CWI のサーバー側 SSL 認証を設定する場合は、Enterprise Server 内で CWI リソースを設定できること、また CWI API を使用できることが必要となります。
CWI のサーバー側 SSL 認証を設定する一般的な手順は次のとおりです。
- サーバー証明書を作成し、Demo CA を使用して署名します。この方法の詳細については、「デモンストレーション証明機関の使用」を参照してください。 生成されたキー ファイルは、証明書の名前に文字 _key を付加した名前 (ファイル拡張子は維持) にする必要があることに注意してください。たとえば、証明書およびキー ファイルがそれぞれ srvcert.pem および srvkey.pem である場合は、srvkey.pem を srvcert_key.pem という名前に変更する必要があります。
- 次の設定を使用して、TCPIPSERVICE を作成します。
- [Status]:[Open] に設定します。
- [Port no]:適切なポート番号に設定します。
- [SSL]:[Yes] に設定します。
- [Certificate]:証明書の名前に設定します (例:srvcert)。
- 次の設定を使用して、URIMAP を作成します。
- [Usage]:[Server] に設定します。
- [Scheme]:[Https] に設定します。
- [Path]:選択した URI パスに設定します (例:/my/ssl/path)。
- [TCPIPService]:手順 2 で作成した TCP サービスの名前に設定します。
- HFS ファイルまたはプログラムの詳細を指定して、静的応答または動的応答を提供するかどうかを決定します。
- 環境変数 ES_DFLT_CERTIFICATE_NAME_SERVER の値を、デフォルトとして使用するサーバー証明書のラベル/名前に設定します。たとえば、証明書が srvcert.pem という名前の場合は、次のように環境変数を設定する必要があります。
[ES-Environment]
ES_DFLT_CERTIFICATE_NAME_SERVER=srvcert
- 環境変数 ES_CERTIFICATES_LOCATION の値を、サーバー証明書の場所に設定します。
- サーバー マシン上の ESCERTPAS.CBL を変更して、サーバー証明書のキー ファイルのパスワードが返され、コンパイルされるようにします。
when function upper-case(lk-certificate-name) = 'SRVCERT' *> Server certificate name
move 'srvrootpwd' to lk-passphrase-returned *> Passphrase for srvcert_key.pem
move spaces to lk-CARoot-to-be-used *> No client authentication
ESCERTPAS.CBL は、%ProgramFiles(x86)%\Micro Focus\Enterprise Developer\src\base\source (Windows) または $COBDIR/copylib (UNIX)、あるいはその両方にあります。
- サーバー証明書への署名に使用した CA ルート証明書をクライアントに提供します。
- サーバー リージョン (および CICS をクライアントとして使用する場合はクライアント リージョン) を起動します。
- ブラウザーで、https:<host>:<port number in TCPIPSERVICE>/my/ssl/path と入力します。
注: ホスト名はサーバー証明書の共通名と正確に一致する必要があります。
- クライアントが CICS プログラムの場合は、次のようにします。
- WEB OPEN で次を指定する必要があります。
- SCHEME(HTTPS)。
- TCPIPSERVICE で指定したポート番号。
- WEB SEND で次を指定する必要があります。
- PATH(WS-PATH)。WS-PATH は「/my/ssl/path」の値になります。
- クライアント証明書と CICS ユーザー ID の関連付けについては、「CICS Web インターフェイス サーバーのユーザー証明書登録」を参照してください。