SSL 構成設定
このページを使用して、Secure Sockets Layer (SSL) 構成プロパティーを定義します。
この管理コンソール・ページを表示するには、「 」をクリックします。 「構成設定」の下の「」をクリックします。 「関連項目」の下の「 」をクリックします。
名前
SSL 構成が常駐する管理有効範囲の SSL 構成の固有の名前を指定します。 この SSL 構成用に構成されるプロパティーにプログラマチックにアクセスする方法については、com.ibm.websphere.ssl.JSSEHelper アプリケーション・プログラミング・インターフェース (API) を参照してください。
| 情報 | 値 |
|---|---|
| データ・タイプ: | テキスト |
![[z/OS]](../images/ngzos.svg)
鍵リング名
System SSL 構成の鍵リング名を指定します。 このフィールドは、鍵ストアおよびトラストストアを暗黙に示します。
このフィールドは、System SSL レパートリーにのみ適用されます。
![[AIX Solaris HP-UX Linux Windows]](../images/ngdist.svg)
![[IBM i]](../images/ngibmi.svg)
トラストストア名
Java™ Secure Sockets Extension (JSSE) で使用される特定のトラストストアへの参照を指定します。 トラストストアには、SSL ハンドシェーク中にリモート接続で送信された証明書の信頼性を検証する署名者証明書が保持されます。
| 情報 | 値 |
|---|---|
| データ・タイプ: | テキスト |
| デフォルト: | 選択されたトラストストア |
鍵ストア名
特定の鍵ストアに対する参照を指定します。 鍵ストアは、接続の片側の ID を表す個人証明書を保持します。 この個人証明書の公開鍵は、ハンドシェーク時に信頼を確立するために、接続の反対側に送信されます。 接続のリモート側は、トラストストアでこの個人証明書を検証するために、ルート認証局 (CA) 証明書または自己署名した公開鍵 (署名者) が必要です。
| 情報 | 値 |
|---|---|
| データ・タイプ: | テキスト |
| デフォルト: | 選択された鍵ストア |
証明書別名の取得
選択する鍵ストアですべての個人証明書の別名の鍵ストアを照会します。
デフォルトのサーバー証明書別名
別の場所で指定されなかった場合に、この SSL 構成の識別として使用する証明書の別名を指定します。
「なし」を選択すると、Java Secure Sockets Extension (JSSE) 鍵マネージャーが使用する証明書を決定します。 複数の証明書が鍵ストアに存在する場合、鍵マネージャーが常に同じ証明書を選択するとは限りません。
注:localOS SAF セキュリティー・プロバイダー (RACF など) を使用する場合は注意してください。 表示される証明書別名は、表示する時点で、選択した管理有効範囲ですべての開始済みプロセス (コントローラー、サーバントまたは付属領域を含む) を Mbean を介して照会することによって、取得されます。
SSL 管理有効範囲内のサーバー・プロセス (コントローラー、サーバントまたは付属領域を含む) は、同じ鍵リングおよびプロセス・ユーザーを使用する場合も、使用しない場合もあります。 このため、リスト内のすべての証明書別名が使用可能であると想定しないでください。 各プロセス ID の safkeyring が当該の別名を含んでいることを確認するには、SAF セキュリティー・プロバイダーを照会します。
個人別名を選択する場合、その別名は制御領域とサーバント領域両方の鍵リングに接続されている必要があります。 すべてのターゲット・サーバー・プロセス (コントローラー、サーバント、付属) 鍵リングには存在していない別名を割り当てると、SSL 初期化または SSL ランタイム (あるいは両方) でエラーが起こる可能性があります。 初期化エラーによってすべての SSL 動作が妨げられる可能性があります。 例えば、サーバント領域ユーザー ID 鍵リングにのみ存在する個人証明書を選択すると、制御領域へのインバウンド SSL が切断される可能性があり、制御領域ユーザー ID 鍵リングにのみ存在する個人証明書を選択すると、サーバント領域からのアウトバウンド SSL が切断される可能性があります。
代わりに SSLConfigGroups を使用することを検討してください。 SSLConfigGroups を使用すると、SSL 初期化エラーは防止されますが、証明書別名がプロセス SAF 鍵リング内で見つからない場合は SSL ランタイム・エラーは引き続き発生する可能性があります。
| 情報 | 値 |
|---|---|
| データ・タイプ: | テキスト |
デフォルトのクライアント証明書別名
この構成をクライアントとして使用する場合に、使用される証明書別名を指定します。
「なし」を選択すると、Java Secure Sockets Extension (JSSE) 鍵マネージャーが使用する証明書を決定します。 複数の証明書が鍵ストアに存在する場合、鍵マネージャーが常に同じ証明書を選択するとは限りません。
注:localOS SAF セキュリティー・プロバイダー (RACF など) を使用する場合は注意してください。 表示される証明書別名は、表示する時点で、選択した管理有効範囲ですべての開始済みプロセス (コントローラー、サーバントまたは付属領域を含む) を Mbean を介して照会することによって、取得されます。
SSL 管理有効範囲内のサーバー・プロセス (コントローラー、サーバントまたは付属領域を含む) は、同じ鍵リングおよびプロセス・ユーザーを使用する場合も、使用しない場合もあります。 このため、リスト内のすべての証明書別名が使用可能であると想定しないでください。 各プロセス ID の safkeyring が当該の別名を含んでいることを確認するには、SAF セキュリティー・プロバイダーを照会します。
個人別名を選択する場合、その別名は制御領域とサーバント領域両方の鍵リングに接続されている必要があります。 すべてのターゲット・サーバー・プロセス (コントローラー、サーバント、付属) 鍵リングには存在していない別名を割り当てると、SSL 初期化または SSL ランタイム (あるいは両方) でエラーが起こる可能性があります。 初期化エラーによってすべての SSL 動作が妨げられる可能性があります。 例えば、サーバント領域ユーザー ID 鍵リングにのみ存在する個人証明書を選択すると、制御領域へのインバウンド SSL が切断される可能性があり、制御領域ユーザー ID 鍵リングにのみ存在する個人証明書を選択すると、サーバント領域からのアウトバウンド SSL が切断される可能性があります。
代わりに SSLConfigGroups を使用することを検討してください。 SSLConfigGroups を使用すると、SSL 初期化エラーは防止されますが、証明書別名がプロセス SAF 鍵リング内で見つからない場合は SSL ランタイム・エラーは引き続き発生する可能性があります。
| 情報 | 値 |
|---|---|
| データ・タイプ: | テキスト |
管理有効範囲
この SSL 構成が可視である有効範囲を指定します。 例えば、ある特定のノードを選択する場合、構成はそのノードおよびそのノードの一部であるサーバーでのみ可視です。
| 情報 | 値 |
|---|---|
| データ・タイプ: | テキスト |