{AJS構築}21.4.2　マネージャー・エージェント構成でのSSL通信の設定手順

物理ホスト

--マネージャでサーバ証明書等の作成
openssl genrsa -aes128 1024 > server1.key
openssl req -new -key server1.key > server1.csr
openssl x509 -in server1.csr -days 36500 -req -signkey server1.key > server1.crt
mv server1.key server1.key.bak
openssl rsa -in server1.key.bak > server1.key

--サーバ証明書(=ルート証明書)をマネージャからエージェントに転送
scp server1.crt mmm182:/root

--エージェントでサーバ証明書等の作成
openssl genrsa -aes128 1024 > server2.key
openssl req -new -key server2.key > server2.csr
openssl x509 -in server2.csr -days 36500 -req -signkey server2.key > server2.crt
mv server2.key server2.key.bak
openssl rsa -in server2.key.bak > server2.key

--サーバ証明書(=ルート証明書)をエージェントからマネージャに転送
scp server2.crt mmm181:/root

--マネージャで証明書等を配置する
mkdir /root/jp1ssl

cat server1.crt server2.crt > /root/jp1ssl/server.crt
cp server1.crt /root/jp1ssl
cp server1.key /root/jp1ssl

--エージェントで証明書等を配置する
mkdir /root/jp1ssl

cat server1.crt server2.crt > /root/jp1ssl/server.crt
cp server2.crt /root/jp1ssl
cp server2.key /root/jp1ssl

2.JP1/AJS3サービスおよびJP1/Baseサービスを停止

--マネージャでの作業
/opt/jp1ajs2/bin/jajs_spmd_stop

/opt/jp1ajs2/bin/jajs_spmd_status

/opt/jp1base/bin/jbs_spmd_stop
/opt/jp1base/bin/jevstop
/opt/jp1base/bin/jevlogdstop

/opt/jp1base/bin/jbs_spmd_status
/opt/jp1base/bin/jevstat
/opt/jp1base/bin/jevlogdstat

--エージェントでの作業
/opt/jp1ajs2/bin/jajs_spmd_stop

/opt/jp1ajs2/bin/jajs_spmd_status

/opt/jp1base/bin/jbs_spmd_stop
/opt/jp1base/bin/jevstop
/opt/jp1base/bin/jevlogdstop

/opt/jp1base/bin/jbs_spmd_status
/opt/jp1base/bin/jevstat
/opt/jp1base/bin/jevlogdstat

3.SSL通信を有効にする

--マネージャでの作業

vim /etc/opt/jp1base/conf/jp1bs_ssl.conf

[JP1_DEFAULT\JP1BASE\SSL]
"ENABLE"=dword:00000001
"CERTIFICATEFILE"="/root/jp1ssl/server1.crt"
"CACERTIFICATEFILE"="/root/jp1ssl/server.crt"
"PRIVATEKEYFILE"="/root/jp1ssl/server1.key"
"SSLPROTOCOL"="TLSv1_2"
"BASESSL"="jp1bsuser,jp1imcmda"

/opt/jp1base/bin/jbssetcnf /etc/opt/jp1base/conf/jp1bs_ssl.conf

--エージェントでの作業

vim /etc/opt/jp1base/conf/jp1bs_ssl.conf

[JP1_DEFAULT\JP1BASE\SSL]
"ENABLE"=dword:00000001
"CERTIFICATEFILE"="/root/jp1ssl/server2.crt"
"CACERTIFICATEFILE"="/root/jp1ssl/server.crt"
"PRIVATEKEYFILE"="/root/jp1ssl/server2.key"
"SSLPROTOCOL"="TLSv1_2"
"BASESSL"="jp1bsuser,jp1imcmda"

/opt/jp1base/bin/jbssetcnf /etc/opt/jp1base/conf/jp1bs_ssl.conf

4.JP1/AJS3サービスおよびJP1/Baseサービスを起動
--マネージャでの作業

/opt/jp1base/bin/jbs_spmd
/opt/jp1base/bin/jevstart
/opt/jp1base/bin/jevlogdstart

/opt/jp1base/bin/jbs_spmd_status
/opt/jp1base/bin/jevstat
/opt/jp1base/bin/jevlogdstat

/opt/jp1ajs2/bin/jajs_spmd

/opt/jp1ajs2/bin/jajs_spmd_status

--エージェントでの作業

/opt/jp1base/bin/jbs_spmd
/opt/jp1base/bin/jevstart
/opt/jp1base/bin/jevlogdstart

/opt/jp1base/bin/jbs_spmd_status
/opt/jp1base/bin/jevstat
/opt/jp1base/bin/jevlogdstat

/opt/jp1ajs2/bin/jajs_spmd

/opt/jp1ajs2/bin/jajs_spmd_status

5.ビュー端末での作業

--マネージャで作成した連結後のルート証明書(server.crt)を下記フォルダに配置

C:\Program Files (x86)\Hitachi\JP1AJS2V\conf\ssl\rootcer

--非暗号化通信ホスト設定ファイル（nosslhost.conf）の編集

notepad "C:\Program Files (x86)\Hitachi\JP1AJS2V\conf\ssl\nosslhost.conf"

[NO_SSL_HOST]
*

↓
[NO_SSL_HOST]

6.動作確認

6.1.ビューからログインし、マネージャの統合トレースログに，メッセージKNAD3995-IとメッセージKAVS0532-Iが出力されていることを確認する
※ログイン時はIPアドレスではなくホスト名を使用する

ls -ltr /var/opt/hitachi/HNTRLib2/spool
cat /var/opt/hitachi/HNTRLib2/spool/hntr21.log | grep "KNAD3995-I"
cat /var/opt/hitachi/HNTRLib2/spool/hntr21.log | grep "KAVS0532-I"

6.2.ジョブ実行確認

vim /root/unitbackup.txt

unit=jg1,,jp1admin,;
{
ty=g;
cm="jg1";
el=jobnet1,n,+0+0;
cl=su;
op=mo;
op=tu;
op=we;
op=th;
op=fr;
cl=sa;
unit=jobnet1,,jp1admin,;
{
ty=n;
cm="jobnet1";
sz=10x8;
el=job1,j,+400+144;
el=job2,j,+720+144;
ar=(f=job1,t=job2,seq);
sd=1,2019/11/03;
st=1,23:58;
cy=1,(1,d);
sh=1,ca;
shd=1,2;
ex="mmm182";
unit=job1,,jp1admin,;
{
ty=j;
cm="job1test";
sc="/root/job1.sh";
un="root";
tho=0;
ex="mmm182";
}
unit=job2,,jp1admin,;
{
ty=j;
cm="job2";
sc="/root/job2.sh";
un="root";
tho=0;
ex="mmm182";
}
}
}

export JP1_USERNAME=jp1admin
/opt/jp1ajs2/bin/ajsleave -F AJSROOT1 /jg1/jobnet1/
/opt/jp1ajs2/bin/ajsdefine -F AJSROOT1 -f -d / /root/unitbackup.txt
/opt/jp1ajs2/bin/ajsentry -F AJSROOT1 -n /jg1/jobnet1
/opt/jp1ajs2/bin/ajsshow -F AJSROOT1 -s /jg1/jobnet1

論理ホスト

1.サーバ証明書等の作成

--サーバ証明書(=ルート証明書)をマネージャからエージェントに転送
scp server1.crt mmm195:/root

--サーバ証明書(=ルート証明書)をエージェントからマネージャに転送
scp server2.crt mmm191:/root

--マネージャで証明書等を配置する
mkdir -p /mnt/sdc2/jp1ssl

cat server1.crt server2.crt > /mnt/sdc2/jp1ssl/server.crt
cp server1.crt /mnt/sdc2/jp1ssl
cp server1.key /mnt/sdc2/jp1ssl

--エージェントで証明書等を配置する
mkdir -p /mnt/sdc2/jp1ssl

cat server1.crt server2.crt > /mnt/sdc2/jp1ssl/server.crt
cp server2.crt /mnt/sdc2/jp1ssl
cp server2.key /mnt/sdc2/jp1ssl

2.JP1/AJS3サービスおよびJP1/Baseサービスを停止

--マネージャでの作業

/etc/opt/jp1ajs2/jajs_stop.cluster mmm190
/opt/jp1ajs2/bin/jajs_spmd_status -h mmm190

/etc/opt/jp1base/jbs_stop.cluster mmm190
/opt/jp1base/bin/jbs_spmd_status -h mmm190

--エージェントでの作業

/etc/opt/jp1ajs2/jajs_stop.cluster mmm194
/opt/jp1ajs2/bin/jajs_spmd_status -h mmm194

/etc/opt/jp1base/jbs_stop.cluster mmm194
/opt/jp1base/bin/jbs_spmd_status -h mmm194

3.SSL通信を有効にする

--マネージャでの作業

vim /mnt/sdc2/jp1ajs/jp1base/conf/jp1bs_ssl.conf

[mmm190\JP1BASE\SSL]
"ENABLE"=dword:00000001
"CERTIFICATEFILE"="/mnt/sdc2/jp1ssl/server1.crt"
"CACERTIFICATEFILE"="/mnt/sdc2/jp1ssl/server.crt"
"PRIVATEKEYFILE"="/mnt/sdc2/jp1ssl/server1.key"
"SSLPROTOCOL"="TLSv1_2"
"BASESSL"="jp1bsuser,jp1imcmda"

/opt/jp1base/bin/jbssetcnf /mnt/sdc2/jp1ajs/jp1base/conf/jp1bs_ssl.conf

--待機系への反映

共通定義情報の出力
/opt/jp1base/bin/jbsgetcnf -h mmm190 > /root/jbscnf.txt
scp /root/jbscnf.txt mmm192:/root

共通定義情報の取り込み
ssh mmm192 "/opt/jp1base/bin/jbssetcnf /root/jbscnf.txt"

--エージェントでの作業

vim /mnt/sdc2/jp1ajs/jp1base/conf/jp1bs_ssl.conf

[mmm194\JP1BASE\SSL]
"ENABLE"=dword:00000001
"CERTIFICATEFILE"="/mnt/sdc2/jp1ssl/server2.crt"
"CACERTIFICATEFILE"="/mnt/sdc2/jp1ssl/server.crt"
"PRIVATEKEYFILE"="/mnt/sdc2/jp1ssl/server2.key"
"SSLPROTOCOL"="TLSv1_2"
"BASESSL"="jp1bsuser,jp1imcmda"

/opt/jp1base/bin/jbssetcnf /mnt/sdc2/jp1ajs/jp1base/conf/jp1bs_ssl.conf

--待機系への反映

共通定義情報の出力
/opt/jp1base/bin/jbsgetcnf -h mmm194 > /root/jbscnf.txt
scp /root/jbscnf.txt mmm196:/root

共通定義情報の取り込み
ssh mmm196 "/opt/jp1base/bin/jbssetcnf /root/jbscnf.txt"

4.JP1/AJS3サービスおよびJP1/Baseサービスを起動

--マネージャでの作業

/etc/opt/jp1base/jbs_start.cluster mmm190
/opt/jp1base/bin/jbs_spmd_status -h mmm190

/etc/opt/jp1ajs2/jajs_start.cluster mmm190
/opt/jp1ajs2/bin/jajs_spmd_status -h mmm190

--エージェントでの作業

/etc/opt/jp1base/jbs_start.cluster mmm194
/opt/jp1base/bin/jbs_spmd_status -h mmm194

/etc/opt/jp1ajs2/jajs_start.cluster mmm194
/opt/jp1ajs2/bin/jajs_spmd_status -h mmm194

5.ビュー端末での作業

--マネージャで作成した連結後のルート証明書(server.crt)を下記フォルダに配置

C:\Program Files (x86)\Hitachi\JP1AJS2V\conf\ssl\rootcer

--非暗号化通信ホスト設定ファイル（nosslhost.conf）の編集

notepad "C:\Program Files (x86)\Hitachi\JP1AJS2V\conf\ssl\nosslhost.conf"

[NO_SSL_HOST]
*

↓
[NO_SSL_HOST]

6.動作確認

ls -ltr /var/opt/hitachi/HNTRLib2/spool
cat /var/opt/hitachi/HNTRLib2/spool/hntr21.log | grep "KNAD3995-I"
cat /var/opt/hitachi/HNTRLib2/spool/hntr21.log | grep "KAVS0532-I"

6.2.ジョブ実行確認

vim /root/unitbackup.txt

unit=jg1,,jp1admin,;
{
ty=g;
cm="jg1";
el=jobnet1,n,+0+0;
cl=su;
op=mo;
op=tu;
op=we;
op=th;
op=fr;
cl=sa;
unit=jobnet1,,jp1admin,;
{
ty=n;
cm="jobnet1";
sz=10x8;
el=job1,j,+240+144;
el=job2,j,+400+144;
ar=(f=job1,t=job2,seq);
sd=1,2019/11/03;
st=1,22:56;
cy=1,(1,d);
sh=1,ca;
shd=1,2;
ex="mmm194";
unit=job1,,jp1admin,;
{
ty=j;
cm="job1";
sc="/mnt/sdc2/job1.sh";
tho=0;
ex="mmm194";
}
unit=job2,,jp1admin,;
{
ty=j;
cm="job2";
te=" ";
sc="/mnt/sdc2/job2.sh";
tho=0;
ex="mmm194";
}
}
}

export JP1_USERNAME=jp1admin
/opt/jp1ajs2/bin/ajsleave -F AJS3SCHEDULE001 /jg1/jobnet1
/opt/jp1ajs2/bin/ajsdefine -F AJS3SCHEDULE001 -f -d / /root/unitbackup.txt
/opt/jp1ajs2/bin/ajsentry -F AJS3SCHEDULE001 -n /jg1/jobnet1
/opt/jp1ajs2/bin/ajsshow -F AJS3SCHEDULE001 -s /jg1/jobnet1

ジョブがキューイングとなってしまう
→ hostsファイルからFQDN形式のホスト名を削除して解消