セキュアな WebSphere Service Registry and Repository リポジトリーへのアクセス

セキュアな WebSphere® Service Registry and Repository リポジトリーにアクセスするには、統合ノードまたは統合サーバーの node.conf.yaml 構成ファイル内のパラメーターを編集します。

このタスクの概要

HTTPS 経由で接続する必要があります。 HTTP ではなく、これは endpointAddressnode.conf.yaml または server.conf.yaml の設定ファイルの ConnectorProviders セクションにある WSSRConnectorProvider のエントリーのプロパティで指定されています。設定では、 WebSphere Service Registry and Repository サーバーの完全修飾ホスト名とポートを指定する必要があります。また、 WebSphere Service Registry and Repository サーバーのログオン資格情報と、 HTTPS SSL の証明書を定義する必要があります。

endpointAddress 構成パラメーターについて詳しくは、 WebSphere Service Registry and Repository ノードの構成パラメーターを参照してください。

管理対象サーバーからセキュア WebSphere Service Registry and Repository にアクセスするには、以下の一連のコマンドを入力します。 node.conf.yaml ファイル内にある統合ノードに設定したプロパティーはすべて、統合ノードが所有する統合サーバーによって継承されます。ただし、該当する server.conf.yaml ファイルで、所有する統合サーバーのプロパティーを変更できます。独立統合サーバーの場合、以下のコマンドで設定するプロパティーを、server.conf.yaml 構成ファイルを編集して設定します。統合サーバーの構成について詳しくは、 server.conf.yaml ファイルの変更による統合サーバーの構成を参照してください。

手順

統合ノードが実行されていることを確認します。そうでない場合は、 ibmint start node コマンドを使用して開始してください。
.conf.yaml ファイルを編集して、 HTTPS を使用して WebSphere Service Registry and Repository サーバーと通信するように統合ノードまたは統合サーバーを設定します。
```
WSRRConnectorProvider:
        
           # endpointAddress                            # The location or endpoint of the WSRR server.
```
WebSphere Service Registry and Repository のすべてのバージョンのデフォルト値は https://fill.in.your.host.here:9080/WSRRCoreSDO/services/WSRRCoreSDOPort です。

IBM App Connect Enterprise でサポートされている WebSphere Service Registry and Repository の具体的なバージョンについては、 IBM App Connect Enterprise のシステム要件の Webページをご覧ください。
WebSphere Service Registry and Repository サーバーの証明書鍵を格納するように統合ノードの鍵ストアを構成します。デジタル証明書の説明については、デジタル証明書を参照してください。これらの証明書鍵は、 WebSphere Service Registry and Repository サーバーをホストする WebSphere Application Server のインストール済み環境から取得してください。統合ノードでは、単一の鍵ストアが使用されます。したがって、統合ノードが WS-Security、 HTTPS、または SSL で保護された IBM MQ も実装している場合は、提供されたキーを既存のキーストアファイルにマージする必要がある場合があります。統合ノードの現行構成パラメーターを表示するには、次のコマンドを使用します。
```
mqsireportproperties INODE -o BrokerRegistry -r
```
この例のパラメーターは、以下の値を表します。
-o パラメーターは、オブジェクトの名前 (この場合は BrokerRegistry) を指定します。
-r パラメーターは、必要に応じて、オブジェクトのすべてのプロパティー値 (子の値を含む) を表示することを指定します。

WebSphere Service Registry and Repository サーバーで相互 SSL 認証を使用している場合は、統合ノードのキーストアに秘密鍵が含まれるように設定してください。次に、以下のいずれかのオプションを使用して、統合ノードの brokerKeystoreFile 構成パラメーターを設定します。
- mqsichangeproperties コマンドを使用して、統合ノードの構成パラメーターを変更します。
```
mqsichangeproperties INODE -o BrokerRegistry 
-n brokerKeystoreFile -v C:\WSRR\SSL\ClientKeyFile.jks
```
  この例のパラメーターは、以下の値を表します。
  -o パラメーターは、オブジェクトの名前 (この場合は BrokerRegistry) を指定します。
  -n パラメーターは、変更するプロパティーの名前 (この場合は brokerKeystoreFile) を指定します。
  -v パラメーターは、 -n パラメーター (この場合は C:\WSRR\SSL\ClientKeyFile.jks) によって定義されるプロパティーの値を指定します。
- .conf.yaml ファイルを編集して、統合ノードの構成パラメーターを変更します。
```
BrokerRegistry:
           brokerKeystoreType: 'JKS'                        # Trust store type
           brokerKeystoreFile: 'C:\devel\ACE11\WSRR\comics1.fyre.ibm.com.serverKeyFile.jks'      # Location of the broker key store
         # Location of the broker trust key store
```
WebSphere Service Registry and Repository サーバーの署名者証明書を含めるように統合ノードのトラストストアを構成します。鍵ストアに関して前述したように、統合ノードでは単一のトラストストアが使用されます。したがって、証明書を既存のトラストストア・ファイルにマージする必要がある場合があります。統合ノードのトラストストアは、 mqsichangeproperties コマンドを使用して構成します。統合ノードの brokerTruststoreFile 構成パラメーターを変更するには、次のコマンドを使用します。
```
mqsichangeproperties INODE -o BrokerRegistry 
-n brokerTruststoreFile -v C:\WSRR\SSL\ClientTrustFile.jks
```
この例のパラメーターは、以下の値を表します。
-o パラメーターは、オブジェクトの名前 (この場合は BrokerRegistry) を指定します。
-n パラメーターは、変更するプロパティーの名前 (この場合は brokerTruststoreFile) を指定します。
-v パラメーターは、 -n パラメーター (この場合は C:\WSRR\SSL\ClientTrustFile.jks) によって定義されるプロパティーの値を指定します。
mqsistop コマンドを使用して統合ノードを停止します。
次のステップを実行するためには統合ノードを停止する必要があります。
セキュア資格情報ボールトを使用して WebSphere Service Registry and Repository サーバー資格情報を保管する場合は、以下のステップを実行します。
mqsivault コマンドを実行して、指定されたサーバーのボールト鍵を作成します。
```
mqsivault INODE --create --vault-key 12345678 
```
この例のパラメーターは、以下の値を表します。
--create パラメーターは、指定されたサーバー用のボールトを作成します。
--vault-key パラメーターは、ボールトの作成に使用するボールト鍵を指定します。 (この場合は 12345678)

以下のコマンドを実行して、 node.conf.yaml 構成ファイルに WebSphere Service Registry and Repository タイプのデフォルト資格情報名を定義します。
```
mqsicredentials INODE --all-integration-servers --set-as-default --credential-type wsrr  --credential-name wsrrServerCred
```
独立統合サーバーの場合、以下の行を server.conf.yaml 構成ファイルに追加します。
```
Defaults: 
  Credentials: 
    wsrr: 'wsrrServerCred'
```
以下のいずれかの方法を使用して、 WebSphere Service Registry and Repository サーバーのユーザー名とパスワードを設定します。
- mqsisetdbparms コマンドを実行して、ユーザー名とパスワードを設定します。
```
mqsisetdbparms INODE -n DefaultWSRR::WSRR -u wasuser -p waspass
```
  この例のパラメーターは、以下の値を表します。
  -n パラメーターは、データ・ソースの名前 (この場合は DefaultWSRR::WSRR) を指定します。
  -u パラメーターは、このデータ・ソースに関連付けるユーザー ID (この場合は wasuser) を指定します。
  -p パラメーターは、このデータ・ソースに関連付けられるパスワード (この場合は waspass) を指定します。
- mqsicredentials コマンドを実行して、ユーザー名とパスワードを作成します。
```
mqsicredentials INODE --all-integration-servers --vault-key <myvaultkey> --create --credential-type wsrr --credential-name wsrrServerCred wsrr --username <wsrr user> --password <wsrr password>
```
  この例のパラメーターは、以下の値を表します。
  --all-integration-servers パラメーターにより、すべてのサーバー用のボールトが作成されます (指定のサーバーの場合は –integration-server を使用します)。
  --vault-key パラメーターは、ボールトの作成に使用するボールト鍵を指定します。
  --create パラメーターは、ボールトの作成に使用するボールト鍵を指定します。
  --credential-type パラメーターは、資格情報のタイプを指定します (この例では、 wsrr が使用されます)。
  --username パラメーターは、ユーザー名を指定します。
  --password パラメーターは、パスワードを指定します。
WebSphere Service Registry and Repository サーバーで相互 SSL 認証を使用している場合は、次のいずれかの方法で brokerKeystore のユーザー名とパスワードを設定してください。
- mqsisetdbparms コマンドを実行して、ユーザー名とパスワードを設定します。
```
mqsisetdbparms INODE -n brokerKeystore::password -u dummy -p WebAS
```
  この例のパラメーターは、以下の値を表します。
  -n パラメーターは、データ・ソースの名前 (この場合は brokerKeystore::password) を指定します。
  -u パラメーターは、このデータ・ソースに関連付けるユーザー ID (この場合は dummy) を指定します。
  -p パラメーターは、このデータ・ソースに関連付けられるパスワード (この場合は WebAS) を指定します。
- をセットするbrokerKeyStore実行することでmqsicredentials指示：
```
mqsicredentials INODE --all-integration-servers --vault-key <myvaultkey> --create --credential-type keystore --credential-name vaultpassword --password changeme
```
  この例のパラメーターは、以下の値を表します。
  --all-integration-servers パラメーターは、指定の統合ノード上のすべての統合サーバーにコマンドを適用することを指定します。あるいは、名前付き統合サーバー (-integration-server IntegrationServerName) を指定することもできます。
  --vault-key パラメーターは、ボールトの作成に使用されたボールト鍵を指定します。
  --create パラメーターは、ボールト内に資格情報を作成します。
  --credential-type パラメーターは、資格情報タイプを指定します。
  --credential-name パラメーターは、資格情報の名前を指定します。この場合は、 vaultpassword が使用されます。以下のように、node.conf.yaml を更新してこの名前を設定する必要があります。
```
BrokerRegistry:
brokerKeystorePass: ‘vaultpassword'
```
  --password パラメーターは、このリソースに関連付けるパスワードを指定します。
をセットするbrokerTrustStore次のいずれかの方法を使用してユーザー名とパスワードを入力します。
- mqsisetdbparms コマンドを実行して、ユーザー名とパスワードを設定します。
```
mqsisetdbparms INODE -n brokerTruststore::password -u dummy 
-p WebAS
```
  この例のパラメーターは、以下の値を表します。
  -n パラメーターは、データ・ソースの名前 (この場合は brokerTruststore::password) を指定します。
  -u パラメーターは、このデータ・ソースに関連付けるユーザー ID (この場合は dummy) を指定します。
  -p パラメーターは、このデータ・ソースに関連付けられるパスワード (この場合は WebAS) を指定します。
- mqsicredentials コマンドを実行して、brokerTrustStore を設定します。
```
mqsicredentials INODE --all-integration-servers --vault-key <myvaultkey> --create --credential-type truststore --credential-name vaultpassword --password changeme
```
  以下のように、node.conf.yaml ファイルを更新して指定の資格情報名を設定する必要があります。
```
BrokerRegistry:
  brokerTruststorePass: 'vaultpassword'
```
  この例のパラメーターは、以下の値を表します。
  --all-integration-servers パラメーターは、指定の統合ノード上のすべての統合サーバーにコマンドを適用することを指定します。あるいは、名前付き統合サーバー (-integration-server IntegrationServerName) を指定することもできます。
  --vault-key パラメーターは、ボールトの作成に使用されたボールト鍵を指定します。
  --create パラメーターは、ボールト内に資格情報を作成します。
  --credential-type パラメーターは、資格情報タイプを指定します。
  --credential-name パラメーターは、資格情報の名前を指定します。この場合、 .conf.yaml 構成ファイル内の BrokerRegistry.brokerKeystorePass の設定と一致させるために vaultpassword が使用されます。
  --password パラメーターは、このリソースに関連付けられるパスワードを指定します。
セキュアな WebSphere Service Registry and Repository サーバーでキャッシュ通知を使用するには、キャッシュ通知のセットアップの指示に従ってください。
ibmint start node コマンドを使用して、統合ノードを再始動します。
ボールト鍵を作成する場合は、 ibmint start node コマンドで --vault-key パラメーターを指定する必要があります。
```
ibmint start node INODE --vault-key 12345678 -u userid -p password
```