SSL を使用する Enterprise Manager の構成

Enterprise Manager で SSL を使用できるようにするには、次の節で説明するタスクを実行します。

• 「キーストアおよびトラストストアの作成」

• 「ドメイン証明書のインポート」

• 「Application Server のセキュリティーの有効化」

• 「Enterprise Manager へのログイン」

このトピックの手順では、SSL ポートとしてポート番号 8443 を使用します。「SSL を使用するリポジトリの構成」の手順でも、SSL ポートとしてポート番号 8443 を使用します。リポジトリと Enterprise Manager を同じコンピュータ上に構成している場合は、ポート番号が異なることを確認してください。

キーストアおよびトラストストアの作成

最初のタスクには、Enterprise Manager サーバーがインストールされているコンピュータ上でのキーストアとトラストストアの作成が含まれます。

キーストアとトラストストアの基本情報については、「SSL の概要」を参照してください。

このトピックの例では、パスワードがコマンド行から入力されています。これらのパスワードは省略して、プロンプトが表示されたときに入力するようにできます。

キーストアおよびトラストストアを作成する

1. Enterprise Manager サーバーがインストールされているコンピュータに移動します。

2. Enterprise Manager サーバーが実行中の場合は、Enterprise Manager サーバーをシャットダウンします。

3. パス変数が、Enterprise Manager サーバーで使用される Java^TM Runtime Environment (JRE^TM) ソフトウェアを含むように設定します。次に例を示します。

   set PATH="C:\Program Files\Java\jdk1.6.0_06\jre\bin";%PATH%

4. キーストアおよびトラストストア用のディレクトリを作成します。次に例を示します。

   C:\JavaCAPS6\keystore

5. 作成したディレクトリに移動し、keytool プログラムを使用して新しいキーストア内に証明書を作成します。

   keytool -genkey -alias mykey -keyalg RSA -keypass changeit -keystore keystore.jks -storepass changeit

   ユーザーの氏名 (名前と名字) を入力するように要求されても、ユーザーの氏名は入力しないでください。その代わりに、コンピュータの完全修飾名を入力します。次に例を示します。

   What is your first and last name? [Unknown]: example.company.com What is the name of your organizational unit? [Unknown]: Development What is the name of your organization? [Unknown]: Sun Microsystems What is the name of your City or Locality? [Unknown]: Monrovia What is the name of your State or Province? [Unknown]: California What is the two-letter country code for this unit? [Unknown]: US Is CN=example.company.com, OU=Development, O=Sun Microsystems, L=Monrovia, ST=California, C=US correct? [no]: yes

6. 証明書をファイルにエクスポートします。

   keytool -export -alias mykey -file mykey.cer -keystore keystore.jks -storepass changeit

   指定したファイルに証明書が保存されます。

7. 証明書を新しいトラストストアにインポートします。

   keytool -import -v -trustcacerts -alias mykey -keypass changeit -file mykey.cer -keystore cacerts.jks -storepass changeit

   トラストストアが作成されます。このトラストストアに、インポートされた証明書が含まれます。

ドメイン証明書のインポート

「キーストアおよびトラストストアの作成」の手順を実行したあと、アプリケーションサーバードメインの証明書をトラストストアにインポートします。

さらに、Enterprise Manager サーバー上のファイルを次のように編集します。

• server.xml 設定ファイルの SSL コネクタを有効にします。「コネクタ」は、要求が受信され、応答が返されるエンドポイントを表します。

• startserver バッチファイルにオプションを追加します。

このトピックの例では、パスワードがコマンド行から入力されています。これらのパスワードは省略して、プロンプトが表示されたときに入力するようにできます。

ドメイン証明書をインポートする

1. アプリケーションサーバーがインストールされているコンピュータに移動します。

2. JavaCAPS-install-dir/appserver/domains/domain-name/config ディレクトリに移動します。

3. ドメイン証明書をファイルにエクスポートします。

   keytool -export -alias s1as -file ascert.cer -keystore keystore.jks -storepass changeit

   指定したファイルに証明書が保存されます。

4. このファイルを、「キーストアおよびトラストストアの作成」で作成したディレクトリにコピーします。

5. ドメイン証明書を、「キーストアおよびトラストストアの作成」で作成したトラストストアにインポートします。

   keytool -import -v -trustcacerts -alias s1as -keypass changeit -file ascert.cer -keystore cacerts.jks -storepass changeit

   証明書がトラストストアに追加されます。

6. テキストエディタを使用して、JavaCAPS-install-dir/emanager/server/conf ディレクトリの server.xml ファイルを開きます。

7. <サービス> 要素内にある、最初の <Connector> 要素をコメントにします。

8. 2 つ目の <Connector> 要素をコメント解除します。keystoreFile 属性と keystorePass 属性を追加します。

   keystoreFile 属性の値を、「キーストアおよびトラストストアの作成」で作成したキーストアの完全修飾名に設定します。keystorePass 属性の値を対応するパスワードに設定します。

   <Connector port="8443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" keystoreFile="C:\JavaCAPS6\keystore\keystore.jks" keystorePass="changeit" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" />

9. server.xml ファイルを保存します。

10. テキストエディタを使用して、JavaCAPS-install-dir/emanager ディレクトリの startserver バッチファイルを開きます。

11. javax.net.ssl.trustStore オプションを追加します。値は、「キーストアおよびトラストストアの作成」で作成したトラストストアの完全修飾名に設定します。

    set JAVA_OPTS=-Xmx512m -Djavax.net.ssl.trustStore=C:\JavaCAPS\keystore\cacerts.jks

12. startserver バッチファイルを保存します。

Application Server のセキュリティーの有効化

最後の構成タスクでは、Sun Java^TM System Application Server のデフォルト HTTP リスナーの 1 つでセキュリティーを有効にします。このリスナーを admin-listener といいます。

Application Server のセキュリティーを有効にする

1. 管理コンソールにログインします。

2. 左区画で「構成」ノード、「HTTP サービス」ノード、「HTTP リスナー」ノードの順に展開します。

3. 左区画で「admin-listener」ノードを選択します。

4. 「SSL」タブをクリックします。

5. 「ニックネームの認証」フィールドに s1as と入力します。

6. 「保存」をクリックします。

7. 「HTTP リスナーの編集」タブをクリックします。

8. 「セキュリティー」ラベルの右の「有効化」チェックボックスを選択します。

9. 「保存」をクリックします。

10. アプリケーションサーバーを停止して、再起動します。

Enterprise Manager へのログイン

SSL を使用するように Enterprise Manager を構成すると、ログインに使用する URL のスキーマとポート番号が変わります。

Enterprise Manager のユーザー名とパスワードの詳細については、『Java CAPS ユーザーの管理』を参照してください。

Enterprise Manager にログインする

1. Enterprise Manager サーバーを起動します。

2. サポートされるブラウザで、次の URL を入力します。

   https://hostname:portnumber

   スキーマは、https にしてください。ポート番号は、server.xml ファイルの <Connector> 要素で使用されている値にしてください。次に例を示します。

   https://example.company.com:8443/

   Enterprise Manager Security Gateway 画面が表示されます。

3. 「ユーザー ID」フィールドに、Enterprise Manager のユーザー名を入力します。

4. 「パスワード」フィールドに、対応するパスワードを入力します。

5. 「ログイン」をクリックします。

   Enterprise Manager が表示されます。