| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第2章 環境構築(SSO管理者編) | > 2.4 認証サーバの構築 | > 2.4.1 SSL通信環境の構築 |
各サーバでSSL通信する場合、サイト証明書を取得し、Interstage証明書環境に登録する必要があります。サイト証明書の取得、およびInterstage証明書環境への登録方法については“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”を参照してください。
なお、すでにサイト証明書を取得、登録済みの場合は、登録済みのサイト証明書を使用できます。
以下に、SSL通信を行うための準備例を示します。
Interstage証明書環境を構築する前に、Interstage証明書環境へのアクセスを許可する、所有グループを作成しておく必要があります。作成した所有グループは、Interstage証明書環境を構築時にscsmakeenvコマンドの-gオプションに指定してください。
なお、Interstage証明書環境の所有グループに登録する実効ユーザは、Interstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに設定されているユーザを使用する必要があります。
Interstage証明書環境のアクセス権限の設定については、“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”を参照してください。
申請情報として、識別名(国名、英数字氏名、英数字組織名、英数字組織単位名、都道府県名、市区町村名など)を指定して、SSL通信に使用する証明書の取得申請を行うための証明書取得申請書(CSR)を作成します。
証明書取得申請書(CSR)の作成にはscsmakeenvコマンドを使用します。その証明書取得申請書(CSR)を認証局(Systemwalker PkiMGR、日本ベリサイン株式会社、日本認証サービス株式会社のどれか)に取得申請して証明書の発行を依頼します。
scsmakeenvコマンドを実行すると、識別名の入力が促されます。“What is your first and last name?”との問い合わせには、Webサーバホスト名として認証基盤のURLのFQDN(Fully Qualified Domain Name)を指定してください。Interstage Traffic Directorなどのロードバランサを用いて認証サーバの負荷分散を行う場合は、Interstage Traffic DirectorなどのロードバランサのFQDNを指定してください。FQDNとは、ドメインも含んだホスト名のことです。Webサーバの証明書を申請する場合、証明書の所有者名にはFQDNで記述する必要があります。(例. “authenticate_server.fujitsu.com”)
またscsmakeenvコマンドには、Interstage証明書環境にアクセスするためのパスワードと秘密鍵のニックネームを指定します。パスワードは、Interstage証明書環境へアクセスするために必要になります。ニックネームは、認証局から取得したサイト証明書を登録する場合に必要になります。忘れないようにしてください。
証明書取得申請書(CSR)の作成コマンド(scsmakeenv)の詳細については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
申請書の出力先ファイル名を“C:\WINNT\temp\ssocert.txt”にした場合の例です。必要に応じて申請書の出力先ファイル名を変更してください。
パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
識別名の問い合わせがあった場合には、以下の例の太字で示したように入力してください。
サイト証明書のニックネーム SERVERCERT
申請書の出力先ファイル名 C:\WINNT\temp\ssocert.txt
国名 jp
英数字氏名 authenticate_server.fujitsu.com
英数字組織名 FUJITSU
英数字組織単位名 FUJITSU TOKYO
都道府県名 Tokyo
市区町村名 Shinjuku
|
C:\>scsmakeenv -n SERVERCERT -f C:\WINNT\temp\ssocert.txt |
scsmakeenvコマンドが正常に終了すると、申請書がscsmakeenvコマンドの-fオプションで指定した証明書取得申請書(CSR)を格納するファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従ってください。
“nobody”によるアクセス権限が設定されたInterstage証明書環境を新規に作成し、証明書取得申請書を作成する例です。すでにInterstage証明書環境が作成されている場合は、必要に応じてInterstage証明書環境にアクセス権限を設定してください。
例では、申請書の出力先ファイル名を“/tmp/ssocert.txt”にしています。必要に応じて申請書の出力先ファイル名を変更してください。
証明書の取得申請を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
識別名の問い合わせがあった場合には、以下の例の太字で示したように入力してください。
サイト証明書のニックネーム SERVERCERT
申請書の出力先ファイル名 /tmp/ssocert.txt
国名 jp
英数字氏名 authenticate_server.fujitsu.com
英数字組織名 FUJITSU
英数字組織単位名 FUJITSU TOKYO
都道府県名 Tokyo
市区町村名 Shinjuku
Interstage証明書環境へのアクセスを許可するグループ nobody
|
# JAVA_HOME=/opt/FJSVawjbk/jdk14;export JAVA_HOME |
scsmakeenvコマンドが正常に終了すると、申請書がscsmakeenvコマンドの-fオプションで指定した証明書取得申請書(CSR)を格納するファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従ってください。
“iscertg”によるアクセス権限が設定されたInterstage証明書環境を新規に作成し、証明書取得申請書を作成する例です。すでにInterstage証明書環境が作成されている場合は、必要に応じてInterstage証明書環境にアクセス権限を設定してください。
例では、Interstage証明書環境へのアクセスを許可する所有グループとして“iscertg”を作成し、作成した“iscertg”にInterstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに初期値として設定されている実効ユーザ“nobody”を追加しています。また、申請書の出力先ファイル名を“/tmp/ssocert.txt”にしています。必要に応じて申請書の出力先ファイル名を変更してください。
証明書の取得申請を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
識別名の問い合わせがあった場合には、以下の例の太字で示したように入力してください。
サイト証明書のニックネーム SERVERCERT
申請書の出力先ファイル名 /tmp/ssocert.txt
国名 jp
英数字氏名 authenticate_server.fujitsu.com
英数字組織名 FUJITSU
英数字組織単位名 FUJITSU TOKYO
都道府県名 Tokyo
市区町村名 Shinjuku
Interstage証明書環境へのアクセスを許可するグループ iscertg
|
# groupadd iscertg |
scsmakeenvコマンドが正常に終了すると、申請書がscsmakeenvコマンドの-fオプションで指定した証明書取得申請書(CSR)を格納するファイル名に出力されます。そのファイルを認証局に送付し、証明書の発行を依頼してください。なお、依頼方法は認証局に従ってください。
認証局から発行されたサイト証明書と、その証明書の発行者である認証局証明書を取得し登録します。
証明書の登録には証明書・CRL登録コマンド(scsenter)を使用します。
scsenterコマンドには、scsmakeenvコマンドで指定したInterstage証明書環境にアクセスするためのパスワードと証明書のニックネームを指定します。ニックネームには、認証局から取得したサイト証明書を登録する場合は、scsmakeenvコマンドで秘密鍵に指定したニックネームを指定します。なお、サイト証明書の登録には、-oオプションを必ず指定してください。
scsenterコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
認証局の証明書 C:\WINNT\temp\ca-cert.cer
認証局の証明書のニックネーム CACERT
サイト証明書 C:\WINNT\temp\server-cert.cer
サイト証明書のニックネーム SERVERCERT
取得した認証局の証明書、およびサイト証明書を“C:\WINNT\temp\ca-cert.cer”、および“C:\WINNT\temp\server-cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
C:\>scsenter -n CACERT -f C:\WINNT\temp\ca-cert.cer |
認証局の証明書 /tmp/ca-cert.cer
認証局の証明書のニックネーム CACERT
サイト証明書 /tmp/server-cert.cer
サイト証明書のニックネーム SERVERCERT
取得した認証局の証明書、およびサイト証明書を“/tmp/ca-cert.cer”、および“/tmp/server-cert.cer”にした場合の例です。必要に応じて各証明書のファイルパス名を変更してください。
なお、証明書の取得申請を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
# JAVA_HOME=/opt/FJSVawjbk/jdk14;export JAVA_HOME |
|
目次
索引
|