第6章 性能監視
A.2 Interstage 管理コンソール環境のカスタマイズ
Interstage管理コンソール動作環境のカスタマイズについて説明します。
Interstage管理コンソール動作環境として、カスタマイズ可能な項目は以下のとおりです。
・ 接続先ポート番号のカスタマイズ
・ 自動更新間隔のカスタマイズ
・ Interstage管理コンソールのSSL暗号化通信のカスタマイズ
・ Interstage JMXサービスのカスタマイズ
・ JDKまたはJREの入れ替えを行う場合の対処
・ セションタイムアウト時間のカスタマイズ
・ 複数のIPアドレスを持つサーバでInterstage JMXサービスを運用する場合
・ Interstage管理コンソール用Servletサービスのポート番号の変更
本作業は、Interstageをインストールしているサーバの管理者権限で実行する必要があります。
■接続先ポート番号のカスタマイズ
Interstage管理コンソールを使用するためには、Interstage管理コンソール用のポート番号が必要です。ポート番号は、以下のファイル を編集して変更します。
ファイル格納先
[本製品インストールフォルダ]\gui\etc\httpd.conf
/etc/opt/FJSVisgui/httpd.conf
ファイル内容
Interstage管理コンソールの接続先ポート番号を変更する場合は、“Listen”に設定されている値を変更します。
初期設定では、“12000”が設定されています。SSL暗号化通信を選択した場合も同様に“12000”が設定されています。
Listen 12000
■自動更新間隔のカスタマイズ
Interstage管理コンソールは、表示画面を自動的に最新情報に更新します。この更新間隔は、以下の手順で設定します。
1. Interstage管理コンソールにログインします。
2. ツリービューのInterstage管理コンソールをクリックします。
3. 環境設定タブをクリックし、“自動更新間隔”に希望する時間(秒)値を設定します。
指定可能な値は、10から1799です。
以下の条件の場合、モニタ画面においてセションタイムアウトが発生しません。モニタ画面を参照する場合は、注意してください。
【条件】
・ [自動更新使用有無]を“する”と設定します。かつ、
・ [自動更新間隔]に、セションタイムアウト時間未満の値を設定します。
なお、セションタイムアウト時間は、デフォルトで30分が設定されています。
【対象画面】
・ [IJServer] > [モニタ]
・ [IJServer] > [EJBアプリケーション] > [モニタ]
・ [IJServer] > [Webアプリケーション] > [モニタ]
・ [CORBA] > [インプリメンテーションリポジトリ] > [モニタ]
■Interstage管理コンソールのSSL暗号化通信のカスタマイズ
Interstage管理コンソールは、SSL暗号化通信を使用するかを指定できます。httpd.confファイルを編集し、SSL環境の構築をすることで SSL暗号化通信が使用できるようになります。
Interstage管理コンソールの運用においてSSL暗号化通信を使用するか否かについては、本製品インストール時に“運用形態の選
択”で設定されます。
インストール後に、インストール時に選択した運用形態から変更する場合は、以下の手順で環境設定を行います。
なお、SSL暗号化通信を使用しない場合は、Interstage管理コンソールをアクセスするためのIDやパスワードなどが、ネットワーク上を そのまま流れます。そのため、SSL暗号化通信を使用するか、または通信データが傍受されないような対策を実施することを推奨しま す。
SSL暗号化通信のカスタマイズパターンごとの手順について以下に示します。
・ SSL暗号化通信を使用する場合
・ SSL暗号化通信を使用しない場合
・ 証明書を変更する場合
・ SSL暗号化通信の設定を変更する場合
・ Webサービス情報編集ツールを使用する場合
注) Interstage管理コンソールの動作環境として“SSL暗号化通信を使用する”状態でInterstageをインストールした場合、Webサー
ビス情報編集ツールは正常動作しません。“Webサービス情報編集ツールを使用する場合”を参照して環境を設定してください。
以下の変更を実施した場合には、Windows(R)のスタートメニューに登録されている“Interstage管理コンソール”のショートカットは使 用できません。Windows(R)のスタートメニューに登録しているURLを変更してください。
例) 「SSL暗号化通信を使用する」から「SSL暗号化通信を使用しない」へ変更する場合 修正前:https://localhost:12000/IsAdmin/
修正後:http://localhost:12000/IsAdmin/
例) 「SSL暗号化通信を使用しない」から「SSL暗号化通信を使用する」へ変更する場合 修正前:http://localhost:12000/IsAdmin/
修正後:https://localhost:12000/IsAdmin/
◆SSL暗号化通信を使用する場合
“SSL暗号化通信を使用する”運用形態に変更する場合の手順を説明します。
1. 証明書/鍵管理環境の作成 cmcrtsslenvコマンドで作成します。
"%CommonProgramFiles%\Fujitsu Shared\F3FSSMEE\cmcrtsslenv.exe"
-ed [本製品インストールフォルダ]\gui\etc\cert
"/opt/FJSVsmee/bin/cmcrtsslenv" -ed /etc/opt/FJSVisgui/cert
Linux for Intel64以外の場合
"/opt/FJSVsmee/bin/cmcrtsslenv" -ed /etc/opt/FJSVisgui/cert Linux for Intel64の場合
"/opt/FJSVsmee64/bin/cmcrtsslenv" -ed /etc/opt/FJSVisgui/cert
2. 証明書のフィンガープリントの確認
Interstage管理コンソールのSSL暗号化通信で利用する証明書が生成されています。WebブラウザからInterstage管理コンソール に正しく接続しているかを確認するために、ここでは生成されている証明書のフィンガープリントを確認しておきます。以下を実 行してください。
"%CommonProgramFiles%\Fujitsu Shared\F3FSSMEE\cmdspcert.exe"
-ed [本製品インストールフォルダ]\gui\etc\cert -nn SSLCERT | find "FINGERPRINT"
cmdspcert -ed /etc/opt/FJSVisgui/cert -nn SSLCERT | grep FINGERPRINT
フィンガープリントは、以下のように表示されます。
FINGERPRINT(MD5): 40 79 98 2F 37 12 31 7C AE E7 B4 AB 78 C8 A2 28
FINGERPRINT(SHA1): 07 28 BE 26 94 89 6D F9 1E 16 F2 27 D0 6A 7F F1 88 11 98 FB 出力されたフィンガープリントは記録しておいてください。
なお、この証明書は、Interstage管理コンソールとWebブラウザ間のSSL暗号化通信において、簡単にSSL暗号化通信が利用で きるようにすることを目的に、本製品が自動生成したものです。セキュリティを強化したい場合は、認証局から発行してもらった証 明書を利用する運用に切り替えることができます。運用を切り替える方法については、“証明書を変更する場合”を参照してくだ さい。
3. Interstage HTTP Serverの定義ファイルの編集
Interstage管理コンソール用のInterstage HTTP Serverの定義ファイルを編集します。
編集する定義ファイルは、以下のファイルです。
[本製品インストールフォルダ]\gui\etc\httpd.conf 編集する内容は、以下のとおりです。
# - Configuration for SSL
---SSLEnvDir "[本製品インストールフォルダ]/gui/etc/cert"
SSLSlotDir "[本製品インストールフォルダ]/gui/etc/cert/slot"
SSLTokenLabel SSLTOKEN
SSLUserPINFile "[本製品インストールフォルダ]/gui/etc/cert/sslssl"
SSLExec on SSLVersion 3-3.1 SSLVerifyClient none
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5 SSLCertName SSLCERT
#SSLClCACertName cli01
編集する定義ファイルは、以下のファイルです。
/etc/opt/FJSVisgui/httpd.conf 編集する内容は、以下のとおりです。
# - Configuration for SSL ---SSLEnvDir "/etc/opt/FJSVisgui/cert"
SSLSlotDir "/etc/opt/FJSVisgui/cert/Slot"
SSLTokenLabel SSLTOKEN
SSLUserPINFile "/etc/opt/FJSVisgui/cert/sslssl"
SSLExec on SSLVersion 3-3.1 SSLVerifyClient none
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5 SSLCertName SSLCERT
#SSLClCACertName cli01
4. Interstage管理コンソール用Interstage HTTP Serverの再起動
以下のサービスを再起動します。
"Interstage Operation Tool(FJapache)"
再起動の手順は以下のとおりです。
1. Interstage HTTP Server(Interstage管理コンソール用)のプロセスをkillコマンドで停止する。
# kill `cat /var/opt/FJSVisgui/tmp/httpd.pid`
2. Interstage HTTP Server(Interstage管理コンソール用)を起動する。
# /opt/FJSVihs/bin/httpd -f /etc/opt/FJSVisgui/httpd.conf -s "#ISCONSOLE" -K
◆SSL暗号化通信を使用しない場合
“SSL暗号化通信を使用しない”運用形態に変更する場合の手順を説明します。
1. Interstage HTTP Serverの定義ファイルの編集
Interstage HTTP Serverの定義ファイルを以下のように編集します。
[編集前]
# - Configuration for SSL ---SSLEnvDir "......"
SSLSlotDir "......"
SSLTokenLabel SSLTOKEN SSLUserPINFile "......"
SSLExec on SSLVersion 3-3.1 SSLVerifyClient none
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5
#SSLClCACertName cli01
[編集後](太字部分が変更箇所です。)
# - Configuration for SSL
---#SSLEnvDir "......"
#SSLSlotDir "......"
#SSLTokenLabel SSLTOKEN
#SSLUserPINFile "......"
#SSLExec on
#SSLVersion 3-3.1
#SSLVerifyClient none
#SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5
#SSLCertName SSLCERT
#SSLClCACertName cli01
2. Interstage管理コンソール用Interstage HTTP Serverの再起動
以下のサービスを再起動します。
"Interstage Operation Tool(FJapache)"
再起動の手順は、以下のとおりです。
1. Interstage HTTP Server(Interstage管理コンソール用)のプロセスをkillコマンドで停止する。
# kill `cat /var/opt/FJSVisgui/tmp/httpd.pid`
2. Interstage HTTP Server(Interstage管理コンソール用)を起動する。
# /opt/FJSVihs/bin/httpd -f /etc/opt/FJSVisgui/httpd.conf -s "#ISCONSOLE" -K
◆証明書を変更する場合
本製品インストール時または、cmcrtsslenvコマンドで使用する証明書は、Interstage管理コンソールのSSL暗号化通信を簡単に利用 できるようにすることを目的に、本製品が生成した証明書です。
なお、認証局が発行した証明書をInterstage管理コンソールのSSL暗号化通信に使用することもできます。セキュリティを強化したい 場合は、信頼できる認証局が発行した証明書で運用することを推奨します。
正式な認証局の発行証明書を使用する場合の手順について説明します。
1. Interstage証明書環境の作成
scsmakeenvコマンドを実行して、Interstage証明書環境を作成し、CSR(証明書取得申請書)を作成します。詳細について は、“セキュリティシステム運用ガイド”の“Interstage HTTP Serverの認証とアクセス制御の設定”を参照してください。
scsmakeenvコマンド実行時、-nオプションで指定するニックネームは、サイト証明書の登録時にも指定する必要があるので、忘 れないようにしてください。以下の実行例では、このニックネームをIS-Console-SSL-Certとして説明しています。
# scsmakeenv -n IS-Console-SSL-Cert -f c:\temp\csr.txt -c
# scsmakeenv -n IS-Console-SSL-Cert -f /usr/home/my_dir/my_csr.txt -c
上記コマンドを実行し、要求に応じて、以下のように入力します。
New Password: ←Interstage証明書環境のパスワードを設定します。本パスワードがUSER-PINとなります。
Retype:
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:host.domain.com ← Interstage管理コンソールのホスト名を入力します。
What is the name of your organizational unit?
[Unknown]:xxxxx
What is the name of your organization?
[Unknown]:xxxx
What is the name of your City or Locality?
[Unknown]:xxxxxxx
What is the name of your State or Province?
[Unknown]:xxxxxxxxx
What is the two-letter country code for this unit?
[Un]:JP
Is <CN=host.domain.com, OU=xxxxx, O=xxxx, L=xxxxxxx, ST=xxxxxxxxx, C=JP> correct?
[no]:yes
以下のようなメッセージが出力されます。
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<c:\temp\csr.txt>
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</usr/home/my_dir/my_csr.txt>
2. 作成したCSRを使用した証明書の発行依頼
作成したCSRを使用して、証明書の発行依頼を行います。処理の詳細については、“セキュリティシステム運用ガイド”の“証明 書の発行依頼”を参照ください。
3. 認証局証明書(ca-cert.cer)をInterstage証明書環境へ登録
日本ベリサイン株式会社のセキュア・サーバIDなど、本製品がサポートしている証明書を取得した場合には、本処理は不要で す。本製品がサポートしている証明書については、“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”
の“証明書と秘密鍵について”を参照ください。
以下では、ca-cert.cerに認証局証明書があるとして説明します。
# scsenter -n CA-Cert -f c:\temp\ca-cert.cer Password:
Certificate was added to keystore
SCS: 情報: scs0104: 証明書を登録しました。
# scsenter -n CA-Cert -f /usr/home/my_dir/ca-cert.cer Password:
Certificate was added to keystore
SCS: 情報: scs0104: 証明書を登録しました。
4. 中間CA証明書(中間認証局証明書)(intermediateCA-cert.cer)をInterstage証明書環境へ登録
認証局によっては、認証局証明書とSSLサーバ証明書のほかに、中間CA(中間認証局)証明書が用意されている場合がありま す。その場合は、認証局から配布されている中間CA証明書も登録してください。
本製品の本バージョンでは、“セキュリティシステム運用ガイド”の“Interstage組み込み証明書一覧”に記載されている証明書を 組み込んでいます。本製品に組み込まれている中間CA証明書は、Interstage証明書環境の構築時にscsmakeenvコマンドで-cオ プションを指定すれば、認証局証明書と一緒にInterstage証明書環境に登録されます。
以下では、intermediateCA-cert.cerに中間CA証明書があるとして説明します。
# scsenter -n intermediateCA-Cert -f c:\temp\intermediateCA-cert.cer Password:
Certificate was added to keystore
SCS: 情報: scs0104: 証明書を登録しました。
# scsenter -n intermediateCA-Cert -f /usr/home/my_dir/intermediateCA-cert.cer Password:
Certificate was added to keystore
SCS: 情報: scs0104: 証明書を登録しました。