Apache Tomcat および LDAP サーバーでの SSL の構成

IBM® UrbanCode™ Deploy サーバーとのセキュア HTTP 接続を構成するステップは、任意の Java™ Platform, Enterprise Edition サーバーのステップとも同様です。

始める前に

SSL セキュリティーをセットアップするには、サーバーの証明書が必要です。自己署名の証明書、または信頼済みでない認証局により発行された証明書を使用する場合は、これらの証明書をトラストストアにインポートする必要があります。トラストストアには、サーバーおよび認証局からの信頼済み証明書が含まれます。自己署名証明書、認証局証明書、および中間認証局証明書を JRE_install/jre/lib/security/cacerts ファイルにインポートします。証明書をトラストストアにインポートする例については、IBM SDK、Java Technology Edition のヘルプの Importing the Certificate Reply from the CA のトピックを参照してください。

LDAP サーバーの場合、SSL 証明書には権限の有効なチェーンがあることが必要です。独自の認証局を使用する場合、その認証局をローカル・トラストストアに追加します。

このタスクについて

IBM UrbanCode Deploy サーバーは Apache Tomcat 上で稼働するため、Apache Tomcat Web サイトの Tomcat でのセキュリティーの構成の説明を参照できます。IBM UrbanCode Deploy をインストールする時に、Apache Tomcat の SSL セキュリティーを使用可能することができます。インストール中に SSL セキュリティーを使用可能にすると、自己署名証明書が生成され、tomcat.keystore ファイルに追加されます。自己署名証明書内の共通名 (CN) は 0.0.0.0 に設定されます。
注: tomcat.keystore ファイル内の自己署名証明書を使用する IBM UrbanCode Deploy サーバーに接続すると、自己署名証明書が使われていることについて、多くの Web ブラウザーでは警告が出されます。

手順

  • サーバーの SSL セキュリティーのセットアップでは、以下の一般的なステップを実行します。
    1. 証明書のファイルを、IBM UrbanCode Deploy サーバーをホスティングするコンピューターに転送します。
    2. 証明書をサーバー鍵ストアに追加します。 サーバーのデフォルトの鍵ストアは、サーバー・インストール/opt/tomcat/conf/tomcat.keystore ファイルにあります。 この鍵ストアのデフォルトのパスワードは changeit です。
    3. IBM UrbanCode Deploy サーバーにある ¥opt¥tomcat¥conf¥server.xml ファイルを開きます。
    4. keystoreFile="conf/tomcat.keystore" の後に以下の行を追加します。 
      keyAlias="alias_of_your_certificate_in_tomcat_keystore"
      以下のコードは、追加された証明書別名行の例を提供しています。この例で、証明書別名は ucdserver.example.com です。 
      <Server port="0" shutdown="SHUTDOWN" debug="0">
  <Service name="Catalina">
    <Connector port="${install.server.web.https.port}"
               address="${install.server.web.ip}"
               server="SERVER"
               maxThreads="150"
               minSpareThreads="25"
               maxSpareThreads="75"
               enableLookups="false"
               acceptCount="100"
               debug="0"
               connectionTimeout="20000"
               disableUploadTimeout="true"
               compression="1024"
               noCompressionUserAgents="gozilla, traviata"
               compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain,application/json"
               algorithm="${install.server.ssl.algorithm}"
               SSLEnabled="true"
               scheme="https"
               secure="true"
               clientAuth="false"
               URIEncoding="UTF-8"
               ciphers="${install.server.ssl.enabledCiphers}"
               sslEnabledProtocols="${install.server.ssl.enabledProtocols}"
               keystoreFile="conf/tomcat.keystore"
                keyAlias="ucdserver.example.com"
               keystorePass="changeit" />
    5. サーバーを再始動します。
    6. 同様に、同じ証明書を各エージェントおよびエージェント・リレーの鍵ストアに追加します。 例えば、エージェントの鍵ストアのデフォルトのロケーションは、agent_install/conf/agent.keystore です。
    7. オプション: IBM UrbanCode Deploy サーバーと LDAP サーバー間のセキュア通信を構成するには、 LDAP サーバーの証明書を JRE_install/jre/lib/security/cacerts ファイルに追加します。 このファイルは、IBM UrbanCode Deploy サーバーにあります。 JRE_install には、JRE のインストール・フォルダーを使用します。
    関連概念:
    SSL 構成
    関連タスク:
    サーバーの鍵ストアのパスワード変更
    エージェント・リレーの鍵ストアのパスワード変更
    相互認証の構成
    サーバー ID 検証の使用可能化
    エンドツーエンド JMS 暗号化の確保
    高可用性 (HA) 環境の相互認証
    暗号鍵の強度のアップグレード
    保護されたプロパティーのサーバー間での共有
    フィードバック