SSL (HTTPS) を使用するよう HTTPInput および HTTPReply ノードを構成する

このタスク・トピックでは、HTTPInput および HTTPReply ノードが HTTP over SSL を使用して他のアプリケーションと通信するよう構成する方法を説明します。 タスクは Windows システムに必要なステップを示していますが、他のプラットフォームでもほとんど同一のタスクが必要です。

ブローカーの証明書を保管する鍵ストア・ファイルを作成する

WebSphere Message Broker には Java ランタイム環境が含まれており、これは keytool という名前の鍵ストア操作プログラムを提供しています。このコマンドを呼び出すには、以下のステップを行います。

  1. 「スタート」 > 「IBM WebSphere Message Brokers 6.0」 > 「コマンド・コンソール」を選択して、ブローカー・コマンド・コンソールをオープンします。
  2. コマンド・コンソールで、以下のコマンドを入力します。
    "%MQSI_FILEPATH%¥jre¥bin¥keytool"
    これによってヘルプ・オプションが表示されるので、コマンドが作動していることを確認できます。
  3. keytool コマンドを使用して、鍵ストアを作成します。 コマンド・コンソールで、以下のコマンドを入力します。
    "%MQSI_FILEPATH%¥jre¥bin¥keytool" -genkey -keypass password
    -keystore keystore file -alias tomcat
    password
    鍵ストアに使用されるパスワード。
    keystore file
    鍵ストア・ファイルの完全修飾名。このファイルは通常 .keystore と呼ばれ、メッセージ・ブローカー・ユーザーのホーム・ディレクトリーに配置されています。
    次いでコマンドは、証明書の生成に使用される、いくつかの個人詳細の入力を求めるプロンプトを出します。 すべての値が入力されると、鍵ストアが生成されるか、または追加されます (すでに存在している場合)。

    これらの値は必要な任意の値に設定できますが、ブローカー上のプロパティーは、これらの値を反映するように変更しなければなりません。 -genkey は、HTTPS を作動させるのに必要なすべての証明書ファイルを生成しますが、それらは公式の証明書ではなく、実動システムでの使用はお勧めしません。 証明書発行組織から実際の証明書を購入しなければなりません。 証明書の作成に関する会社のポリシーを調べるには、システム管理者に相談してください。 認証局によって生成された証明書をインポートするには、-genkey オプションの代わりに -import オプションを使用してください。

これで、鍵ストアが作成され、ブローカーで使用できるようになりました。

特定のポート上で SSL を使用するようブローカーを構成する

ブローカーが HTTP over SSL を使用するためには、いくつかのプロパティーを設定する必要があります。 これらのプロパティーのすべては、mqsichangeproperties コマンドを使用して変更できます。 プロパティーは以下のように変更します。

これらのプロパティーがすべて、ご使用のシステムに対して正確な値に設定されたことを確認してください。 設定が必須なのは enableSSLConnector プロパティーだけです。 他の 3 つのプロパティーにはデフォルト値があります。 しかし、これらのデフォルト値を変更することをお勧めします。 mqsichangeproperties コマンドは、すべてのプロパティーのデフォルト値をリストします。

HTTPS 要求を処理するメッセージ・フローを作成する

HTTPS 機能の働きを示す最も簡単なメッセージ・フローは、HTTPReply ノードに直接に接続された HTTPInput ノードを持つメッセージ・フローです。HTTPInput ノードに設定する 2 つの重要なプロパティーは以下のものです。

  • 「URL セレクター」。例えば /* または /testHTTPS
  • 「HTTPS の使用」。HTTPS を使用する場合は、ボックスに印を付けます。

/* は、HTTPInput ノードが、指定されたポート上の HTTP リスナーに送信されるあらゆる要求を処理することを意味します。これは、テストの場合には有用ですが、実動の場合にはお勧めしません。

これで、メッセージ・フローをブローカーにデプロイできます。 他のすべてのステップが完了してこの時点に達すると、HTTPS リスナーが開始したことを示す BIP3132 メッセージがローカル・システム・ログ (Windows の場合はイベント・ログ) に表示されます。

これで、システムをテストすることができます。

例のテスト

HTTPS が正しく構成されたかどうかをテストする最も簡単な方法は、HTTPS を介してブローカーに要求を行うために Web ブラウザーを使用することです。

Web ブラウザーを開始して、以下の URL を入力します。
 https://localhost:7083/testHTTPS
ブローカー構成に加えた変更を反映する形で URL の値を変更します。証明書を受け入れるかを尋ねるポップアップ・ウィンドウが表示されたならば、すべての質問に対して「はい」を選択します。するとブラウザーは最新表示して、空の HTML ページの構造を表示します。Mozilla ブラウザーでは、これは以下の例のように表示されます。
<html>   
  <body/> 
</html>
Internet Explorer では、以下の情報が表示されます。
XML ドキュメントには最上位の要素を指定する必要があります。リソース 'https://localhost:7083/testHTTPS' の実行エラーです。

これらの応答は、ブランク・ページが戻されたことを意味し、セットアップが正常に処理されたことを示します。 戻されるページに内容を追加するため、フローに compute ノードを追加できます。

別の HTTPS クライアントを使用して、HTTPS 要求を処理できます。 クライアントの資料を読んで、SSL を介したクライアント接続を作成するには、クライアントをどのように構成したらよいかを調べます。

Web ブラウザーの代わりに、Java または .net クライアントなどの別の HTTPS クライアントを使用できます。 クライアントのタイプによっては、keytool で作成された証明書を HTTP リスナーの鍵ストア・ファイルからエクスポートした後、クライアント自身の鍵ストアにインポートする必要があります。 クライアントの資料を調べて、SSL を介したクライアント接続を作成するには、クライアントをどのように構成したらよいかを確認してください。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック
Copyright IBM Corporation 1999, 2006 最終更新: 08/21/2006
ap12234_