SSL (HTTPS) を使用するよう HTTPInput および HTTPReply ノードを構成する

変更の始まり鍵ストア・ファイルを作成し、SSL を使用するようにブローカーを構成し、HTTPS 要求を処理するためのメッセージ・フローを作成することにより、 HTTPInput および HTTPReply ノードが HTTPS を使用して 他のアプリケーションと通信するように構成します。変更の終わり

以下のステップに従って、 HTTPInput および HTTPReply ノードが HTTP over SSL を使用して他のアプリケーションと通信するよう構成します。

ブローカーの証明書を保管する鍵ストア・ファイルを作成する

WebSphere® Message Broker には Java ランタイム環境が含まれており、これは keytool という名前の鍵ストア操作プログラムを提供しています。このコマンドを呼び出すには、以下のステップを行います。

  1. 「スタート」 > 「IBM WebSphere Message Brokers 6.0」 > 「コマンド・コンソール」を選択して、ブローカー・コマンド・コンソールをオープンします。
  2. コマンド・コンソールで、以下のコマンドを入力します。
    "%MQSI_FILEPATH%¥jre¥bin¥keytool"
    これによってヘルプ・オプションが表示されるので、コマンドが作動していることを確認できます。
  3. 変更の始まりkeytool コマンドを使用して鍵ストアを作成し、 新しい自己署名証明書 (または鍵ペア) を生成します。
    1. コマンド・コンソールで、以下のコマンドを入力します。
      "%MQSI_FILEPATH%\jre\bin\keytool" -genkey -keystore keystore file
       -storepass password -alias mykey
      ここで、 keystore file は鍵ストア・ファイルの完全修飾名、 password は鍵ストアに使用されるパスワード、 mykey は生成される新しい鍵ペアに付与される名前 (またはラベル) です。 一般に、鍵ストア・ファイルは .keystore と呼ばれ、WebSphere Message Broker ホーム・ディレクトリーに置かれます。
    2. 証明書の生成に必要な個人の詳細情報を入力します。
    3. 別名の鍵パスワードの入力を求めるプロンプトが出たなら、 Enter キーを押して鍵ストアと同じパスワードを使用します。 鍵ストアが生成されるか、または (既に存在する場合は) 更新されます。

    このコマンドは、ブローカーによってサポートされる唯一のストア・タイプである、タイプ JKS の鍵ストアを作成します。

    これらのパラメーターは任意の値に設定できますが、 それらの設定を反映するようにブローカー上のプロパティーを変更する必要があります。

    -genkey パラメーターは、 HTTPS がテスト目的で機能するために必要なすべての証明書ファイルを生成しますが、 それらは実動システムでの使用には適していません。 認証局から正式な証明書を購入する必要があります。 証明書の作成に関する会社のポリシーを調べるには、システム管理者に相談してください。

    認証局によって生成された証明書をインポートするには、-genkey パラメーターの代わりに -import パラメーターを使用してください。

    変更の始まり使用しているサーバー鍵と暗号とが、相互に互換性のあることを確認する必要があります。例えば、サーバーが DSA 鍵を使用していて、 クライアントが SSL_DHE_RSA_WITH_AES_128_CBC_SHA 暗号を使用している場合、 サーバーで RSA 鍵を使用する必要があります。変更の終わり

    変更の始まりサーバー鍵を RSA に変更するには、以下のパラメーターを keytool コマンドの -alias パラメーターの前に追加します。
       -keyalg RSA
    変更の終わり
    変更の終わり

これで、鍵ストアが作成され、ブローカーで使用できるようになりました。

特定のポート上で SSL を使用するようブローカーを構成する

ブローカーが HTTP over SSL を使用するためには、いくつかのプロパティーを設定する必要があります。 これらのプロパティーのすべては、mqsichangeproperties コマンドを使用して変更できます。プロパティーは以下のように変更します。

これらの各プロパティーが、ご使用のシステムに対して正確な値に設定されていることを確認してください。 enableSSLConnector プロパティーだけを設定する必要があります。 他の 3 つのプロパティーにはデフォルト値があります。 mqsichangeproperties コマンドは、すべてのプロパティーのデフォルト値をリストします。

変更の始まりUNIX システムでは、 特権ユーザー・アカウント (ほとんどの場合はルート) の下で実行するプロセスだけが、 1024 よりも低い番号のポートにバインドできます。 ブローカーがこれらのポートを listen するには、 ブローカーのサービス・ユーザー ID がルートでなければなりません。変更の終わり

HTTPS 要求を処理するメッセージ・フローを作成する

変更の始まりHTTPInput ノードを HTTPReply ノードに接続することによって、 HTTPS を使用するための簡単なメッセージ・フローを作成できます。 HTTPInput ノードに設定する最も重要な 2 つのプロパティーは、以下のとおりです。変更の終わり

  • URL のパス接尾部。 例えば /* または /testHTTPS
  • 「HTTPS の使用」

/* は、HTTPInput ノードが、指定されたポート上の HTTP リスナーに送信されるあらゆる要求を処理することを意味します。これは、テストの場合には有用ですが、実動システムの場合にはお勧めしません。

これで、メッセージ・フローをブローカーにデプロイできます。 他のすべてのステップが完了してこの時点に達すると、 HTTPS リスナーが開始したことを示す BIP3132 メッセージがローカル・システム・ログ (Windows の場合はイベント・ログ) に表示されます。

これで、システムをテストすることができます。

例のテスト

HTTPS が正しく構成されているかどうかをテストする最も簡単な方法は、 HTTPS を介してブローカーに要求を行うために Web ブラウザーを使用することです。

Web ブラウザーを開始して、以下の URL を入力します。
 https://localhost:7083/testHTTPS
ブローカー構成に加えた変更を反映する形で URL の値を変更します。証明書を受け入れるかを尋ねるウィンドウが表示されたならば、 「はい」を選択します。 ブラウザーはウィンドウを最新表示して、空の HTML ページを表示します。 Mozilla ブラウザーでは、空の HTML ページは次の例のようになります。
<html>   
  <body/> 
</html>
Internet Explorer では、以下の情報が表示されます。
XML ドキュメントには最上位の要素を指定する必要があります。Error processing resource
'https://localhost:7083/testHTTPS'

これらの応答は、ブランク・ページが戻されたことを意味し、セットアップが正常に処理されたことを示します。 空のページに内容を追加するため、フローに compute ノードを追加できます。

別の HTTPS クライアントを使用して、HTTPS 要求を処理できます。 クライアントの資料を読んで、SSL を介したクライアント接続を作成するには、クライアントをどのように構成したらよいかを調べます。

Web ブラウザーの代わりに、Java または .net クライアントなどの別の HTTPS クライアントを使用することもできます。 クライアントのタイプによっては、(keytool で作成された) 証明書を HTTP リスナーの鍵ストア・ファイルからエクスポートした後、 クライアントの鍵ストアにインポートする必要があります。 クライアントの資料を参照して、SSL を介したクライアント接続を作成するには、クライアントをどのように構成したらよいかを確認してください。

特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
最終更新 : 2009-02-20 12:44:23

ap12234_