SSL を使用してネットワーク接続を保護できるように合成サーバーを設定することをお勧めします。このページでは、カスタムキーストアを作成し、それを使用して SSL を実装するように合成サーバーを設定する方法について説明します。

合成サーバーのカスタムキーストアのセットアップ

ここでは、カスタム RSA セキュリティ証明書を作成し、新しい JKS キーストアを生成し、証明書に署名する方法例について説明します。

前提条件ライブラリのインストール

次のライブラリが合成サーバーにインストールされていることを確認します。

  • keytool
  • openssl

証明書およびキーストアの作成

keytool コマンドを使用して RSA 暗号化を使用するキーストアを作成し、証明書署名要求(CSR)を生成します。

次の手順は、両方を実行する方法例を示しています。

  1. 合成サーバーマシンにログインします。

  2. コマンドラインシェルから、合成サーバーの root ディレクトリに移動します。

    cd <synthetic_server_root>
    BASH
  3. RSA暗号化を使用した一意の新しいキーペアを持つ、新しいキーストアを作成します。

    <path_to_jre>/jre/bin/keytool -genkey -keyalg RSA -validity <validity_in_days> -alias 'synthetic-server' -keystore ./mycustom.keystore
    BASH

    これにより、"synthetic-server" のエイリアスを使用して、新しい公開秘密キーペアが作成されます。エイリアスには任意の値を使用できます。インストールプロセス中に要求される「姓名」は、証明書のコモンネーム(CN)になります。サーバーの名前を使用します。

  4. コマンドプロンプトで要求された情報を入力して、キーストアを設定します。
  5. キーストアのパスワードを指定します。このパスワードは、後で合成サーバーのコンフィギュレーション ファイルで設定する必要があります。  
  6. 次のように、証明書の署名リクエスト(CSR)を作成します。

    <path_to_jre>/jre/bin/keytool -certreq -keystore ./mycustom.keystore -file /tmp/synthetic-server.csr -alias 'synthetic-server'
    BASH

    これにより、エイリアス(例では "synthetic-server")のコンテンツに基づいて証明書の署名リクエストが作成されます。

署名および署名付き証明書のインストール

CSR がある場合は、認証局に証明書の署名を要求し、署名付き証明書をインストールします。

次の手順は、証明書とキーストアを作成するプロセスの続きです。

  1. 最後の手順(例の /tmp/synthetic-server.csr)の出力ファイルを署名用に認証局に送信します。

  2. 以下のように、.csr ファイルの署名に使用した認証局の証明書をインストールします。

    <path_to_jre>/jre/bin/keytool -import -trustcacerts -alias myorg-rootca -keystore ./mycustom.keystore -file /path/to/<CA-root-cert>
    BASH

    このコマンドにより、認証局(CA)のルート証明書がキーストアにインポートされ、「myorg-rootca」というエイリアスに保存されます。

  3. 次のように署名済みサーバー証明書をインストールします。

    <path_to_jre>/jre/bin/keytool -import -keystore ./mycustom.keystore -file /path/to/<signed-cert>  -alias 'synthetic-server'
    BASH

    このコマンドにより、既存のエイリアス(例では "synthetic-server")の自己署名証明書の一番上に、署名入り証明書がインポートされます。

  4. HTTPS を使用して、合成サーバーに接続している他のプラットフォーム コンポーネントに root 証明書をインポートします。

    keytool -import -trustcacerts -alias <alias_name> -file mycert.cer -keystore <complete_path_to_cacerts.jks> 
    BASH

キーストアを使用するように合成サーバーを設定する

次の手順に従って、署名付き証明書とそのパスワードを使用するように合成サーバーを設定します。

  1. <installation directory>/conf/synthetic-scheduler.yml の合成スケジューラの設定ファイルを編集し、applicationConnectors オブジェクトを次に示す server の下に追加します。

    server:
        ...
        applicationConnectors:
            - type: https
              port: <port>
              keyStorePath: <path to JKS files>
              keyStorePassword: <jks file password>
              validateCerts: false
    TEXT

    署名付き証明書をまだ持っていない場合は、「RSA セキュリティ証明書の作成および署名」を参照してください。 

  2. <installation directory>/conf/synthetic-shepherd.yml の合成シェパードの設定ファイルを編集し、applicationConnectors オブジェクトを次に示す server の下に追加します。

    server:
        ...
        applicationConnectors:
            - type: https
              port: <port>
              keyStorePath: <path to jks file>
              keyStorePassword: <jks file password>
              validateCerts: false 
    TEXT
  3. 合成サーバーを再起動します。
  4. HTTPS ポートへの接続を確認します。