Cisco Unified Videoconferencing Manager コン フィギュレーション ガイド リリース 7.0
JBoss アプリケーション サーバ上での Resource Manager による Secure Sockets Layer 接続の有効化
JBoss アプリケーション サーバ上での Resource Manager による Secure Sockets Layer 接続の有効化
発行日;2012/02/01 | 英語版ドキュメント(2009/10/23 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

JBoss アプリケーション サーバ上での Resource Manager による Secure Sockets Layer 接続の有効化

SSL を使用するコンポーネント ID

証明書の生成

新規証明書の作成

前提条件

証明書の生成(キーツールの使用)

SSL を使用する JBoss の設定

HTTPS を使用した のアクセス

JBoss アプリケーション サーバ上での Resource Manager による Secure Sockets Layer 接続の有効化

「SSL を使用するコンポーネント ID」

「証明書の生成」

SSL を使用するコンポーネント ID

Secure Sockets Layer(SSL)接続にはデジタル証明書が必要です。デジタル証明書には、所有者の ID など、所有者についての情報が登録されています。

SSL 接続の実行中に、クライアントがサーバ ID を識別できるように、サーバはその証明書をクライアントに示す必要があります。また、サーバがクライアント ID を識別できるように、クライアントがその証明書をサーバに示すこともできます。したがって、SSL はコンポーネント間で ID を伝播する手段といえます。

証明書の生成

「新規証明書の作成」

「前提条件」

「証明書の生成(キーツールの使用)」

「SSL を使用する JBoss の設定」

「HTTPS を使用した Resource Manager のアクセス」

新規証明書の作成

証明書が信頼できるサードパーティによって署名されている場合、クライアントは証明書の内容を信頼できます。認証局(CA)は信頼できるサードパーティとしての機能を果たし、証明書要求者に関する情報に基づいて証明書に署名します。

新規証明書を作成するオプションには次の 2 つがあります。

自分に代わって CA が証明書を生成するよう要求する。

CA は新規証明書を作成、デジタル署名し、要求者に配信します。一般的な Web ブラウザは、特定の CA によって署名された証明書を信頼できるように事前設定されています。クライアントは SSL 接続によってサーバに接続するためのクライアント設定は不要です。したがって、サーバにアクセスするクライアントすべてに設定するのが現実的でない場合、CA が署名した証明書を使うのが便利です。

自己署名証明書を生成する。

このオプションは迅速にでき、証明書を作成するための詳細は少なくて済みますが、CA は証明書に署名しません。SSL 接続によってこのサーバに接続するクライアントは、この証明書の信頼できる署名者として管理者に設定してもらう必要があります。このため、自己署名証明書が便利なのは、証明書を信頼するように各クライアントを設定できる場合だけです。自己署名証明書を信頼できないクライアントに提示できる場合もあります。Web ブラウザによっては、証明書を受け取り、クライアント信頼ファイルに登録されているいずれとも証明書が一致しない場合、接続を信頼して信頼ファイルに追加するかどうかを問い合わせるプロンプトが表示されます。

前提条件

Cisco Unified Videoconferencing Manager は JBoss アプリケーション サーバ プラットフォームを使用しています。JBoss アプリケーション サーバは Cisco Unified Videoconferencing Manager に自動的にインストールされます。

SSL を JBoss で使用するには、次の条件を満たす必要があります。

証明書がある。

この証明書を使用するように JBoss を設定している。

証明書を JKS キーストアに格納している。

証明書の生成(キーツールの使用)

キーツールはコマンド ライン Java ユーティリティです。このセクションでは、キーツールを使用して秘密および公開自己署名証明書のキー ペアを作成する方法を説明します。

手順


ステップ 1 DOS ウィンドウを開き、JDK または JRE bin ディレクトリを指定するパスを設定します。例はその例です。

D:¥>set path= D:¥jdk1.5.0¥bin

ステップ 2 自己署名証明書のキー ペアを作成します。例はその例です。

D:¥>keytool -genkey -keyalg RSA

-dname "cn=scheduler,ou=users,ou=yourcountry,

DC=yourcompany,DC=com"

-alias scheduler -keypass yourcompany -keystore

scheduler.keystore

-storepass yourcompany

ステップ 3 秘密キーとして RSA を指定し、RSA 署名アルゴリズムによる MD5 を使用できるようにします。

すべての Web ブラウザが、DSA 暗号アルゴリズム(RSA が指定されていない場合のデフォルト)をサポートしているわけではありません。

ステップ 4 6 文字以上のパスワードを設定して秘密キーを保護します。

ステップ 5 キーストア ファイルとキーストア パスワードを指定します(オプションは storepass)。

各文字列は 1 行に入力します。

ステップ 6 証明書への署名要求を送信しない場合は、「SSL を使用する JBoss の設定」 に進みます。

ステップ 7 証明書署名要求を生成します。例はその例です。

D:¥>keytool -certreq -v -alias scheduler -file scheduler.csr -keypass yourcompany

-keystore scheduler.keystore -storepass yourcompany

この要求では、次のような出力が生成されます。

Certification request stored in file <scheduler.csr>

ステップ 8 署名用に選択した CA にファイル scheduler.csr を送信します。

ステップ 9 署名された証明書の内容をファイルに保存します。scheduler.cer といった名前にします。

ステップ 10 CA によって信頼されたルート証明書をキーストアにインポートします。例はその例です。

D:¥>keytool -import -alias "Provider Test CA Root" -file "Provider Test Root.cer"

-keystore scheduler.keystore -storepass yourcompany

ここで、

「Provider Test CA Root」は、テスト CA ルート バイナリとテキスト ファイルが含まれるディレクトリです。

「Provider Test Root.cer」は、テスト CA ルート バイナリ ファイルです。

コマンドが正常に実行されると、次の出力が表示されます。

Certificate was added to keystore

ステップ 11 最初に自己署名証明書に指定された同じ別名を使用して、証明書応答を CA からキーストア ファイルにインポートします。

この例では、別名は scheduler です。代替別名を使用すると、個人証明書チェーンではなく新規に署名された証明書が生成されます。

D:¥>keytool -import -trustcacerts -alias scheduler -file scheduler.cer

-keystore scheduler.keystore -storepass yourcompany

コマンドが正常に実行されると、次の出力が表示されます。

Certificate reply was installed in keystore

これで、使用する有効な証明書を格納するキーストア ファイルを作成できました。


 

SSL を使用する JBoss の設定

SSL を使用するように JBoss アプリケーション サーバを設定します。

手順


ステップ 1 scheduler.keystore ファイルを、次のフォルダにコピーします。

<Resource Manager installation directory>¥jboss¥server¥default¥conf

ステップ 2 jboss¥server¥default¥deploy¥jbossweb-tomcat50.sar にあるファイル server.xml を開きます。

ステップ 3 次の行で始まるセクションを検索します。

<!-- SSL/TLS Connector configuration using the admin devl guide keystore

ステップ 4 コメント記号を削除し、次の変更を行います。

a. SSL/TLS コネクタのコメントアウトを解除します。

b. キーストア ファイルを chap8.keystore から scheduler.keystore に変更します。

c. keystorePass を rmi+ssi から yourcompany に変更します。

d. Resource Manager にアクセスする場合は、ユーザがポートを入力する必要がないように、ポートを 8443 から 443 に変更することを推奨します。ポート 80 と同様、ポート 443 は HTTPS ポートです。

修正したテキストは次のようになります。

<!-- A HTTP/1.1 Connector on port 8080 or 80 -->

<Connector port="8080" address="${jboss.bind.address}"

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" redirectPort=" 443 " acceptCount="100"

connectionTimeout="20000" disableUploadTimeout="true"/>

<!-- A AJP 1.3 Connector on port 8009 -->

<Connector port="8009" address="${jboss.bind.address}"

enableLookups="false" redirectPort=" 443 " debug="0"

protocol="AJP/1.3"/>

<!-- SSL/TLS Connector configuration using the admin devl guide keystore -->

<Connector port="443" address="${jboss.bind.address}"

maxThreads="100" minSpareThreads="5" maxSpareThreads="15"

scheme="https" secure="true" clientAuth="false"

keystoreFile="${jboss.server.home.dir}/conf/

scheduler.keystore"

keystorePass="yourcompany" sslProtocol = "TLS" />

<!-- -->

ステップ 5 JBoss を再起動します。


 

HTTPS を使用した Resource Manager のアクセス

手順


ステップ 1 https://localhost または https://localhost:8443(ポート 443 ではなくポート 8443 を使用する場合)形式で URL を入力します。

使用中の証明書が Internet Explorer によって信頼されていないテスト ルート証明書、または自己署名証明書の場合は、セキュリティ アラートが表示されます。

ステップ 2 [Yes] をクリックし、Resource Manager にアクセスします。

ステップ 3 [View Certificate] を選択し、今後ログイン時にこのメッセージが表示されないようにします。

ステップ 4 [Install Certificate] を選択します。

証明書をインストール後は、今後のサインイン時にセキュリティ アラートは表示されません。