HTTPSプロトコル用WebサーバーでSSLを有効にする

SSL（Secure Sockets Layer）とは、暗号化されたデータと証明書を用いて認証することで、ブラウザーとWebサーバー間の通信を安全に行うためのプロトコルです。

WebサーバーコンポーネントでSSLを有効にすると、デジタル証明書に紐付けできます。Webサーバーコンポーネントには、既存のデジタル証明書、お客様が生成した個人の証明書を置き換える自己署名証明書があります。

SSLを構成する前に、デジタル証明書を取得し、基本製品がインストールされているコンピューターに保存する必要があります。証明書をインストールするときは、認証局（CA）の指示に従ってください。また、サーバーに置くキーストアの場所とキーストアのパスワードを把握しておく必要があります。

また、後で復元が必要な場合に簡単に見つけられるように、ファイルを安全な場所に保存してください。

キーとキーストアを生成するには、Java keytoolコマンドを使用します。keytoolの使用方法は、認証局またはJavaの使用説明書を参照してください。

SSLを構成するには、以下の操作を行います。

1. 信頼できる認証局(CA)からデジタル証明書を購入します。
2. InfoPrint Managerサーバーがインストールされるコンピューターに証明書をインストールするには、認証局（CA）の指示に従ってください。

3. キーとキーストアを生成するには、Java keytoolコマンドを使用します。keytoolコマンドの使用については、Javaの使用説明書を参照してください。キーストアの場所とキーストアのパスワードを書き留めます。後で必要になるためです。

4. InfoPrint Managerの管理者としてコンピューターにログインします。
5. InfoPrint Managerシステムユーザーのhomeディレクトリーに事前に作成しておいた.keystoreファイルをコピーします。
6. .keystore ファイルの所有者を適切な所有者およびグループに変更します。system_ userをInfoPrint ManagerのユーザーID、system_groupをInfoPrint Managerグループを置き換えて、コマンドにchown system_user:system_group .keystoreを入力します。

   デフォルトのシステムユーザーはipm1で、デフォルトのグループはsysです。

7. .keystoreファイルのコピーと所有者の変更ができない場合は、メインコンピューターでログアウトしてからrootユーザーとして再ログインするか、suを使用してrootユーザーにして前の2つの手順を行います。
8. InfoPrint Managerのユーザーに切り替えます。system_ userをInfoPrint ManagerユーザーIDを置き換えてコマンドのsu - system_userを入力します。
9. /usr/lpp/pd/ipmws/confディレクトリーに移動します。
10. server.xmlファイルを開き、以下の変更を行います。
    1. 次のコードを見つけます。

       <!-- Define an SSL Coyote HTTP/1.1 Connector on port 8443 -->
       <Connector
       protocol="org.apache.coyote.http11.Http11NioProtocol"
       port="14443"
       maxThreads="150"
       SSLEnabled="true">
       <SSLHostConfig>
       <Certificate
       certificateKeystoreFile="etc/InfoPrint.keystore"
       certificateKeystorePassword="changeit"
       type="RSA"
       ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
       TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,                                                             
       TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,
       TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,
       TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,                                         
       TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,           
       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
       TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
       TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,
       TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,
       TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
       TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,
       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,
       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
       TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
       TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,
       TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,
       TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,
       TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA"
       
       1        />
       2    </SSLHostConfig>
       3  </Connector>
       

    2. コードのコメントを解除します。
    3. keystoreFileの値を.keystoreファイルへのパスに置き換えます。
    4. keystorePass値をキーストアへのパスワードに変更してkeystore_passwordを置き換えます。
    5. ファイルを保存して閉じます。
11. デフォルトのポート（14000）以外のポートを使用する場合は、pdwsinitportsユーティリティーを実行します。
12. InfoPrint ManagerのWebサーバーを再起動します。
13. Webブラウザーを開き、以下のアドレスを入力してInfoPrint Managerがインストールされているコンピューターのホスト名またはIPアドレスとサーバー名を置き換え、安全な接続を確認します。

    https://server-name:14443/IPM.

自己署名証明書を使用するか、証明書がサーバーに具体的に紐付けされていない場合は、証明書が信頼されていないという内容の警告をWebブラウザーから受け取ります。

インストールサービスの更新またはInfoPrint Managerの新しいバージョンをインストールする場合は、WebサーバーコンポーネントでSSL設定がインストールプロセスによって消去されるため、SSLを再有効化してください。

デジタル証明書を更新または交換する場合は、キーストアに新しい証明書をインストールし、古い証明書を削除します。InfoPrint Managerはキーストアで新しい証明書を見つけることができるため、このタスクの再実行は不要です。