CA CSM の設定 › HTTPS を使用するための CA CSM の設定 › 外部セキュリティ マネージャに格納された証明書を使用した HTTPS の有効化

外部セキュリティ マネージャに格納された証明書を使用した HTTPS の有効化

デジタル証明書を格納する外部セキュリティ マネージャ（たとえば、CA Top Secret for z/OS、CA ACF2 for z/OS または IBM RACF）を使用して、ユーザ アクセスに対して HTTP の代わりに HTTPS を使用するように CA CSM を手動で設定できます。

以下の手順に従います。

1. Apache Tomcat 用のデジタル証明書を生成し、お使いの外部セキュリティ マネージャの適切な手順を使用して、SAF キー リングにそれを添付します。

   証明書は、RSA アルゴリズムを使用して生成することをお勧めします。 推奨される証明書エイリアスは Tomcat です。

2. 以下のように、Apache Tomcat を設定します。
   1. Apache Tomcat サーバを停止します。
   2. tomcat/conf に移動し、server.xml ファイルを開きます。
   3. 以下のように、SSL コネクタの部分のコメントを解除するか、または置換します。

      <!-- Define a SSL HTTP/1.1 Connector on port 8443 -->
         <Connector port="30308" maxHttpHeaderSize="8192"
                maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
                enableLookups="false" disableUploadTimeout="true"
                SSLEnabled="true"
                algorithm="IbmX509"
                acceptCount="100" scheme="https" secure="true"
                clientAuth="false" sslProtocol="TLS"
                sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
                keystoreType="JCERACFKS"
                keystoreFile="safkeyring://KEY_RING_OWNER/KEY_RING_NAME"
                sslImplementationName="com.ca.sslsocket.CASSLImplementation" />
      

   4. ポート パラメータをニーズに合わせて変更します。
   5. 証明書を含む SAF キー リングを示すように、keystoreFile パラメータを変更します。
      1. KEY_RING_OWNER をApache Tomcat サーバを実行するユーザの ID に置換します。 ユーザにはそのキー リングの READ 権限が必要です。
      2. KEY_RING_NAME をキー リング名に置換します。

      例： keystoreFile="safkeyring://MSMSERV/CSMKEYRING"

   6. 外部セキュリティ マネージャでデジタル証明書を管理するために IBM Integrated Cryptographic Services Facility （ICSF）がサイトで使用されている場合は、keystoreType パラメータを JCECCARACFKS の値に変更します。
   7. Apache Tomcat で受信接続では常に HTTPS が強制的に使用されるようにする場合は、HTTP をオーバーライドするよう HTTPS を設定します。
3. Apache Tomcat サーバを起動します。

   注： Apache Tomcat サーバの起動時、以下のメッセージが出力に表示される可能性があります。

   WARNING: configured file: ./path/safkeyring://KEY_RING_OWNER/KEY_RING_NAME. does not exist.
   

   このメッセージは無視してもかまいません。

4. TLS 暗号化を使用するために、以下のようにしてブラウザを有効にします。
   • Microsoft Internet Explorer を使用する場合は、［ツール］-［インターネット オプション］ - ［詳細設定］の順にクリックし、［セキュリティ］の下の［TLS 1.0 を使用する］チェック ボックスをオンにします。
   • Mozilla Firefox を使用する場合は、［ツール］-［オプション］-［詳細］の順にクリックし、［暗号化］タブの［TLS 1.0 を使用する］チェック ボックスをオンにします。
5. ブラウザを再起動します。
6. HTTPS URL にアクセスします。

   注： お使いのブラウザから HTTPS URL に初めてアクセスすると、証明書を信頼することを確認するメッセージが表示される場合があります。

7. ［Yes］をクリックし、信頼済みの証明書にこの証明書を追加します。

注： 詳細については、Apache Tomcat 7.0 Servlet/JSP Container のドキュメントを参照してください。