HTTPSプロトコル用WebサーバーでSSLを有効にする

SSL（Secure Sockets Layer）とは、暗号化されたデータと証明書を用いて認証することで、ブラウザーとWebサーバー間の通信を安全に行うためのプロトコルです。

WebサーバーコンポーネントでSSLを有効にすると、デジタル証明書に紐付けできます。Webサーバーコンポーネントには、既存のデジタル証明書、お客様が生成した個人の証明書を置き換える自己署名証明書があります。

SSLを構成する前に、デジタル証明書を取得し、基本製品がインストールされているコンピューターに保存する必要があります。証明書をインストールするときは、認証局（CA）の指示に従ってください。また、サーバーに置くキーストアの場所とキーストアのパスワードを把握しておく必要があります。

また、後で復元が必要な場合に簡単に見つけられるように、ファイルを安全な場所に保存してください。

キーとキーストアを生成するには、Java keytoolコマンドを使用します。keytoolの使用方法は、認証局またはJavaの使用説明書を参照してください。

SSLを構成するには、以下の操作を行います。

1. 信頼できる認証局(CA)からデジタル証明書を購入します。
2. InfoPrint Managerサーバーがインストールされるコンピューターに証明書をインストールするには、認証局（CA）の指示に従ってください。

3. キーとキーストアを生成するには、Java keytoolコマンドを使用します。keytoolコマンドの使用については、Javaの使用説明書を参照してください。キーストアの場所とキーストアのパスワードを書き留めます。後で必要になるためです。

4. InfoPrint Managerの管理者としてコンピューターにログインします。
5. 事前に作成した.keystoreファイルを、InfoPrint Managerシステムユーザーのhomeディレクトリーにコピーします。
6.  .keystore ファイルの所有者を適切な所有者およびグループに変更します。 system_ userを InfoPrint Manager のユーザーID、 system_groupをInfoPrint Managerグループに置き換えて、コマンドにchown system_user:system_group .keystoreを入力します。

   デフォルトのシステムユーザーは ipm1 で、デフォルトのグループは sysです。

7.  .keystore ファイルのコピーと所有者の変更ができない場合は、メインコンピューターでログアウトしてからrootユーザーとして再ログインするか、 su を使用してrootユーザーにして前の2つの手順を行います。
8. InfoPrint Managerのユーザーに切り替えます。コマンドにsu - system_userを入力し、system_ userにInfoPrint ManagerユーザーIDを置き換えます。
9. /usr/lpp/pd/ipmws/confディレクトリーに移動します。
10. server.xmlファイルを開き、以下の変更を行います。
    1. 次の構成を見つけてコメントを外します。

        <Connector
        protocol="org.apache.coyote.http11.Http11NioProtocol"
        port="14443"
        maxThreads="150"
        SSLEnabled="true">
        <SSLHostConfig  protocols="TLSv1.2+TLSv1.3" 
        ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
        TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
        TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,  
        TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384, 
        TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,
        TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,
        TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384, 
        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
        TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
        TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,
        TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,
        TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,
        TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,
        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
        TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,
        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
        TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
        TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,
        TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,
        TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,
        TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA">
                                       
        <Certificate
        certificateKeystoreFile="etc/InfoPrint.keystore"
        certificateKeystorePassword="changeit"
        type="RSA"/>
        </SSLHostConfig>
        </Connector>
       

    2. keystoreFileの値を.keystoreファイルへのパスに置き換えます。
    3. keystorePass値をキーストアへのパスワードに変更してkeystore_passwordを置き換えます。
    4. ファイルを保存して閉じます。
11. デフォルトのポート（14000）以外のポートを使用する場合は、pdwsinitportsユーティリティーを実行します。
12. InfoPrint ManagerのWebサーバーを再起動します。
13. Webブラウザーを開き、以下のアドレスを入力してInfoPrint Managerがインストールされているコンピューターのホスト名またはIPアドレスとサーバー名を置き換え、安全な接続を確認します。

    https://server-name:14443/IPM.

自己署名証明書を使用するか、証明書がサーバーに具体的に紐付けされていない場合は、証明書が信頼されていないという内容の警告をWebブラウザーから受け取ります。

インストールサービスの更新またはInfoPrint Managerの新しいバージョンをインストールする場合は、WebサーバーコンポーネントでSSL設定がインストールプロセスによって消去されるため、SSLを再有効化してください。

デジタル証明書を更新または交換する場合は、キーストアに新しい証明書をインストールし、古い証明書を削除します。InfoPrint Managerはキーストアで新しい証明書を見つけることができるため、このタスクの再実行は不要です。