Interstage Application Server シングル・サインオン運用ガイド

目次 索引

2.3.4 リポジトリサーバ（更新系）のSSL通信環境の構築

　SSOリポジトリ間のレプリケーションを行う場合、リポジトリサーバ（更新系）のマシンのSSOリポジトリ（マスタ）からリポジトリサーバ（参照系）のマシンのSSOリポジトリ（スレーブ）にデータ配信を行うため、リポジトリサーバ（参照系）のマシンがSSL通信を行うサーバとなります。

　レプリケーションをSSL通信で行う場合、リポジトリサーバ（更新系）のマシンにSSL通信環境を構築する必要があります。

　構築済の認証基盤にリポジトリサーバ（参照系）を1台追加する場合で、運用中のリポジトリサーバ（更新系）のマシンにすでにSSL通信環境が構築されている場合は、この作業は不要です。

　SSL通信環境の構築は、以下の手順で行います。

1. SSL通信の設定
   1. SSL通信を行うための準備（SSLサイト証明書の取得と、Interstage証明書環境への登録）
      リポジトリサーバ（更新系）とリポジトリサーバ（参照系）でサイト証明書を発行する認証局が異なる場合は、リポジトリサーバ（参照系）でサイト証明書を発行する認証局の証明書もリポジトリサーバ（更新系）のマシンに登録する必要があります。
      詳細については、“SSL通信を行うための準備”を参照してください。
   2. SSL通信を行うための設定（SSL定義の作成）
      Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [SSL] > [新規作成]タブでSSL通信を行うための設定を行います。
      • 定義名
        　SSL定義を識別する名前を設定してください。
      • サイト証明書のニックネーム
        　1-1)の“SSL通信を行うための準備”で、Interstage証明書環境にSSLサイト証明書を登録した際に指定したニックネームを設定してください。登録したSSLサイト証明書はInterstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面で参照できます。
      • プロトコルバージョン
        　“SSL 3.0”だけを選択してください。
      • クライアント認証
        　“する（クライアント証明書が提示された場合、認証する）”を選択してください。
      • 暗号化方法
        　必要に応じて変更してください。
      • 認証局証明書のニックネーム
        　必要に応じて変更してください。

      各項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

2. 証明書の有効性を確認する場合
   　上記の設定に加え、証明書認証の有効性確認を行うための準備（CRLの取得と、Interstage証明書環境への登録）を行います。リポジトリサーバ（更新系）とリポジトリサーバ（参照系）でサイト証明書を発行する認証局が異なる場合は、リポジトリサーバ（参照系）でサイト証明書を発行する認証局からCRLを取得し、リポジトリサーバ（更新系）のマシンに登録してください。
   詳細については、“証明書の有効性確認を行うための準備”を参照してください。

　レプリケーションをSSL通信で行うと、各SSOリポジトリ間の通信をSSLのクライアント・サーバ認証と暗号化通信で行い、盗聴／改ざん／なりすましなどの危険を回避し、情報のプライバシーを守ることができます。セキュリティ上、SSL通信で行うことを強く推奨します。

目次 索引