【Information】Liberty 24.0.0.9,traditional WAS 9.0.5.21/ 8.5.5.27以上のFix Packレベルの環境では,デフォルトでSSL接続の際に指定したホスト名とサーバー側が使用している証明書の情報が一致していない場合,接続が失敗するようになります。
修正内容
従来のWebSphere Application Server(WAS)は,外部へのSSL接続する際のサーバー証明書検証において,サーバー名の検証を行っていませんでした。これは脆弱性であるとの指摘を受け,CVE番号が割り当てられました。この対応のため,デフォルトでサーバー名を検証するように修正されます。
- WebSphere Liberty / Open Liberty
- WebSphere Application Server(Traditionalランタイム)
該当するお客様
以下に該当するお客様は,上記以降のFixpackを適用する際に対応が必要となります。
- WASがクライアントとなり別のサーバーにSSL/TLS接続を行っている
- SSL/TLS接続する際に指定したホスト名が,サーバー側が使用している証明書のCN(Common Name)やSAN(Subject Alternative Name)のいずれとも一致していない
また,WebSphere LibertyにおいてLiberty Collective(Liberty集合)を使用している場合にも対応が必要となります。
望ましい対応
接続に使用しているホスト名と証明書の情報を一致させてください。証明書で指定されたホスト名で接続できるようにネットワーク構成を見直すか,接続に使用しているホスト名を証明書に含めるようにしてください。
この対応が難しい場合は,WASの側で証明書の検証を省略する構成を取ってください。
WebSphere Liberty / Open Libertyでの対応方法
従来通り,SSL接続の際にホスト名のチェックをしないようにするには,以下の設定を構成ファイル(server.xml)に追加してください。
<ssl id="defaultSSLConfig" verifyHostname="false" />
また,server1.example.comとserver2.example.comへの接続でのみホスト名の検証を省略し,その他のサーバーへの接続ではホスト名の検証を行うようにするには,以下の設定を追加してください。
<ssl id="defaultSSLConfig" skipHostnameVerificationForHosts="server1.example.com,server2.example.com" />
Liberty Collective(Liberty集合)を使用している場合の対応は,こちらの英文のサポート文章を参照ください。
WAS V8.5 Full Profile / WAS V9.0 Traditionalランタイムでの対応方法
従来通り,SSL接続の際にホスト名のチェックをしないようにするには,グローバル・セキュリティの設定にカスタムプロパティを追加する必要があります。また,Libertyと同様に特定のホストへの接続でのみ検証を省略するように構成することもできます。詳細については,こちらの英文のサポート文章を参照ください。
[{"Type":"MASTER","Line of Business":{"code":"LOB67","label":"IT Automation \u0026 App Modernization"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSAW57","label":"WebSphere Application Server Network Deployment"},"ARM Category":[{"code":"a8m3p000000F7xeAAC","label":"IBM WebSphere Liberty-All Platforms"},{"code":"a8m3p000000F7xdAAC","label":"WebSphere Application Server traditional-All Platforms"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"},{"Type":"MASTER","Line of Business":{"code":"LOB67","label":"IT Automation \u0026 App Modernization"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSEQTP","label":"WebSphere Application Server"},"ARM Category":[{"code":"a8m3p000000F7xeAAC","label":"IBM WebSphere Liberty-All Platforms"},{"code":"a8m3p000000F7xdAAC","label":"WebSphere Application Server traditional-All Platforms"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"},{"Type":"MASTER","Line of Business":{"code":"LOB67","label":"IT Automation \u0026 App Modernization"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSD28V","label":"WebSphere Application Server Liberty Core"},"ARM Category":[{"code":"a8m3p000000F7xeAAC","label":"IBM WebSphere Liberty-All Platforms"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"},{"Type":"MASTER","Line of Business":{"code":"LOB67","label":"IT Automation \u0026 App Modernization"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSNMZP","label":"IBM WebSphere Hybrid Edition"},"ARM Category":[{"code":"a8m3p000000F7xeAAC","label":"IBM WebSphere Liberty-All Platforms"},{"code":"a8m3p000000F7xdAAC","label":"WebSphere Application Server traditional-All Platforms"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"},{"Type":"MASTER","Line of Business":{"code":"LOB67","label":"IT Automation \u0026 App Modernization"},"Business Unit":{"code":"BU048","label":"IBM Software"},"Product":{"code":"SSCSJL","label":"IBM Cloud Pak for Applications"},"ARM Category":[{"code":"a8m3p000000PCLlAAO","label":"WebSphere Automation-\u003EWebSphere Application Server"},{"code":"a8m3p000000PCLvAAO","label":"WebSphere Automation-\u003EWebSphere Application Server-\u003ELiberty"},{"code":"a8m3p000000PCLqAAO","label":"WebSphere Automation-\u003EWebSphere Application Server-\u003EWAS ND and Base"}],"Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Versions"}]