【FAQ】WAS V6.1 自己署名証明書の自動更新機能に関する注意事項

WAS V6.1から追加された自己署名証明書の自動更新機能に関する注意事項に関して、よくあるご質問をまとめました。

　
　

参照

■WAS 6.1の自己署名証明書・自動更新機能を使用する場合の考慮点

■WAS 6.1 NDで管理セキュリティーを有効にした環境における注意点

■WAS 6.1 NDで証明書の自動更新に失敗する問題の回避について

■WAS 6.1の自己署名証明書・自動更新機能に関する注意

トピック

1. WAS 6.1の自己署名証明書について

1-1. 自己署名証明書とは何ですか？
1-2. WAS 6.1が使用する自己署名証明書はいつ作成されるのですか？
1-3. WAS 6.1が使用する証明書はどこに入るのですか？
1-4. WAS 6.1が使用するキーストア、トラストストアはどこにありますか？


2. WAS 6.1の管理セキュリティーについて

2-1. 管理セキュリティーはデフォルトで使用されるのでしょうか？
2-2. 管理セキュリティーが有効になっているかどうかを確認する方法を教えてください。
2-3. 管理セキュリティーをOFFにする方法を教えてください。
2-4. 管理セキュリティーを無効にするとどのような影響がありますか？


3. WAS 6.1の自己署名証明書の自動更新機能についての補足

3-1. WAS 6.1で公開されている証明書関連のFix（APAR）を教えてください。
3-2. プロファイルを作成したWASのバージョンを確認する方法を教えてください。
3-3. 証明書の自動更新によりプラグインとWASが通信できなくなった場合、どのようなエラーが表示されますか？
3-4. 自己署名証明書の有効期限を延ばす方法を教えてください。

1. WAS 6.1の自己署名証明書について

1-1. 自己署名証明書とは何ですか？

認証局(CA局, ベリサインなどが有名）が署名する代わりに、自分自身で署名した証明書を自己署名証明書と呼びます。

WASの管理セキュリティーを有効にした場合は、ノード間の通信や、サーバーと管理クライアント(wsadmin等)との通信にSSLが使用され、このSSL通信で使用する証明書としてノードが持つ自己署名証明書が使用されます。


1-2. WAS 6.1が使用する自己署名証明書はいつ作成されるのですか？

WAS導入後のプロファイルを作成する時に、自動的にノードに固有の自己署名証明書が作成されます。

この自己署名証明書の有効期限は、6.1.0.7未満の環境でプロファイルを作成した場合は、1年となります。
また、6.1.0.7以上の環境でプロファイルを作成した場合は、15年となります。

WASが管理セキュリティーで使用する自己署名証明書は、新しくユーザーが作成する自己書名証明書で置き換えることも、認証局に署名された証明書に置き換えることもできます。


1-3. WAS 6.1が使用する証明書はどこに置いてあるのですか？

WASが使用する証明書は、キーストア（key.p12）と、トラストストア（trust.p12）に入ります。

キーストア(key.p12)には、個人証明書(Personal Certificate)が含まれます。
トラストストア(trust.p12)には、署名者証明書（Signer Certificate）が含まれます。

また、Webサーバー・プラグインは、plugin-key.kdbという鍵データベースを使用します。
この鍵データベースには、個人証明書と署名者証明書の両方が含まれます。


1-4. WAS 6.1が使用するキーストア、トラストストアはどこにありますか？

■NDエディションの場合（Deployment Managerを使用したセル環境の場合）

デフォルト構成では以下のキーストアとトラストストアが作成されます。
また、ノードの同期により、最新のキーストアとトラストストアが各ノードにコピーされます。

- CellDefaultKeyStore（セル単位）
<was_install_root>/profile/<profile_name>/config/cells/<cell_name>/key.p12

- CellDefaultTrustStore（セル単位）
<was_install_root>/profile/<profile_name>/config/cells/<cell_name>/trust.p12

- NodeDefaultKeyStore（ノード単位）
<was_install_root>/profile/<profile_name>/config/cells/<cell_name>/nodes
/<node_name>/key.p12

- NodeDefaultTrustStore（ノード単位）
<was_install_root>/profile/<profile_name>/config/cells/<cell_name>/nodes
/<node_name>/trust.p12


デフォルト構成では、各ノードは以下のキーストアとトラストストアを使用します。

• Deployment Managerは、CellDafultKeyStoreとCellDefaultTrustStoreを使用します。
• 各ノードは、NodeDefaultKeyStoreと、CellDefaultTrustStoreを使用します。（NodeDefaultTrustStoreではありませんのでご注意ください。）

■Base/Expressエディションの場合（スタンドアロンのアプリケーション・サーバーとして使用する場合）

- NodeDefaultKeyStore
<was_install_root>/profile/<profile_name>/config/cells/<cell_name>/nodes
/<node_name>/key.p12

- NodeDefaultTrustStore
<was_install_root>/profile/<profile_name>/config/cells/<cell_name>/nodes
/<node_name>/trust.p12


■管理クライアントが使用するキーストア、トラストストア(エディション共通)

- キーストア
<was_install_root>/profile/<profile_name>/etc/key.p12

- トラストストア
<was_install_root>/profile/<profile_name>/etc/trust.p12


■プラグインが使用する鍵データベース(CMSKeyStore)

- WASのセル（ノード）にて作成される鍵データベース
<was_install_root>/profile/<profile_name>/config/cells/<cell_name>/nodes
/<node_name>/servers/<webserver_name>/plugin-key.kdb

- プラグインが実際に導入されているノード（Webサーバー）で使用する鍵データベース
<plugin_install_root>/config/<web_server_name>/plugin-key.kdb

2. WAS 6.1の管理セキュリティーについて

2-1. 管理セキュリティーはデフォルトで使用されるのでしょうか？

管理セキュリティーは、WAS導入後のプロファイル作成時に設定できます。
プロファイル作成時のデフォルトでは、「管理セキュリティーを有効にする」にチェックが入っており、ユーザー名とパスワードを入力して先に進んだ場合は、管理セキュリティが有効の状態となります。

以下がプロファイル作成時に表示される画面です。



2-2. 管理セキュリティーが有効になっているかどうかを確認する方法を教えてください。

管理コンソールにアクセスした時にユーザーIDとパスワードの両方の入力が求められた場合は、管理セキュリティーが有効になっています。またこのとき、WASとブラウザー間はSSL通信が使用されます。
管理セキュリティーが有効の場合は、wsadminコマンドやWASの管理コマンド（stopServer.shやserverStatus.sh等）の使用にもユーザーIDとパスワードが必要となります。（ただし、startServer.shコマンドにはユーザーIDとパスワードが不要となっていますのでご注意ください。）


2-3. 管理セキュリティーをOFFにする方法を教えてください。

管理セキュリティーは管理コンソールから簡単に無効にすることができます。

「セキュリティー」 => 「管理、アプリケーション、およびインフラストラクチャーの保護」から、「管理セキュリティーを使用可能にする 」のチェックを外します。その後再起動します。


2-4. 管理セキュリティーを無効にするとどのような影響がありますか？

管理セキュリティーはWAS V6.1から新しく追加された機能で、V6.0までのグローバル・セキュリティーと同等の機能を提供します。
ただし、V6.1からはアプリケーションのセキュリティーとWAS管理のためのセキュリティーが分離され、管理セキュリティーだけを簡単に有効にすることができるようになりました。
（その他、セキュリティーに関しては様々な拡張がありますので、詳しくはこちらをご参照ください。）

管理セキュリティーを有効にすると、各ノード間の通信がSSLで行われ、管理コンソールや管理クライアントの使用にはユーザーIDとパスワードが必要となります。

ただし、V6.0以前でグローバル・セキュリティーを使用していないお客様や、既にFirewallやOSのハードニング等でセキュリティーを十分に高めているお客様、またユーザーIDとパスワードによるアクセス制限を求められていないお客様の場合には、この管理セキュリティーを無効にすることもご検討いただけます。

3. WAS 6.1の自己署名証明書の自動更新機能についての補足

3-1. WAS 6.1で公開されている証明書関連のFix（APAR）を教えてください。

以下のFixが自己署名証明書の自動更新に関する重要なFixになります。
（これらが全てという訳ではありませんので、予防保守の観点からも、常に最新のFixPackを適用するようお願いいたします。）

■ PK29246 (FixPack 3 に含まれる)
新しいノードがセルに追加された時に、署名者証明書がプラグインの鍵データベースに正しく追加するように修正

■ PK30493 / PK42863 (FixPack 7 に含まれる）
自己署名証明書の有効期限を1年から15年に延長（Fix適用後に作成されたプロファイルにのみ有効）

■ PK36869　(FixPack 11 に含まれる)
プロファイル作成時に、タイプとして「セル」を選択した場合に、セルとノードに同じ証明書が使われる問題を解消（Fix適用後に作成されたプロファイにのみ有効）

■ PK48659　（FixPack 15 に含まれる）
キーストアにある期限切れの証明書を正しく削除するように修正


3-2. プロファイルを作成したWASのバージョンを確認する方法を教えてください。

<WAS_ROOT>/profiles/<プロファイル名>/properties/version/profile.version ファイルを確認して下さい。

出力例：

[root@ /]# cat /opt/IBM/WebSphere61/AppServer/profiles/Dmgr01 /properties/version/profile.version <?xml version="1.0" encoding="UTF-8"?> <profile> <id>dmgr</id> <version>6.1.0.11</version> <build-info date="8/31/07" level="cf110734.37"/> </profile>

3-3. 証明書の自動更新によりプラグインとWASが通信できなくなった場合、どのようなエラーが表示されますか？

以下のエラーがプラグインのログに表示されます。

ERROR: lib_stream: openStream: Failed in r_gsk_secure_soc_init: GSK_ERROR_BAD_CERT(gsk rc = 414)

プラグインのログの場所は、plugin-cfg.xmlで指定しますが、デフォルトでは以下のファイルになります。
<Plugin_Install_Root>/logs/<webserver名>/http_plugin.log"


3-4. 自己署名証明書の有効期限を延ばす方法を教えてください。

一度作成された証明書の有効期限だけを後から延ばすことはできません。より長い有効期限を持つ証明書を作成し、置き換える必要があります。証明書の置き換え手順についてはこちらのガイドをご参照ください。

■ 【FAQ】WAS V6.1 自己署名証明書の置き換え手順


--
更新履歴
08/02/08 公開
08/03/05　3-4.公開（置き換え手順へのリンクを追加）　
08/03/11 FixPack15の公開に伴い、3-1の記述を変更。