WAS v5.0 において、SSL通信の証明書として提供されているDummyKeyRingの有効期限が2005年3月18日に切れます。これにより、SSL通信を使用したWebアプリケーションや管理ツールの使用ができなくなる恐れがあります。 ※当問題はWebサーバーとクライアントの間でSSL通信を行っている場合に、WASのデフォルト設定でDummyKeyRingが使われてしまう問題です。WAS V5.0をご利用の方は、今一度ご確認ください。 ※【重要なお知らせ】 2005年2月21日「WAS5_ND_キーファイル置き換え手順書」を修正致しました。
WebSphere Application Server(以下WAS) v5.0 において、SSL通信の証明書としてデフォルトで提供されているDummyKeyRingの有効期限は2005年3月18日です。 このDummyKeyRingを使用している場合、2005年3月18日以降、WASを介したSSL通信ができなくなり、SSL通信を使用したWebアプリケーションの使用ができなくなる恐れがあります。また、グローバル・セキュリティーを有効にしている場合、WASの管理用ツールが正常に使用できなくなくなる恐れがあります。 DummyKeyRingは、製品導入時に構成されている(SSLが有効の)HTTPトランスポートで使用されているほか、グローバルセキュリティを有効にした際に使用した際にもデフォルトで使用されます。HTTPサーバーにSSLの構成を行っていると、意図せずDummyKeyRingを使用したHTTPトランスポートが使用され、証明書の期限切れによる通信障害が発生することがあります。該当バージョンのWASでHTTPサーバーにSSLを構成されている場合には、下記の確認方法にしたがってサーバーの確認をお願いします。 DummyKeyRingを使った暗号化では、WASを持っている人なら誰でもその秘密鍵を手に入れることができるため安全な通信が行えません。そのため、DummyKeyRingは本番環境での使用には適しておらず、テスト環境での使用のために提供されています。 構成ガイド/InfoCenter等ではDummyKeyRingの使用は避けるようガイドしています。
1. WASのバージョンの確認方法 1. 管理コンソールを起動します。 2. ログオンした最初の画面で、右上の「WebSphere Application Serverについて」の欄を確認します。 2. [Webサーバー]-[WAS]間のHTTPトランスポートがDefaultSSLSettingsを使用したSSL設定になっているかの確認方法 1. 管理コンソールを起動します。 2. [サーバー]>[アプリケーション・サーバー]を開き、[アプリケーション・サーバー名]を選択します。(すべてのアプリケーション・サーバーについて確認します。) 3. 「追加プロパティー」の[Webコンテナー]を選択します。 4. 「追加プロパティー」の[HTTPトランスポート]を選択します。 5. 「SSL使用可能」の値が「true」になっているものすべてについて、[ホスト名]のリンクを選択します。 6. 「一般プロパティー」の「SSL使用可能」と「SSL」が下記のようになっている場合は、DefaultSSLSettingsを使用したSSL設定になっています。 SSL使用可能:「SSL使用可能にする」にチェックあり SSL:[ノード名]/DefaultSSLSettings 3. グローバルセキュリティーが有効になっているかの確認方法 1. 管理コンソールを起動します。 2. [セキュリティー]>[グローバル・セキュリティー]を開きます。 3. 「一般プロパティー」の「使用可能」の欄にチェックがある場合は、グローバル・セキュリティーが有効になっています。 4. 「DefaultSSLSettings」の設定の中で、DummyKeyringが指定されているかの確認方法 1. 管理コンソールを起動します。 2. [セキュリティー]>[SSL]を開きます。 3. 「SSL構成レパートリー」として、表示される[[ノード名]/DefaultSSLSettings]のリンクを選択します。(ND構成の場合は複数表示されますので、すべてについて確認します。) 4. 「一般プロパティー」の「鍵ファイル名」と「トラスト・ファイル名」が下記のようになっている場合は、DummyKeyRingを指定した設定になっています。 鍵ファイル名:${USER_INSTALL_ROOT}/etc/DummyServerKeyFile.jks トラスト・ファイル名:${USER_INSTALL_ROOT}/etc/DummyServerTrastFile.jks 5. [Webサーバー]-[WAS]間の証明書ファイルとして、plugin-key.kdbが使用されているかの確認方法 ※この確認はWebサーバーとWASが別筐体の場合は、必ずWebサーバー側で行ってください。[WAS_Install_Root]/config/cells/plugin-cfg.xmlに下記のような記述が存在するかどうかを確認してください。 <transport hostname="matrix" port="9080" protocol="http"> <transport hostname="matrix" port="9443" protocol="https"> <property name="keyring" value="[WebSphere_Install_Root]/etc/plugin-key.kdb"/> <property name="stashfile" value="[WebSphere_Install_Root]/etc/plugin-key.sth"/> <property name="certLabel" value="selfsigned"/> </transport>
確認方法の詳細は、以下をご参照ください。
PAテクニカルサポート総合窓口 (有効なメンテナンス契約IBM番号をお持ちのお客様) 電話:0120-557-971 受付時間:月〜金 9:00〜17:00(祝日、12/30〜1/3を除く)
2005年3月11日 現象および確認方法を修正致しました。 2005年2月25日 手順書リンクの変更および対象製品追加のリンク先を修正致しました。 2004年12月15日 「WAS5 ND キーファイル置き換え手順書」のリンク先を修正致しました。 2004年11月26日 「WAS5 ND キーファイル置き換え手順書」のリンク先を修正致しました。
