SSL を使用する Sun JMS IQ Manager の構成

Sun JMS IQ Manager で自己署名付きサーバー証明書を利用できます。

認証モードは、Authenticate または TrustAll に設定できます。

• 認証モードが Authenticate の場合、クライアントは、メッセージサーバーが送信するサーバー証明書の認証を行います。クライアントは、クライアント側のトラストストアを使用する必要があります。

• 認証モードが TrustAll の場合、クライアントは、接続先のメッセージサーバーを常に信頼します。クライアントで、クライアント側のトラストストアを使用する必要はありません。

デフォルトのモードは、TrustAll です。

Sun JMS IQ Manager の自己署名付きサーバー証明書は、独自のサーバー証明書で置き換えることができます。

メッセージサーバー URL の設定

環境プロパティーを編集して、Sun JMS IQ Manager の SSL を設定できます。

メッセージサーバー URL を設定する

1. NetBeans IDE の「サービス」ウィンドウで、JMS IQ Manager が存在する CAPS 環境を展開します。

2. 「JMS IQ Manager」を右クリックして、「プロパティー」を選択します。

   「プロパティー」ダイアログボックスが表示されます。

   

3. Sun JMS IQ Manager URL プロパティーが、stcmss で始まり、JMS IQ Manager の SSL ポート番号を含むことを確認します。次に例を示します。

   stcmss://localhost:18008

4. メッセージサーバーが送信するサーバー証明書をクライアントで認証する場合は、Sun JMS IQ Manager URL プロパティーに com.stc.jms.ssl.authenticationmode=Authenticate という文字列を追加します。次に例を示します。

   stcmss://localhost:18008?com.stc.jms.ssl.authenticationmode=Authenticate

5. 接続先のメッセージサーバーをクライアントで常に信頼する場合は、Sun JMS IQ Manager URL プロパティーに com.stc.jms.ssl.authenticationmode=TrustAll という文字列を追加します。次に例を示します。

   stcmss://localhost:18008?com.stc.jms.ssl.authenticationmode=TrustAll

6. 「OK」をクリックします。

外部 JMS クライアント

デフォルトでは、Sun Java^TM System Application Server 内部に配備される JMS クライアントは、デフォルトのキーストアとトラストストアを使用します。

外部 JMS クライアントでは、接続ファクトリに次のプロパティーを設定してください。

• com.stc.jms.ssl.authenticationmode

• javax.net.ssl.trustStore

接続ファクトリをインスタンス化してプロパティーを設定する方法については、『Enterprise Service Bus API Kit for JMS IQ Manager (Java Edition)』を参照してください。

自己署名付きサーバー証明書の変更

Sun JMS IQ Manager の自己署名付きサーバー証明書は、独自のサーバー証明書で置き換えることができます。

ここで説明する手順は、次の条件を前提としています。

• PEM 形式のサーバー証明書があり、ファイル名は mycacert.pem です。所有者および発行者の共通名は、mycertuserid です。パスワードは mycertpassword です。

• PEM 形式の非公開鍵があり、ファイル名は mycakey.pem です。

自己署名付きサーバー証明書を変更する

1. サーバー証明書を Sun Java System Application Server のデフォルトのトラストストアにインポートします。トラストストアは、JavaCAPS-install-dir/appserver/domains/domain-name/config ディレクトリにあります。

   keytool -import -alias stcmscert -file mycacert.pem -keystore cacerts.jks

   -alias オプションには、任意の値を指定できます。

2. サーバー証明書と非公開鍵を PEM 形式から PKCS #12 形式に変換します。openssl コマンド行ツールの pkcs12 コマンドを使用して、サーバー証明書と非公開鍵の両方を含むファイルをエクスポートできます。

   openssl pkcs12 -export -in mycacert.pem -inkey mycakey.pem -out mycert.p12 -name "stcmscert"

3. ファイルを次のように変更します。

   1. サーバー証明書ファイルの名前を mycacert.pem から stcmscert.pem に変更します。

   2. 非公開鍵ファイルの名前を mycakey.pem から stcmskey.pem に変更します。

   3. (UNIX のみ) stcmscert.pem ファイルを stcmscert.cer という名前の新規ファイルにコピーします。

   4. (Windows のみ) PKCS #12 ファイルの名前を mycert.p12 から stcmscert.cer に変更します。

4. stcmscert.pem ファイル、stcmskey.pem ファイル、および stcmscert.cer ファイルを JavaCAPS-install-dir/appserver/addons/stcms/templates ディレクトリにコピーします。

5. すでにインスタンスを作成している場合は、stcmscert.pem ファイル、stcmskey.pem ファイル、および stcmscert.cer ファイルを JavaCAPS-install-dir/appserver/domains/domain-name/addons/stcms/instance-name/config ディレクトリにもコピーしてください。

6. JavaCAPS-install-dir/appserver/addons/stcms/templates ディレクトリの stcms.default.Properties ファイルを開きます。

7. STCMS.SSL.UserId プロパティーと STCMS.SSL.Password プロパティーを追加します。

   STCMS.SSL.UserId=mycertuserid STCMS.SSL.Password=mycertpassword

8. (Windows のみ) STCMS.SSL.CertificateFileStore.Option プロパティーの値を設定します。

   • JMS IQ Manager で証明書を自動的にインストールする場合は、この値を On に設定します。

   • certmgr ツールまたは Internet Explorer を使用して証明書をインストールする場合は、この値を Off に設定します。

9. すでにインスタンスを作成している場合は、stcms.default.Properties ファイルを JavaCAPS-install-dir/appserver/domains/domain-name/addons/stcms/instance-name/config ディレクトリにコピーします。

10. ドメインが実行中の場合は、ドメインを再起動します。