News
Abstract
WAS for z/OSが使用しているデフォルトの証明書が2021年12月31日で有効期限切れとなり、2022年1月1日になると、自己署名証明書を使ったSSL/TLS(HTTPS)接続ができなくなります。
WebSphere CA(自己署名証明書用のCA)、およびWebSphere CAに紐付いた自己署名証明書を更新してください。
Content
1. 対象のお客様:
WAS for z/OS V8.5、および、それ以前のバージョンを使用されているか、それらのバージョンからマイグレーション(構成移行)を実施されたお客様で、以下の対象となる条件に該当するお客様
2. 対象となる条件:
以下をすべての条件を満たす場合に対象となります。
(1) WAS for z/OSへのアクセスで、SSL/TLS(HTTPS)通信を行っている。
(2) WAS for z/OSのセキュリティーにRACFを使用している。
(3) WAS for z/OS V8.5以前のレベルでサーバーを構成した際、RACF SSLサーバー証明書のデフォルト日付2021/12/31を使用した。
(4) 生成後、RACF SSLサーバー証明書の日付2021/12/31を変更していない。
(1) WAS for z/OSへのアクセスで、SSL/TLS(HTTPS)通信を行っている。
(2) WAS for z/OSのセキュリティーにRACFを使用している。
(3) WAS for z/OS V8.5以前のレベルでサーバーを構成した際、RACF SSLサーバー証明書のデフォルト日付2021/12/31を使用した。
(4) 生成後、RACF SSLサーバー証明書の日付2021/12/31を変更していない。
3. 発生内容:
WAS for z/OSが使用しているデフォルトの証明書が2021年12月31日で有効期限切れとなります。
2022年1月1日になると、自己署名証明書を使ったSSL/TLS(HTTPS)接続ができなくなります。
2022年1月1日になると、自己署名証明書を使ったSSL/TLS(HTTPS)接続ができなくなります。
(参考:WAS for z/OS V9で初期構築した場合のデフォルト日付は2025/12/31です)
4. 対象となる条件の確認方法:
「(1) WAS for z/OSへのアクセスで、SSL/TLS(HTTPS)通信を行っている。」の確認方法
- WAS管理コンソールやWASアプリケーションに、HTTPSでアクセスしている(URLが「http」ではなく「https」である)。
「(2) WAS for z/OSのセキュリティーにRACFを使用している。」の確認方法
- WAS管理コンソールで、セキュリティー > グローバル・セキュリティー とたどり、「使用可能なレルム定義」で「ローカル・オペレーティング・システム」が選択されている。
「(3) WAS for z/OS V8.5以前のレベルででサーバーを構成した際、RACF SSLサーバー証明書のデフォルト日付2021/12/31を使用した。」の確認方法
- WAS構成時の*.DATAデータセットのRACFコマンドで、2021/12/31が設定されている。
Standalone構成の場合:*.DATAデータセットのBBOWBRACメンバーで、RACDCERTコマンドにNOTAFTER(DATE(2021/12/31))が設定されている。
ND構成の場合:*.DATAデータセットのBBODBRACやBBOWBRACメンバーで、RACDCERTコマンドにNOTAFTER(DATE(2021/12/31))が設定されている。
ND構成の場合:*.DATAデータセットのBBODBRACやBBOWBRACメンバーで、RACDCERTコマンドにNOTAFTER(DATE(2021/12/31))が設定されている。
「(4) 生成後、RACF SSLサーバー証明書の日付2021/12/31を変更していない。」の確認方法
- 下記の更新手順の[1]-(1)や[2]-(1)で現設定を確認する。
5. 更新手順:
[1]と[2]の両方が必要です。また、[1]を先に実行してください。
[1] WebSphere CA(自己署名証明書用のCA)の更新
(1) 現設定を確認します。
RACFコマンド例
RACDCERT CERTAUTH LIST(LABEL('WebSphereCA'))
(WebSphere CAのラベル名は、*.DATAデータセットのBBODBRACやBBOWBRACメンバーのRACDCERTコマンドの設定をご確認ください)
RACDCERT CERTAUTH LIST(LABEL('WebSphereCA'))
(WebSphere CAのラベル名は、*.DATAデータセットのBBODBRACやBBOWBRACメンバーのRACDCERTコマンドの設定をご確認ください)
出力例
Digital certificate information for CERTAUTH:
Label: WebSphereCA
Certificate ID: 2QiJmZmDhZmjgeaFguKXiIWZhcPBS+b04sFA
Status: TRUST
Start Date: 2015/11/02 00:00:00
End Date: 2021/12/31 23:59:59
(後略)
Digital certificate information for CERTAUTH:
Label: WebSphereCA
Certificate ID: 2QiJmZmDhZmjgeaFguKXiIWZhcPBS+b04sFA
Status: TRUST
Start Date: 2015/11/02 00:00:00
End Date: 2021/12/31 23:59:59
(後略)
End Dateが2021/12/31になっていることが確認できます。
また、StatusがTRUSTになっていることを確認してください。(期限切れだとNOTRUSTになります)
また、StatusがTRUSTになっていることを確認してください。(期限切れだとNOTRUSTになります)
(2) 証明書要求を生成します。
RACFコマンド例
RACDCERT CERTAUTH GENREQ(LABEL('WebSphereCA')) DSN('WAS.WCA.REQ')
(WAS.WCA.REQは、生成データを一時的に保管するデータセット名です)
RACDCERT CERTAUTH GENREQ(LABEL('WebSphereCA')) DSN('WAS.WCA.REQ')
(WAS.WCA.REQは、生成データを一時的に保管するデータセット名です)
(3) 証明書を再生成します。
RACFコマンド例
RACDCERT CERTAUTH GENCERT('WAS.WCA.REQ') SIGNWITH(CERTAUTH LABEL('WebSphereCA')) NOTAFTER(DATE(2030/12/31))
(WAS.WCA.REQは、生成データを一時的に保管したデータセット名です)
RACDCERT CERTAUTH GENCERT('WAS.WCA.REQ') SIGNWITH(CERTAUTH LABEL('WebSphereCA')) NOTAFTER(DATE(2030/12/31))
(WAS.WCA.REQは、生成データを一時的に保管したデータセット名です)
(4) 再度(1)のコマンドでリストし、期限が延長されていること、StatusがTRUSTになっていること、を確認します。
RACFコマンド例
RACDCERT CERTAUTH LIST(LABEL('WebSphereCA'))
RACDCERT CERTAUTH LIST(LABEL('WebSphereCA'))
出力例
Digital certificate information for CERTAUTH:
Label: WebSphereCA.W4SA
Certificate ID: 2QiJmZmDhZmjgeaFguKXiIWZhcPBS+b04sFA
Status: TRUST
Start Date: 2021/10/15 00:00:00
End Date: 2030/12/31 23:59:59
(後略)
Digital certificate information for CERTAUTH:
Label: WebSphereCA.W4SA
Certificate ID: 2QiJmZmDhZmjgeaFguKXiIWZhcPBS+b04sFA
Status: TRUST
Start Date: 2021/10/15 00:00:00
End Date: 2030/12/31 23:59:59
(後略)
(5) 更新を反映します。
RACFコマンド例
SETROPTS RACLIST(DIGTCERT) REFRESH
SETROPTS RACLIST(DIGTCERT) REFRESH
[2] WebSphere CAに紐付いた、自己署名証明書の更新
(1) 現設定を確認します。
RACFコマンド例
RACDCERT LIST (LABEL('DefaultWASCert.xxxx')) ID(yyyy)
(xxxx部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーをご参照ください)
(yyyy部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーで指定したユーザー名をご確認ください)
RACDCERT LIST (LABEL('DefaultWASCert.xxxx')) ID(yyyy)
(xxxx部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーをご参照ください)
(yyyy部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーで指定したユーザー名をご確認ください)
出力例
Digital certificate information for user WSCRU1:
Label: DefaultWASCert.W4SA
Certificate ID: 2Qbm4sPZ5PHEhYaBpJOj5sHiw4WZo0vm9OLB
Status: TRUST
Start Date: 2015/11/02 00:00:00
End Date: 2021/12/31 23:59:59
(後略)
(2) 証明書要求を生成します。
RACFコマンド例
RACDCERT ID(yyyy) GENREQ(LABEL('DefaultWASCert.xxxx')) DSN('WAS.CERT.REQ')
(yyyy部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーで指定したユーザー名をご確認ください)
(xxxx部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーをご参照ください)
(WAS.CERT.REQは、生成データを一時的に保管するデータセット名です)
RACDCERT ID(yyyy) GENREQ(LABEL('DefaultWASCert.xxxx')) DSN('WAS.CERT.REQ')
(yyyy部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーで指定したユーザー名をご確認ください)
(xxxx部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーをご参照ください)
(WAS.CERT.REQは、生成データを一時的に保管するデータセット名です)
(3) 証明書を再生成します。
RACFコマンド例
RACDCERT ID(yyyy) GENCERT('WAS.CERT.REQ') SIGNWITH(CERTAUTH LABEL('WebSphereCA')) NOTAFTER(DATE(2030/12/31))
(yyyy部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーで指定したユーザー名をご確認ください)
(WAS.CERT.REQは、生成データを一時的に保管したデータセット名です)
RACDCERT ID(yyyy) GENCERT('WAS.CERT.REQ') SIGNWITH(CERTAUTH LABEL('WebSphereCA')) NOTAFTER(DATE(2030/12/31))
(yyyy部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーで指定したユーザー名をご確認ください)
(WAS.CERT.REQは、生成データを一時的に保管したデータセット名です)
(4) 再度(1)のコマンドでリストし、期限が延長されていること、StatusがTRUSTになっていること、を確認します。
RACFコマンド例
RACDCERT LIST (LABEL('DefaultWASCert.xxxx')) ID(yyyy)
(XXXX部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーをご参照ください)
(yyyy部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーで指定したユーザー名をご確認ください)
RACDCERT LIST (LABEL('DefaultWASCert.xxxx')) ID(yyyy)
(XXXX部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーをご参照ください)
(yyyy部分は、生成されたセットアップJCLから参照される*.DATAデータセットのBBOWBRAKメンバーで指定したユーザー名をご確認ください)
出力例
Digital certificate information for user WSCRU1:
Label: DefaultWASCert.W4SA
Certificate ID: 2Qbm4sPZ5PHEhYaBpJOj5sHiw4WZo0vm9OLB
Status: TRUST
Start Date: 2021/10/15 00:00:00
End Date: 2030/12/31 23:59:59
(後略)
Digital certificate information for user WSCRU1:
Label: DefaultWASCert.W4SA
Certificate ID: 2Qbm4sPZ5PHEhYaBpJOj5sHiw4WZo0vm9OLB
Status: TRUST
Start Date: 2021/10/15 00:00:00
End Date: 2030/12/31 23:59:59
(後略)
(5) 更新を反映します。
RACFコマンド例
SETROPTS RACLIST(DIGTCERT) REFRESH
SETROPTS RACLIST(DIGTCERT) REFRESH
[{"Type":"MASTER","Line of Business":{"code":"LOB45","label":"Automation"},"Business Unit":{"code":"BU053","label":"Cloud & Data Platform"},"Product":{"code":"SS7K4U","label":"WebSphere Application Server for z\/OS"},"ARM Category":[{"code":"a8m50000000CdL1AAK","label":"WebSphere Application Server traditional-All Platforms->Security->SSL->SSL - Certificates"}],"ARM Case Number":"","Platform":[{"code":"PF035","label":"z\/OS"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
26 October 2021
UID
ibm16508473