|
 |
WAS DummyKeyRingの有効期限切れによりSSL通信ができなくなる問題について
|
|
|
2004年1月15日にWASのグローバルセキュリティー設定にデフォルトで用いられるDummyKeyRingの期限が切れ、SSL通信ができなくなる件です。
【現象】
WASでグローバルセキュリティーを用いる際にデフォルトでDummyKeyRingが用いられます。このDummyKeyRingファイルの期限は2004年1月15日ですので、以降WASを介したSSL通信ができなくなり、管理ツールを利用した管理が正常にできなくなる恐れがあります。
Global Securityを有効にすることにより、管理サーバーとツールの間の通信が暗号化されます。DummyKeyRingを使った暗号化では、WASを持っている人なら誰でもその秘密鍵を手に入れることができます。そのため、DummyKeyRingはテスト環境での使用のために提供されています。構成ガイド/InfoCenter等ではDummyKeyRingの使用は避けるようガイドしており、また管理コンソールには警告が出るため、実際に使用しているケースは、ほとんどないと考えられます。
また、WebSphere Portal Serverではインストーラーが自動的にGlobal SecurityをONにし、かつDefaultで設定されるDummyKeyRingを使用してしまうのでご注意ください。
|
【対象製品】
問題が起きる可能性があるのは以下の通りです。
- WebSphere Application Server V4の場合で以下の全ての条件を満たす場合
- WAS 4.0.6以下でfixPQ77261が適応されていない。
- グローバルセキュリティーをONにしている。
- プロパティーファイルsas.server.props、sas.clients.propsの中でSSL Key RingとしてDummyKeyRingを用いている。
- WebSphere Application Server V4の場合で、IHSのプラグインとWASの間でSSL通信を行い、その鍵ファイルとしてDummyKeyRingを用いている場合
- WAS V4 AEの場合、HTTPトランスポートプロパティーで「グローバルのSSLデフォルト構成」にチェックを入れた場合には、DummyKeyRingを使用した構成が行われる。
- WAS V4 AEsでは、デフォルトでSSLを有効にしたHTTPトランスポートが構成されており、DummyKeyRingが使用される。
- WebSphere Application Server V3の場合で以下の全ての条件を満たす場合
- グローバルセキュリティーをONにしている。
- プロパティーファイルsas.server.props、sas.clients.propsの中でSSL Key RingとしてDummyKeyRingを用いている。
また、WASの各バージョンとDummyKeyRingの有効期限の対応は以下の表の通りです。
| バージョン |
V3 (3.0.2) |
| Fixpack |
〜3.0.2.3 |
3.0.2.4 |
| PQ47370適用なし |
PQ47370適用あり |
| 有効期限 |
2003年7月21日 |
2004年1月15日 |
2004年1月15日 |
| 対応方法 |
− |
KEYの作成 |
KEYの作成 |
|
| バージョン |
V3.5 |
| Fixpack |
〜3.5.2 |
3.5.3 |
3.5.4〜3.5.7 |
PQ47370適用
なし |
PQ47370適用
あり |
| 有効期限 |
2003年
7月21日 |
2004年
1月15日 |
2004年
1月15日 |
2004年
1月15日 |
| 対応方法 |
− |
KEYの作成 |
KEYの作成 |
KEYの作成 |
|
| バージョン |
V4 |
| Fixpack |
4.0.0〜4.0.6 |
4.0.7〜 |
| PQ77261適用なし |
PQ77261適用あり |
| 有効期限 |
2004年1月15日 |
2021年(10月13日) |
2021年(10月13日) |
| 対応方法 |
PQ77261の適用
or
KEYの作成 |
不要
(KEYの作成を推奨) |
不要
(KEYの作成を推奨) |
|
|
【確認方法】
- グローバルセキュリティーがONになっているかを確認します。
(a)管理コンソールからの確認方法
- 管理コンソールを起動します。
- コンソール > セキュリティー・センター を開きます。
- セキュリティー・センターの一般タブ >[セキュリティーを使用可能にする]がチェックされていればグローバル・セキュリティーはONです。
(b)sas.server.propsからの確認方法<WAS_dir>/properties/sas.server.propsの以下の値がtrueならばグローバル・セキュリティーはONです。
com.ibm.CORBA.securityEnabled=true
- プロパティファイルsas.server.props、sas.clients.propsの中でSSLKeyRingとしてDummyKeyRingが使用されているかを確認します。
以下はDummyKeyRingが設定されている場合の例です。
【WAS 4の場合】
com.ibm.ssl.keyStore=c\:\\WebSphere\\AppServer/etc/
DummyServerKeyFile.jks
com.ibm.ssl.trustStore=c\:\\WebSphere\\AppServer/etc/
DummyServerTrustFile.jks
【WAS 3.5の場合】
sas.server.props
com.ibm.CORBA.SSLClientKeyRing=
com.ibm.websphere.DummyKeyring
com.ibm.CORBA.SSLKeyRing=
com.ibm.websphere.DummyKeyring
sas.client.props
com.ibm.CORBA.SSLServerKeyRing=
com.ibm.websphere.DummyKeyring
com.ibm.CORBA.SSLKeyRing=
com.ibm.websphere.DummyKeyring
- IHSプラグインとWASの間でDummyKeyRingを用いたSSL通信を行ってるかを確認します。
WAS V4 AEの場合、HTTPトランスポートプロパティーで「グローバルのSSLデフォルト構成」にチェックを入れた場合には、DummyKeyRingを使用した構成が行われます。
WAS V4 AEsでは、デフォルトでSSLを有効にしたHTTPトランスポートが構成されており、DummyKeyRingが使用されています。
|
| 【対応方法】
|
【お問合せ先】
PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
| 電話 |
:0120-557-971 |
| 受付時間 |
:月〜金 9:00〜17:00(祝日、12/30〜1/3を除く) |
|
【参考情報】
WAS V5でのDummyKeyRingの有効期限は以下の通りです。
| V5.0.0〜5.0.2.2 |
:2005年3月18日 |
| V5.1.0 |
:2021年10月14日 |
|
|
|
|
|
|
