Question & Answer
Question
Policy Server や Reverse Proxy は内部証明書を使用しているが、自動更新や期限が切れた時の振る舞いを知りたい。
Answer
内部証明書に関わるパラメータ
- ssl-auto-refresh
内部証明書の自動更新の有無(デフォルトyes)- ssl-cert-life
内部証明書作成時の証明書有効期限(デフォルト1460)- ssl-pwd-life
現在使用されておりません
内部証明書の自動更新
Policy Server、Authorization Server、Reverse Proxy は内部CAによって発行される内部証明書を使用します。
これらの有効期限は ssl-cert-life で設定されます。
各コンポーネントが起動中に有効期限の半分を過ぎると、内部証明書の更新処理が開始されます。
- Policy Serverで更新成功時のログ
2027-01-01-00:00:01.981+09:00I----- 0x106520EE pdmgrd NOTICE bas mts PDCertSigner.cpp 801 0x7f410ac37700
HPDBA0238I The certificate has been renewed for /var/PolicyDirector/keytab/ivmgrd.kdb.
更新処理に失敗した時のメッセージの例
- Reverse Proxyで有効期限の半分を過ぎて更新しようとした時のエラー
2031-01-01-00:00:01.222+09:00I----- 0x10652121 webseald WARNING bas mts PDCertSigner.cpp 813 0x7fc87518a700 -- HPDBA0289W Automatic refresh of the certificate could not be performed because of error (0x1354a426).- Reverse Proxyで有効期限切れの後のエラー
2027-01-01-00:00:05.890+09:00I----- 0x10652124 webseald FATAL bas mts mtssecureenvironment.cpp 821 0x7f51e999e700 -- HPDBA0292E The certificate has expired or the date is invalid.
2027-01-01-00:00:05.900+09:00I----- 0x10652121 webseald WARNING bas mts PDCertSigner.cpp 813 0x7f51e999e700 -- HPDBA0289W Automatic refresh of the certificate could not be performed because of error (0x10652124).
内部証明書の有効期限が切れた場合の振る舞い
- Policy Server
起動には成功し、自動更新が有効になっていれば内部証明書の更新を行います。 - Reverse Proxy
起動に失敗します
内部証明書の有効期限が切れた場合の対処
- Policy Server
自動更新を有効にし、Policy Serverを再起動します。 - Reverse Proxy
LMIから手動で内部証明書の更新を行います。
https://www.ibm.com/docs/en/sva/10.0.4?topic=management-renewing-web-reverse-proxy-certificates
内部CA証明書の更新について
内部CA証明書の有効期限は固定で20年となっており、自動更新は行われません。切れる前にCLIから手動で更新する必要があります。
内部CA証明書の有効期限が切れると、各コンポーネントとも起動はできますが、内部通信はできません。速やかに手動で更新を行う必要があります。
内部証明書の有効期限は、内部CA証明書の有効期限を超えることはできません。更新時には内部CA証明書の有効期限より前に短縮されます。
- 更新後の証明書の有効期限がCAの有効期限を過ぎそうな時のログ
2042-01-10-00:18:04.208+09:18I----- 0x14C010AB pdmgrd NOTICE mgr general PDCertAuthority.cpp 329 0x7f7ae9932700
HPDMG0171I The configured certificate life of 1460 days exceeds the policy server's CA certificate life.
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSESHP","label":"IBM Security Verify Access Appliance"},"ARM Category":[{"code":"a8m0z000000cxuRAAQ","label":"Security Verify Access-\u003EBase Runtime"},{"code":"a8m0z000000cxuqAAA","label":"Security Verify Access-\u003EReverse Proxy"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
18 October 2022
UID
ibm16830201