IBM Support

ISVAの内部証明書の更新について

Question & Answer


Question

Policy Server や Reverse Proxy は内部証明書を使用しているが、自動更新や期限が切れた時の振る舞いを知りたい。

Answer

内部証明書に関わるパラメータ

  • ssl-auto-refresh
    内部証明書の自動更新の有無(デフォルトyes)
  • ssl-cert-life
    内部証明書作成時の証明書有効期限(デフォルト1460)
  • ssl-pwd-life
    現在使用されておりません

内部証明書の自動更新

Policy Server、Authorization Server、Reverse Proxy は内部CAによって発行される内部証明書を使用します。
これらの有効期限は ssl-cert-life で設定されます。
各コンポーネントが起動中に有効期限の半分を過ぎると、内部証明書の更新処理が開始されます。
  • Policy Serverで更新成功時のログ
    2027-01-01-00:00:01.981+09:00I----- 0x106520EE pdmgrd NOTICE bas mts PDCertSigner.cpp 801 0x7f410ac37700
    HPDBA0238I The certificate has been renewed for /var/PolicyDirector/keytab/ivmgrd.kdb.

更新処理に失敗した時のメッセージの例

  • Reverse Proxyで有効期限の半分を過ぎて更新しようとした時のエラー
    2031-01-01-00:00:01.222+09:00I----- 0x10652121 webseald WARNING bas mts PDCertSigner.cpp 813 0x7fc87518a700 -- HPDBA0289W Automatic refresh of the certificate could not be performed because of error (0x1354a426).
  • Reverse Proxyで有効期限切れの後のエラー
    2027-01-01-00:00:05.890+09:00I----- 0x10652124 webseald FATAL bas mts mtssecureenvironment.cpp 821 0x7f51e999e700 -- HPDBA0292E The certificate has expired or the date is invalid.
    2027-01-01-00:00:05.900+09:00I----- 0x10652121 webseald WARNING bas mts PDCertSigner.cpp 813 0x7f51e999e700 -- HPDBA0289W Automatic refresh of the certificate could not be performed because of error (0x10652124).

内部証明書の有効期限が切れた場合の振る舞い

  • Policy Server
    起動には成功し、自動更新が有効になっていれば内部証明書の更新を行います。
  • Reverse Proxy
    起動に失敗します

内部証明書の有効期限が切れた場合の対処

内部CA証明書の更新について

内部CA証明書の有効期限は固定で20年となっており、自動更新は行われません。切れる前にCLIから手動で更新する必要があります。

https://www.ibm.com/docs/en/sva/10.0.4?topic=management-upgrading-signing-algorithms-existing-policy-servers

内部CA証明書の有効期限が切れると、各コンポーネントとも起動はできますが、内部通信はできません。速やかに手動で更新を行う必要があります。

内部証明書の有効期限は、内部CA証明書の有効期限を超えることはできません。更新時には内部CA証明書の有効期限より前に短縮されます。

  • 更新後の証明書の有効期限がCAの有効期限を過ぎそうな時のログ
    2042-01-10-00:18:04.208+09:18I----- 0x14C010AB pdmgrd NOTICE mgr general PDCertAuthority.cpp 329 0x7f7ae9932700
    HPDMG0171I The configured certificate life of 1460 days exceeds the policy server's CA certificate life.

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSESHP","label":"IBM Security Verify Access Appliance"},"ARM Category":[{"code":"a8m0z000000cxuRAAQ","label":"Security Verify Access-\u003EBase Runtime"},{"code":"a8m0z000000cxuqAAA","label":"Security Verify Access-\u003EReverse Proxy"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]

Document Information

Modified date:
18 October 2022

UID

ibm16830201

Page Feedback