| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第2章 環境構築(SSO管理者編) | > 2.4 認証サーバの構築 | > 2.4.1 SSL通信環境の構築 |
証明書認証時にCRL(Certificate Revocation List)による証明書の有効性確認を行うことができます。以下に、証明書の有効性確認の運用を行う場合の準備について説明します。
証明書の有効性確認の運用を行わない場合、以下の準備を行う必要はありません。
認証サーバでSSL通信を行う場合は、以下に示す設定を行ってください。
注1)“SSL通信を行うための準備”で登録したサイト証明書とは異なる認証局から発行されたCRLを登録する場合に行ってください。
SSL通信をSSLアクセラレータで行う場合、またはSSL通信をInterstage Security Directorで行う場合は、以下に示す設定を行ってください。
Interstage証明書環境が作成されていない場合、scsmakeenvコマンドを使用してInterstage証明書環境を作成します。
scsmakeenvコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
scsmakeenvコマンドを使用して、Interstage証明書環境を新規に作成する例です。
パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
C:\> scsmakeenv -e |
scsmakeenvコマンドを使用して、nobodyによるアクセス権限が設定されたInterstage証明書環境を新規に作成する例です。
なお、証明書環境を作成する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
# JAVA_HOME=/opt/FJSVawjbk/jdk14;export JAVA_HOME |
scsmakeenvコマンドを使用して、iscertgによるアクセス権限が設定されたInterstage証明書環境を新規に作成する例です。
例では、Interstage証明書環境へのアクセスを許可する所有グループとしてiscertgを作成し、作成したiscertgにInterstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに初期値として設定されている実効ユーザnobodyを追加しています。
なお、証明書環境を作成する前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
# groupadd iscertg |
CRLの登録を行う前にCRL発行局の証明書を取得し登録する必要があります。CRL発行局の証明書が登録されていない場合、CRL発行局の証明書を事前に登録してください。
CRL発行局の証明書の登録には、証明書・CRL登録コマンド(scsenter)を使用します。
scsenterコマンドには、scsmakeenvコマンドで指定したセキュリティ環境にアクセスするためのパスワードと証明書のニックネームを指定します。
scsenterコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
CRL発行局の証明書 C:\WINNT\temp\crlca-cert.cer
CRL発行局の証明書のニックネーム CRLCACERT
取得したCRL発行局の証明書を“C:\WINNT\temp\crlca-cert.cer”にした場合の例です。必要に応じて証明書のファイルパス名を変更してください。
パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
C:\>scsenter -n CRLCACERT -f C:\WINNT\temp\crlca-cert.cer |
CRL発行局の証明書 /tmp/crlca-cert.cer
CRL発行局の証明書のニックネーム CRLCACERT
取得したCRL発行局の証明書を“/tmp/crlca-cert.cer”にした場合の例です。必要に応じて証明書のファイルパス名を変更してください。
なお、証明書の取得申請を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
# JAVA_HOME=/opt/FJSVawjbk/jdk14;export JAVA_HOME |
証明書の有効性確認を行うには認証局より取得したCRLを証明書・CRL登録コマンド(scsenter)を使用して登録する必要があります。
scsenterコマンドには、scsmakeenvコマンドで指定したセキュリティ環境にアクセスするためのパスワードを指定します。
なお、CRLの登録には、-cオプションを必ず指定してください。
scsenterコマンドの詳細については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
CRLを登録し、認証サーバの構築時に、環境設定で[証明書認証の動作]の[証明書の失効確認]を[する]に設定することにより利用者の証明書の有効性を確認します。
認証局より取得したCRL C:\WINNT\temp\crl.crl
取得したCRLを“C:\WINNT\temp\crl.crl”にした場合の例です。必要に応じてCRLのファイルパス名を変更してください。
パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
C:\>scsenter -c -f C:\WINNT\temp\crl.crl |
認証局より取得したCRL /tmp/crl.crl
取得したCRLを“/tmp/crl.crl”にした場合の例です。必要に応じてCRLのファイルパス名を変更してください。
なお、CRLの登録を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
# JAVA_HOME=/opt/FJSVawjbk/jdk14;export JAVA_HOME |
|
目次
索引
|