内容/目次
|
更新ログ |
(2009/10/19 14:08) 「手動で管理コマンドを実行する場合の注意点」を追加。
WAS V6.1より自己署名証明書の自動更新機能が追加されていますが、この機能に関連した考慮点を記述します。
【詳細説明】
WebSphere Application Server (WAS) V6.1より自己署名証明書の自動更新機能が追加されていますが、この機能に関連して以下に挙げるような考慮点があります。
これによってシステムの稼動ができなくなる等の影響がでますのでご注意ください。
1. ノードが停止中に自動更新が行われると,NodeAgentがDeployment Managerに接続できなくなる
Deployment Manager上で証明書の自動更新が行れたときに,ノードのNodeAgentが停止中していると,再起動後にNodeAgentがDeployment Managerに接続できなくなります。
これは,接続前の認証に必要な新しい証明書をそのノードが保持していないためです。
この場合,ノード上でsyncNodeコマンドを使用して,ノードが保持している証明書を最新のものに更新してからNodeAgentを起動してください。
syncNodeコマンドは,証明書ではなくユーザーIDとパスワードにより認証を行うため,ノードが正しい証明書を持っていない状況でも,Deployment Managerに接続することが可能です。
2. 自動更新が行われた直後の最初の管理コマンドの実行では,プロンプトが表示されます
サーバー上で証明書の自動更新が行れたあと,最初にserverStatus,stopServer,stopManager,stopNode,wsadminなどの管理コマンドを実行した際には,以下のようなメッセージが表示され,ユーザーからの入力を要求するプロンプトが表示されます。
- 日本語環境
*** SSL 署名者交換プロンプト ***
ターゲット・ホスト null からの SSL 署名者が、トラスト・ストア d:/opt/WebSphere/AppServerV6.1ND/profiles/cert_test/CertTestAppSrv/etc/trust.p12 に見つかりません。
以下に署名者情報を示します (ダイジェスト値が、サーバーに表示された値に一致していることを確認してください):
対象 DN: CN=9.189.177.35, OU=, O=IBM, L=, ST=, POSTALCODE=, C=US
発行者 DN: CN=9.189.177.35, OU=, O=IBM, L=, ST=, POSTALCODE=, C=US
シリアル番号: 1172455927
有効期限: Tue Feb 26 11:12:07 JST 2008
SHA-1 ダイジェスト: AA:C1:CB:12:24:79:0F:F8:97:9E:40:2B:9C:70:7A:D6:29:38:30:81
MD5 ダイジェスト: 64:42:DD:C1:39:3C:21:1E:8E:DE:25:3C:8A:19:76:61
ここでトラスト・ストアに署名者を追加しますか? (y/n)
英語環境
*** SSL SIGNER EXCHANGE PROMPT ***
SSL signer from target host testserver.ibm.com is not found in trust store /opt/IBM/WebSphere/AppServer/profiles/Dmgr01/etc/trust.p12.
Here is the signer information (verify the digest value matches what is displayed at the server):
Subject DN: CN=testserver.ibm.com, O=IBM, C=US
Issuer DN: CN=testserver.ibm.com, O=IBM, C=US
Serial number: 1192512730
Expires: Wed Oct 15 14:32:10 JST 2008
SHA-1 Digest: D3:4F:52:C1:17:54:C3:58:0E:07:D3:BD:4E:0E:5A:ED:4A:F8:59:08
MD5 Digest: 7B:2F:22:F6:85:EF:CE:08:D6:83:62:AB:61:E1:EC:BF
Add signer to the trust store now? (y/n)
管理コマンドをシェルスクリプトなどに組み込み,ツールによる自動実行を行っている環境などでは,このプロンプトにより処理が一時停止してしまうケースがあります。
その場合,証明書の自動更新が実行された直後に,手動で管理コマンドを実行しておくなどして,証明書ストアの更新を行っておいてください。
(※)手動で管理コマンドを実行する場合の注意点
Network Deployment版のDmgrノード以外のノードでは、serverStatus/stopServer/stopNodeコマンドは自ノードのnodeagentと、wsadminコマンドは他ノードのDmgrと通信します。
従って、Dmgrノード以外のノードは、wsadminコマンドを少なくとも1回実行し、かつserverStatus/stopServer/stopNodeコマンドのいずれかを少なくとも1回実行して下さい。
3. セルの管理外のHTTPサーバーのPluginとWASがSSL通信を行っている場合
アプリケーションサーバー上のHTTPトランスポートでSSL通信を使用するように構成している場合,通信するPlug-inの持つ証明書ストアにも,アプリケーションサーバーが使用している証明書の情報が含まれている必要があります。
Plug-inのあるHTTPサーバーがWASのセル内で管理されている場合,証明書ストアの更新はノードの同期によって自動的に行われます。
しかし,HTTPサーバーがWASの管理外にある場合には手動で更新する必要があります。
アプリケーションサーバーの側でのみ証明書の更新が行われた場合には,Pluginとアプリケーションの間の通信が失敗する場合があります。
以下の文章もご参照ください。
Possible client outage for WebSphere Application Server V6.1 if using default self-signed certificate expiration (APAR PK34093 or PK42863)
【参考情報】
【ご注意ください】 WAS 6.1の自己署名証明書・自動更新機能を使用する場合の考慮点
WAS 6.1 NDで管理セキュリティーを有効にした環境における注意点 (WAS-07-003)
WAS 6.1 NDで証明書の自動更新に失敗する問題の回避について (WAS-07-004)
WAS 6.1の自己署名証明書・自動更新機能に関する注意
以上
文書情報
有効期限: 2012年4月27日
資料番号: WAS-07-008
