (Common Name: CN) は、ドメイン名、URI のコンポーネントを含む完全修飾のホスト名である必要があります。

ProcedureSSL 証明書の署名を取得する

認証局によって署名された証明書を使用する場合は、この手順に従って証明書を認証局に提出し、署名を依頼してください。

手順

  1. 証明書要求を生成します。


    % keytool -certreq -v -alias tomcat -keyalg RSA -keystore /keystore-location

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。

  2. この証明書要求を認証局へ送信します。

    認証局の指示に従います。認証局から、証明書応答 (Certificate Reply) が返送されてきます。

  3. 証明書応答をファイルに保存します。

  4. 証明書応答を確認します。


    % keytool -printcert -file certificate-reply-file

    certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。

  5. 証明書応答ファイルを keystore ファイルにインポートします。


    % keytool -v -import -trustcacerts -keystore /keystore-location
-file certificate-reply-file -alias tomcat

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。

  6. インポートされた証明書応答を確認します。


    % keytool -v -list -keystore /keystore-location

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。

インストール後の HTTPS の構成

N1 Service Provisioning System インストールプログラムによって、マスターサーバーの Web インタフェースに接続するために ブラウザインタフェース が使用する HTTPS または HTTP を選択するようメッセージが表示されます。インストール中に HTTPS を選択したもののキーストアファイルとキーストアパスワードをインストール中に指定しなかった場合は、キーストアファイルをプロビジョニングシステムのキーストアディレクトリに手動でコピーする必要があります。また、符号化されたキーストアパスワードを作成して、server.xml ファイル内で、そのパスワードを構成することも必要です。

Procedureキーストアファイルをコピーする

キーストアファイルを N1SPS5.1-MasterServer-home/server/tomcat/keystore ファイルにコピーするには、次の操作を行います。

始める前に

SSL 証明書を生成し、必要に応じて認証局から署名を取得します。手順については、「HTTPS 接続のキーストアファイルとキーストアパスワードの作成」を参照してください。

手順

  1. キーストアファイルをマスターサーバーのホームディレクトリに移動させます。


    %mv /keystore-location N1SPS5.1-MasterServer-home/server/tomcat/keystore

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。N1SPS5.1-MasterServer-home は、マスターサーバーをインストールしたディレクトリです。

  2. キーストアファイルを移したディレクトリに移動します。


    % cd N1SPS5.1-MasterServer-home/server/tomcat/

    N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。

  3. キーストアファイルに所有権とアクセス権を設定します。


    %chmod 600 keystore


    %chown MS_user:MS_group keystore

    MS_user には、マスターサーバーアプリケーションを所有するユーザーを指定します。MS_group には、マスターサーバーアプリケーションを所有するグループを指定します。

Procedure符号化されたキーストアパスワードを作成および構成する

SSL 証明書を生成するときには、キーストアファイルを作成し、キーストアパスワードを指定します。プロビジョニングシステムは、このキーストアパスワードを server.xml ファイルに格納する必要があります。セキュリティー向上のため、プロビジョニングシステムでは、パスワードの符号化バージョンを server.xml ファイルに格納する必要があります。

手順

  1. crkeys コマンドを含むマスターサーバー上のディレクトリに移動します。


    %cd N1SPS5.1-MasterServer-home/server/bin

    N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。

  2. キーストアファイルを作成したときに作成したパスワードの符号化バージョンを作成します。


    % crkeys -epass -password password

    password は、SSL 証明書の生成中に作成したパスワードです。

    crkeys ツールは、符号化されたパスワードを画面に出力します。符号化されたパスワードを控えてください。

  3. Tomcat 構成ファイルが置かれているディレクトリに移動します。


    % cd /N1SPS5.1-MasterServer-home/server/tomcat/conf

    N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。

  4. Factory 要素を編集して、符号化されたパスワードを含めます。


    <Factory className="com.raplix.rolloutexpress.ui.web.EncodedPasswordSSLFactory"
           clientAuth="false" protocol="TLS" 
	keystoreFile="/opt/SUNWn1sps/N1_Service_Provisioning_System_5.1/server/tomcat/keystore"
 keystorePass="ADD_ENCODED_PASSWORD_HERE"/>

    ADD_ENCODED_PASSWORD_HERE を符号化されたパスワードに変更します。

インストール中に HTTP を選択したあとで行う HTTPS の構成

N1 Service Provisioning System インストールプログラムによって、マスターサーバーに接続するために ブラウザインタフェース が使用する HTTPS または HTTP を選択するようメッセージが表示されます。インストール中に HTTP を選択した場合でも、N1 Service Provisioning System を手動で再構成して HTTPS を使用できます。

Procedureマスターサーバーブラウザインタフェースからマスターサーバーの Web インタフェースまでの HTTPS 接続を使用可能にする

次の操作を行い、マスターサーバーへの接続に HTTP ではなく HTTPS を使用するようにブラウザインタフェースを構成します。

始める前に

SSL 証明書を生成し、必要に応じて認証局から署名を取得します。手順については、「HTTPS 接続のキーストアファイルとキーストアパスワードの作成」を参照してください。

手順

  1. マスターサーバーを停止します。


    % N1SPS5.1-MasterServer-home/server/bin/cr_server stop

    N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。

  2. キーストアファイルをマスターサーバーのホームディレクトリに移動させます。


    %mv /keystore-location N1SPS5.1-MasterServer-home/server/tomcat/keystore

    /keystore-location には、生成したキーを格納した場所とファイル名を指定します。N1SPS5.1-MasterServer-home は、マスターサーバーをインストールしたディレクトリです。

  3. キーストアファイルを移したディレクトリに移動します。


    % cd N1SPS5.1-MasterServer-home/server/tomcat/

    N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。

  4. キーストアファイルに所有権とアクセス権を設定します。


    %chmod 600 keystore


    %chown MS_user:MS_group keystore

    MS_user には、マスターサーバーアプリケーションを所有するユーザーを指定します。MS_group には、マスターサーバーアプリケーションを所有するグループを指定します。/keystore-location には、生成したキーを格納したファイル名を指定します。

  5. Tomcat 構成ファイルが置かれているディレクトリに移動します。


    % cd /N1SPS5.1-MasterServer-home/server/tomcat/conf

    N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。

  6. server.xml ファイルで、次の行のコメントを解除します。XML comments begin with <!-- and end with -->. 


    <Connector className="org.apache.catalina.connector.http.HttpConnector"
               port="8443" minProcessors="5" maxProcessors="75"
               enableLookups="true"
               acceptCount="10" debug="0" scheme="https" secure="true">
          <Factory className="com.raplix.rolloutexpress.ui.web.EncodedPasswordSSLFactory"
               clientAuth="false" protocol="TLS"/>
      </Connector>

  7. Factory 要素を次のように編集します。


    <Factory className="com.raplix.rolloutexpress.ui.web.EncodedPasswordSSLFactory"
           clientAuth="false" protocol="TLS" 
	keystoreFile="N1SPS5.1-MasterServer-home/server/tomcat/keystore"
 keystorePass="password"/>

    N1SPS5.1-MasterServer-home は、マスターサーバーをインストールしたディレクトリです。password は、符号化したパスワードです。

ProcedureSSL を使用してマスターサーバーブラウザインタフェースに接続するようにユーザーに要求する

SSL を使用するようにマスターサーバーのブラウザインタフェースを構成したあとで、ユーザーが N1 Service Provisioning System マスターサーバー上のブラウザインタフェースに接続する際に SSL を使用するように構成できます。

手順

  1. Tomcat の web.xml ファイルをセキュリティー保護された web.xml ファイルに置き換えます。


    % cd /N1SPS5.1-MasterServer-home/server/webapp/WEB-INF


    % cp web.xml.secure web.xml

    N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。

  2. マスターサーバーを再起動します。


    % N1SPS5.1-MasterServer-home/server/bin/cr_server start

    N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。


    
    		

    

    

    3. 



HTTP への復帰


HTTPS を使用するためにプロビジョニングシステムを構成した場合でも、プロビジョニングシステムを手動で再構成して HTTP を使用できます。



ProcedureHTTP に戻る


手順
    


  1. 

    マスターサーバーを停止します。
    


    

    


    

    % N1SPS5.1-MasterServer-home/server/bin/cr_server stop

    
    		

    

    

    
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
    


    2. 


  2. 

    元の構成に戻るには、セキュリティー保護された  web.xml ファイルをデフォルトの web.xml ファイルに置き換えます。
    


    

    


    

    % cd /N1SPS5.1-MasterServer-home/server/webapp/WEB-INF

    
    		

    

    

    

    


    

    % cp web.xml.default web.xml

    
    		

    

    

    
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
    


    3. 


  3. 

    マスターサーバーを再起動します。
    


    

    


    

    % N1SPS5.1-MasterServer-home/server/bin/cr_server start

    
    		

    

    

    
N1SPS5.1-MasterServer-home には、マスターサーバーをインストールしたディレクトリを指定します。
    


    

    


    

    
    		

    

    

    4.