<概要>
WAS 6.1から追加された自己署名証明書の自動更新機能の考慮点をご説明します。WAS 6.1をご使用のお客様、これから導入予定のお客様は、以下の内容を必ずご確認ください。
<内容/目次>
WebSphere Application Server V6.1より、新しいセキュリティーの仕組みが追加され、プロファイル作成時の自己署名証明書作成機能と、期限切れの証明書の自動更新機能が追加されています。この証明書の自動更新時における考慮点が幾つか報告されており、日本でも2007年2月以降ソフトウェア・サポートのWebサイトにて情報を公開しております。自己署名証書の自動更新が発生した場合に、環境によってはWASがサービス停止となる可能性もございますので、WAS 6.1をご利用のお客様におきましては、再度以下の内容をご確認いただき、適切な対応を取っていただくようにお願いいたします。
これからWASを導入されるお客様は、最後の「これからWASを導入する場合」のセクションをご参照ください。
WASのプロファイルを作成してから約10ヶ月~12ヶ月後
※WASの環境を作成するタイミングに依存し、全てのお客様で同一の時刻に問題が発生するわけではありません。
2007年にソフトウェア・サポートにて以下の3つの文書を公開しております。
また公開時には、WebSphere Developer Domain(WSDD)のトップサイト、およびWSDDメール・ニュースにてご案内しております。(WSDDメールニュースは購読者のみに送付されます。購読はこちら)
■ WAS 6.1 NDで管理セキュリティーを有効にした環境における注意点
■ WAS 6.1 NDで証明書の自動更新に失敗する問題の回避について
■ WAS 6.1の自己署名証明書・自動更新機能に関する注意
対象:
WAS 6.1 Network Deployment エディションの全てのプラットフォーム
問題発生の条件(以下を全て満たす場合):
問題の概要:
自己署名証明書が更新された場合、環境によっては、更新された証明書の情報がノードに同期されない可能性があります。同期が正しく行われずに、セルの署名者証明書が各ノードにあるトラストストア(CellDefaultTrustStore. NodeDefaultTrustStore) に追加されなかった場合は、デプロイメント・マネージャーとノードの通信ができなくなる可能性があります。
<ノードに同期されない例>
回避策:
この問題が発生しないようにするためには、以下の対応が考えられます。(どれか1つを実施)
<既にプロファイルを作成済みの場合>
対応方法:
以下の文書の考慮点1にある対応策を実施ください。
対象:
WAS 6.1 全てのエディション、全てのプラットフォーム
問題発生の条件(以下を全て満たす場合):
問題の概要:
自己署名証明書の自動更新が行われた場合、クライアントからの最初の管理コマンド実行時に、更新された証明書を取り込むかどうか(署名者の追加を行うかどうか)のプロンプトが表示され、ユーザーからの入力(y/n)が必要となります。シェルなどでwsadminを自動実行している場合、タイムアウトでシェルが失敗する可能性があります。また、Windowsサービスでプロセスの起動を行っている場合も、同様の問題が発生する可能性があります。
このような場合は、更新後に手動で管理コマンドを実行し証明書を取り込む(プロンプトにyで回答する)、または、retrieveSignerコマンドを実行して署名者を追加しておくなどの手段を講じる必要があります。
回避策:
この問題が発生しないようにするためには、以下の対応が考えられます。(どれか1つを実施)
<既にプロファイルを作成済みの場合>
対応方法:
以下の文書の考慮点2にある対応策を実施ください。
対象:
WAS 6.1 Network Deployment エディションの全てのプラットフォーム
問題発生の条件(以下を全て満たす場合):
問題の概要:
デプロイメント・マネージャーと、同一マシンに同居するアプリケーション・サーバーのノードに対して、本来はそれぞれ別の証明書が作成されるべきところを、誤って同じ証明書を使用する構成が作成されてしまいます。この環境で証明書が自動更新されると、デプロイメント・マネージャーと、同居するノード間での通信ができなくなります。
回避策:
この問題が発生しないようにするためには、以下の対応が考えられます。(どれか1つを実施)
<既にプロファイルを作成済みの場合>
対応方法:
このプロファイル作成時の問題は、PK36869(6.1.0.11に含まれる)で修正されています。ただし、このFixを適用後に作成されたプロファイルが対象となり、Fix適用前に作成した「セル」プロファイルの場合は、以下の文書にある手動での対応(証明書の置き換え)が必要となります。
この問題の確認方法、および対応方法についての詳細は、以下の文書をご参照ください。
対象:
WAS 6.1 全てのエディション
(WASのエディションや、管理セキュリティのON/OFFに関係ありません)
Webサーバー・プラグインとWAS(Webコンテナ)間のSSL通信には、WASが持つ自己署名証明書が使用され、プラグイン側の鍵ストア(plugin-key.kdb)にWASの署名者証明書が含まれる必要があります。WAS側の自己署名証明書が更新された場合、この更新情報がプラグインに渡らないと、プラグイン=WAS間の通信がエラーとなり、結果的に、クライアントから見るとWASがサービス停止状態になります。このときプラウザーには、Internal Server Error 500が表示されます。
回避策:
この問題が発生しないようにするためには、以下の対応が考えられます。(どれか1つを実施)
<既にプロファイルを作成済みの場合>
対応方法(方法1か2のどちらかを実施):
方法1. <WebサーバーがManaged Node、またはIHSのAdminプロセスを使用している場合のみ>
証明書が更新された場合は、管理コンソールから、鍵ストアへのコピーを実施します。
証明書が更新された場合は、以下のディレクトリーに存在する鍵ストアを、Webサーバーの鍵ストアの場所に手動でコピーします。
/profile_root/config/cells/cell_name/nodes/node_name/servers/webserver1/plugin-key.kdb
その後、Webサーバーを再起動します。
以下の文書の考慮点3をご参照ください。
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話:0120-557-971
受付時間:月~金 9:00~17:00(祝日、12/30~1/3を除く)
--
修正履歴
2008/01/22 公開
2008/02/05 誤字修正
2008/02/08 FAQへのLinkを追加
2008/03/05 自己署名証明書の置き換え手順へのリンクを追加
|
【対象のお客様】 |
- WAS 6.1にて、管理セキュリティーをご使用のお客様 (以下の考慮点1~4を参照)
- WAS 6.1にて、SSL通信をご使用のお客様 (以下の考慮点4を参照)
- WAS 6.1のWebコンテナの設定からhttpトランスポートを削除されたお客様 (以下の考慮点4を参照)
これからWASを導入されるお客様は、最後の「これからWASを導入する場合」のセクションをご参照ください。
| 【問題が発生するタイミング】 |
WASのプロファイルを作成してから約10ヶ月~12ヶ月後
※WASの環境を作成するタイミングに依存し、全てのお客様で同一の時刻に問題が発生するわけではありません。
| 【参照】 |
2007年にソフトウェア・サポートにて以下の3つの文書を公開しております。
また公開時には、WebSphere Developer Domain(WSDD)のトップサイト、およびWSDDメール・ニュースにてご案内しております。(WSDDメールニュースは購読者のみに送付されます。購読はこちら)
■ WAS 6.1 NDで管理セキュリティーを有効にした環境における注意点
- (2007年2月22日公開)
■ WAS 6.1 NDで証明書の自動更新に失敗する問題の回避について
- (2007年3月6日公開)
■ WAS 6.1の自己署名証明書・自動更新機能に関する注意
- (2007年4月27日公開)
また、WAS 6.1の自己署名証明書に関するFAQを以下に公開いたしましたので、ご参照ください。
■ 【FAQ】WAS V6.1 自己署名証明書の自動更新機能に関する注意事項
■ 【FAQ】WAS V6.1 自己署名証明書の置き換え手順
| 【問題の背景:WAS 6.1 セキュリティーの新機能】 |
- アプリケーションのセキュリティーと、WASの管理のためのセキュリティーが分離され、導入時に簡単に管理セキュリティーを構成できるようになりました。
- 管理セキュリティーを有効にした場合は、ノード間の通信および管理コンソールへのアクセスにSSLが使用されます。また、管理コンソールやwsadminコマンドの使用時にはユーザーIDとパスワードの入力が必要となります。
- WAS 6.1では、プロファイルの作成時に各ノードに固有の自己署名証明書が自動生成されます。証明書の有効期限については、以下の表をご参照ください。
- WAS 6.1では、証明書の管理機能が追加されました。
- 証明書の有効期限をモニターし(デフォルト有効)、期限切れが近づいた場合はSystemOut.log(デフォルト)に警告を出します。また警告だけでなく、eメールを送信する設定も可能です。
- 期限が切れる自己署名証明書を、新しい自己署名証明書で置き換えます。(デフォルト有効)
- 自己署名証明書の作成やCA局への要求の作成など、IKEYMANと同等の証明書の管理が管理コンソールからもできるようになりました。
 | V6.1.0.1(出荷メディア)~V6.1.0.5の環境 | V6.1.0.7(Fix Pack7適用)以降、または、PK34093 (6.1.0.7に含まれる)、または、PK42863(PK34093の置き換え)を適用した環境 |
| 作成される自己署名証明書の有効期限 | 1年 | 15年 ※FixPack7以降 or PK34093 or PK42863 を適用後に新たに作成されたプロファイルが対象となります。Fix適用前に作成された既存のプロファイルの有効期限が延びる訳ではありませんので、ご注意ください。 |
| 証明書期限切れの警告送信 | 期限切れの90日前から(デフォルト) | 期限切れの90日前から(デフォルト) |
| 【WAS 6.1の証明書の自動更新機能に伴う考慮点】 |
デフォルトでは、WAS 6.1が持つ自己署名証明書は、プロファイル作成後から約10ヶ月経った時点で、新しい期限を持つ自己署名証明書に更新(置換)されます。以下の4つの考慮点は、この証明書の更新時に発生する問題となります。
※回避策や対応策の措置を取った場合でも、予防保守の観点から、WASおよびプラグインのFixPackは最新の状態に保つようにお願いいたします。
| 【考慮点1】セルとノードの同期が行われないケース |
対象:
WAS 6.1 Network Deployment エディションの全てのプラットフォーム
問題発生の条件(以下を全て満たす場合):
- WASの管理セキュリティー機能を使用している。(管理コンソールへのアクセスにユーザーIDとパスワードが必要な場合は、管理セキュリティーが有効になっています。)
- WASのセキュリティーの設定で、自己署名証明書の自動更新を有効にしている。(デフォルト有効)
問題の概要:
自己署名証明書が更新された場合、環境によっては、更新された証明書の情報がノードに同期されない可能性があります。同期が正しく行われずに、セルの署名者証明書が各ノードにあるトラストストア(CellDefaultTrustStore. NodeDefaultTrustStore) に追加されなかった場合は、デプロイメント・マネージャーとノードの通信ができなくなる可能性があります。
<ノードに同期されない例>
- ノードが停止している場合
- ノードの自動同期が停止されている場合(デフォルトON)
- ノードの自動同期の間隔がデフォルトから長く変更されている場合(デフォルト1分)
回避策:
この問題が発生しないようにするためには、以下の対応が考えられます。(どれか1つを実施)
<既にプロファイルを作成済みの場合>
- 管理セキュリティーが必要ない場合は、無効にする。
- 自己署名証明書の自動更新を無効にし、手動で対応する。
- 有効期限の長い自己署名証明書を作成し、置き換える。
- V6.1.0.7以降の環境で新しくプロファイルを作成し、証明書の有効期限を15年とする。(既にV6.1.0.7未満の環境で作成済みのプロファイルには対応できません。)
対応方法:
以下の文書の考慮点1にある対応策を実施ください。
- WAS 6.1の自己署名証明書・自動更新機能に関する注意 (2007年4月27日公開)
| 【考慮点2】管理コマンド実行時にユーザーの入力が必要 |
対象:
WAS 6.1 全てのエディション、全てのプラットフォーム
問題発生の条件(以下を全て満たす場合):
- WASの管理セキュリティー機能を使用している。(管理コンソールへのアクセスにユーザーIDとパスワードが必要な場合は、管理セキュリティーが有効になっています。)
- WASのセキュリティーの設定で、自己署名証明書の自動更新を有効にしている。(デフォルト有効)
問題の概要:
自己署名証明書の自動更新が行われた場合、クライアントからの最初の管理コマンド実行時に、更新された証明書を取り込むかどうか(署名者の追加を行うかどうか)のプロンプトが表示され、ユーザーからの入力(y/n)が必要となります。シェルなどでwsadminを自動実行している場合、タイムアウトでシェルが失敗する可能性があります。また、Windowsサービスでプロセスの起動を行っている場合も、同様の問題が発生する可能性があります。
このような場合は、更新後に手動で管理コマンドを実行し証明書を取り込む(プロンプトにyで回答する)、または、retrieveSignerコマンドを実行して署名者を追加しておくなどの手段を講じる必要があります。
回避策:
この問題が発生しないようにするためには、以下の対応が考えられます。(どれか1つを実施)
<既にプロファイルを作成済みの場合>
- 管理セキュリティーが必要ない場合は、無効にする。
- 自己署名証明書の自動更新を無効にし、手動で対応する。
- 有効期限の長い自己署名証明書を作成し、置き換える。(手順)
- V6.1.0.7以降の環境で新しくプロファイルを作成し、証明書の有効期限を15年とする。(既にV6.1.0.7未満の環境で作成済みのプロファイルには対応できません。)
対応方法:
以下の文書の考慮点2にある対応策を実施ください。
- WAS 6.1の自己署名証明書・自動更新機能に関する注意 (2007年4月27日公開)
| 【考慮点3】セル・プロファイルで同一証明書が使用される |
対象:
WAS 6.1 Network Deployment エディションの全てのプラットフォーム
問題発生の条件(以下を全て満たす場合):
- WASの管理セキュリティー機能を使用している。(管理コンソールへのアクセスにユーザーIDとパスワードが必要な場合は、管理セキュリティーが有効になっています。)
- WASのセキュリティーの設定で、自己署名証明書の自動更新を有効にしている。(デフォルト有効)
- WAS導入後のプロファイル作成時に、作成するプロファイルのタイプとして「セル(デプロイメント・マネージャーおよびフェデレーテッド・アプリケーション・サーバー)」を選択した。
問題の概要:
デプロイメント・マネージャーと、同一マシンに同居するアプリケーション・サーバーのノードに対して、本来はそれぞれ別の証明書が作成されるべきところを、誤って同じ証明書を使用する構成が作成されてしまいます。この環境で証明書が自動更新されると、デプロイメント・マネージャーと、同居するノード間での通信ができなくなります。
回避策:
この問題が発生しないようにするためには、以下の対応が考えられます。(どれか1つを実施)
<既にプロファイルを作成済みの場合>
- 管理セキュリティーが必要ない場合は、無効にする。
- ノードの証明書を手動で再作成し、デプロイメント・マネージャーと異なる証明書を使用するように構成する。(手順)
- プロファイル作成時に、「セル」以外のプロファイルを指定する。(「デプロイメント・マネージャー」と、「カスタム・プロファイル」に分けて作成します。)
- V6.1.0.11以降の環境でプロファイルを作成する。(この場合、正しく別の証明書が使われるだけでなく、証明書の有効期限は15年となります。)
対応方法:
このプロファイル作成時の問題は、PK36869(6.1.0.11に含まれる)で修正されています。ただし、このFixを適用後に作成されたプロファイルが対象となり、Fix適用前に作成した「セル」プロファイルの場合は、以下の文書にある手動での対応(証明書の置き換え)が必要となります。
この問題の確認方法、および対応方法についての詳細は、以下の文書をご参照ください。
- WAS 6.1 NDで証明書の自動更新に失敗する問題の回避について (2007年3月6日公開)
| 【考慮点4】プラグインからのSSL通信が失敗する |
対象:
WAS 6.1 全てのエディション
(WASのエディションや、管理セキュリティのON/OFFに関係ありません)
問題発生の条件(どちらか一方でも満たす場合):
- ブラウザーとWebサーバー間でSSL通信を行っている。(CA局発行の証明書を含む)
ブラウザーとWebサーバー間がSSL通信を行う場合、Webサーバー・プラグインとWAS(Webコンテナ)間の通信にも自動的にSSL通信が使用されます。 - Webサーバー・プラグインとWAS(Webコンテナ)間の通信として、明示的にhttpのトランスポートを削除し、必ずhttps(SSL)通信を行う設定に変更している。
この場合、ブラウザーとWebサーバー間がhttp通信を行っていても、Webサーバー・プラグインからWASへも通信にはhttpsが使用されます。
Webサーバー・プラグインとWAS(Webコンテナ)間のSSL通信には、WASが持つ自己署名証明書が使用され、プラグイン側の鍵ストア(plugin-key.kdb)にWASの署名者証明書が含まれる必要があります。WAS側の自己署名証明書が更新された場合、この更新情報がプラグインに渡らないと、プラグイン=WAS間の通信がエラーとなり、結果的に、クライアントから見るとWASがサービス停止状態になります。このときプラウザーには、Internal Server Error 500が表示されます。
回避策:
この問題が発生しないようにするためには、以下の対応が考えられます。(どれか1つを実施)
<既にプロファイルを作成済みの場合>
- 手動で有効期限の長い自己署名証明書を作成し、置き換える。(手順)
- プラグイン=WAS間のSSL通信が必要ない場合は、WAS側で定義されているSSL通信のトランスポートを削除する。
- V6.1.0.7以降の環境でプロファイルを作成し、15年有効の証明書を作成する。(既にV6.1.0.7未満の環境で作成済みのプロファイルには対応できません。)
対応方法(方法1か2のどちらかを実施):
方法1. <WebサーバーがManaged Node、またはIHSのAdminプロセスを使用している場合のみ>
証明書が更新された場合は、管理コンソールから、鍵ストアへのコピーを実施します。
- 「サーバー」→「Webサーバー」→該当のWebサーバーを選択します。
「追加プロパティー」の「プラグインプロパティー」を選択します。
「Webサーバー鍵ストア・ディレクトリーへコピー」ボタンを押します。
証明書が更新された場合は、以下のディレクトリーに存在する鍵ストアを、Webサーバーの鍵ストアの場所に手動でコピーします。
/profile_root/config/cells/cell_name/nodes/node_name/servers/webserver1/plugin-key.kdb
その後、Webサーバーを再起動します。
以下の文書の考慮点3をご参照ください。
- WAS 6.1の自己署名証明書・自動更新機能に関する注意 (2007年4月27日公開)
| 【これからWASを導入する場合】 |
- WASの導入時にプロファイルを作成するのではなく、まずはFixPackを適用して6.1.0.11以降にアップデートした後にプロファイルを作成します。プロファイル作成後も常にWASのFixPackを最新の状態にアップデートすることをお勧めいたします。
- 管理セキュリティーが必要ない場合には、プロファイル作成時に「管理セキュリティを有効にする」のチェックを外してください。管理セキュリティーは、プロファイル作成後に無効にすることもできます。
| 【お問い合わせ先】 |
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話:0120-557-971
受付時間:月~金 9:00~17:00(祝日、12/30~1/3を除く)
--
修正履歴
2008/01/22 公開
2008/02/05 誤字修正
2008/02/08 FAQへのLinkを追加
2008/03/05 自己署名証明書の置き換え手順へのリンクを追加
<添付資料>
<文書情報>
製品/カテゴリー名
WebSphere Application Server
有効期限
2015年01月22日
発表日
資料番号