CWI のサーバー側 TLS 認証を設定する場合は、Enterprise Server 内で CWI リソースを設定できること、また CWI API を使用できることが必要となります。
CWI のサーバー側 TLS 認証を設定する一般的な手順は次のとおりです。
- サーバーのプライベート キーと証明書を取得します。開発およびテストの目的には、Demo CA を使用できます。詳細については、「デモンストレーション証明機関の使用」を参照してください。本番環境で使用する場合は、組織の CA または公開 CA を使用する必要があります。 証明書とプライベート キーは別々の PEM 形式のファイルに格納します。キー ファイルは、証明書ファイルと同じ名前に _key を追加した名前にする必要があります。たとえば、証明書が srvcert.pem にある場合、キーは srvcert_key.pem に含める必要があります。
- 次の設定を使用して、TCPIPSERVICE を作成します。
- [Status]:[Open] に設定します。
- [Port no]:適切なポート番号に設定します。
- [SSL]:[Yes] に設定します。
- [Certificate]:証明書の名前に設定します (例:srvcert)。
- 次の設定を使用して、URIMAP を作成します。
- [Usage]:[Server] に設定します。
- [Scheme]:[Https] に設定します。
- [Path]:選択した URI パスに設定します (例:/my/ssl/path)。
- [TCPIPService]:手順 2 で作成した TCP サービスの名前に設定します。
- HFS ファイルまたはプログラムの詳細を指定して、静的応答または動的応答を提供するかどうかを決定します。
- 環境変数 ES_DFLT_CERTIFICATE_NAME_SERVER の値を、デフォルトとして使用するサーバー証明書のラベル/名前に設定します。たとえば、証明書が srvcert.pem という名前の場合は、次のように環境変数を設定する必要があります。
[ES-Environment]
ES_DFLT_CERTIFICATE_NAME_SERVER=srvcert
- 環境変数 ES_CERTIFICATES_LOCATION の値を、サーバー証明書の場所に設定します。
- サーバー マシン上の ESCERTPAS.CBL を変更して、サーバー証明書のキー ファイルのパスワードが返され、コンパイルされるようにします。
when function upper-case(lk-certificate-name) = 'SRVCERT' *> Server certificate name
move 'srvrootpwd' to lk-passphrase-returned *> Passphrase for srvcert_key.pem
move spaces to lk-CARoot-to-be-used *> No client authentication
ESCERTPAS.CBL は、%ProgramFiles(x86)%\Micro Focus\Enterprise Developer\src\base\source (Windows) または $COBDIR/copylib (UNIX)、あるいはその両方にあります。
- サーバー証明書への署名に使用した CA ルート証明書をクライアントに提供します。
- エンタープライズ サーバー リージョン、および CICS をクライアントとして使用する場合はクライアント リージョンを起動します。
- ブラウザーで、https:<host>:<port number in TCPIPSERVICE>/my/ssl/path と入力します。
- クライアントが CICS プログラムの場合は、次のようにします。
- WEB OPEN で次を指定する必要があります。
- SCHEME(HTTPS)。
- TCPIPSERVICE で指定したポート番号。
- WEB SEND で次を指定する必要があります。
- PATH(WS-PATH)。WS-PATH は /my/ssl/path の値になります。
- クライアント証明書と CICS ユーザー ID の関連付けの詳細については、「CICS Web インターフェイス サーバーのユーザー証明書登録」を参照してください。