Interstage Application Server Smart Repository運用ガイド
|
目次
索引
|
2.3 SSL通信環境の構築
スタンドアロンで運用する場合も、レプリケーションで運用する場合も、クライアントとサーバ間で暗号化通信をするためには、SSL通信環境を構築する必要があります。
レプリケーションで運用する場合、マスタサーバとスレーブサーバ間でSSL通信をする場合は、SSL環境をマスタサーバに構築し、SSL通信をするスレーブサーバに、対応したSSL情報を設定する必要があります。レプリケーション運用では、クライアントとサーバ間、マスタサーバとスレーブサーバ間のどちらか一方のみ、または両方でSSL通信をすることもできます。
管理サーバにSSL通信環境を構築するには、サーバ機能をインストールして、管理対象サーバとしてください。
管理サーバ、管理対象サーバについては、“Interstage運用ガイド”の“マルチサーバ管理機能”を参照してください。サーバ機能のインストールは、“インストールガイド”を参照してください。
Smart Repositoryでは、以下のクライアントをSSL通信の対象としています。
- Smart Repository LDAPコマンド(ldapsearch、ldapmodify、ldapdeleteコマンド)
- Smart Repositoryサーバにアクセスするユーザアプリケーション
以下の手順でSSL通信環境を構築します。
- Interstage証明書環境の構築(下図1〜5)
- 証明書を利用するための設定(下図6)
以下にサーバのSSL通信環境構築の流れ図を示します。
- 証明書/鍵管理環境の作成(下図1)
- 秘密鍵の作成と証明書の取得(下図2〜4)
- 証明書とCRLの登録(下図5〜6)
- SSL環境定義ファイルの設定(下図7)
- ユーザPINの暗号化(下図8)
以下にクライアントのSSL通信環境構築の流れ図を示します。
レプリケーションでSSLを使用した暗号化通信をする場合、SSL環境をマスタサーバに構築し、SSL通信をするスレーブサーバに、対応したSSL情報を設定する必要があります。
- レプリケーション運用中は、使用するSSL定義やその内容を変更しないでください。運用中にSSL定義を変更した場合の動作は保証されません。
スレーブサーバのSSL通信環境の構築手順
- スレーブサーバのリポジトリが使用するSSL定義には、テスト用証明書を指定しないでください。
以下の手順で、スレーブサーバのSSL通信環境を構築します。
- Interstage証明書環境の構築
- 証明書を利用するための設定
詳細な手順は、“SSL通信環境の構築(クライアント・サーバ間)”に記載の“サーバ”の手順と同じです。
マスタサーバのSSL通信環境の構築手順
クライアント認証をしない場合
- 認証局証明書、CRLは、スレーブサーバのSSL通信環境の構築で取得したものと同じものを使用する必要があります。
以下の手順で、マスタサーバのSSL通信環境を構築します。
- Interstage証明書環境の構築(下図1〜2)
テスト用サイト証明書を作成します。
テスト用サイト証明書のニックネーム testCert
名前 repository.fujitsu.com
組織単位名 Interstage
組織名 Fujitsu Ltd.
都市名 Yokohama
地方名 Kanagawa
国名コード jp
scsmakeenv -n testCert
Password: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:repository.fujitsu.com (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
SCS: 情報: scs0102: 自己署名証明書を作成しました。 |
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
注2) 入力する内容については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
注3) 表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。
- 証明書を利用するための設定(下図3)
Interstage証明書環境に登録されている証明書は、Interstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [認証局証明書]画面、または[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面(管理サーバの場合は、[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [証明書] > [認証局証明書]画面、または[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [証明書] > [サイト証明書]画面)で参照できます。
取得した証明書の内容が正しいか確認してください。
SSLで通信するためには、SSL定義を作成する必要があります。Interstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作成]タブ(管理サーバの場合は、[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [SSL]の[新規作成]タブ)でSSL定義を作成してください。
[プロトコルバージョン]、および[暗号化方式]を、スレーブのリポジトリが使用するSSL定義のそれぞれと1つ以上一致させてください。
以下に、クライアント認証をしない場合のSSL通信環境の構築手順の流れ図を示します。
クライアント認証をする場合
- 認証局証明書、CRLは、スレーブサーバのSSL通信環境の構築で取得したものと同じものを使用する必要があります。
- スレーブサーバのリポジトリが使用するSSL定義の、[環境設定]の[クライアント認証]の設定が、“する(クライアント証明書を必ず認証する)”となっている場合は、レプリケーションで使用するSSL定義には、テスト用証明書は指定しないでください。
以下の手順で、マスタサーバのSSL通信環境を構築します。
- Interstage証明書環境の構築(下図1〜5)
ここまでの詳細な手順は、“SSL通信環境の構築(クライアント・サーバ間)”に記載の“サーバ”の手順と同じです。
- 証明書を利用するための設定(下図6)
Interstage証明書環境に登録されている証明書は、Interstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [認証局証明書]画面、または[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面(管理サーバの場合は、[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [証明書] > [認証局証明書]画面、または[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [証明書] > [サイト証明書]画面)で参照できます。
取得した証明書の内容が正しいか確認してください。
SSLで通信するためには、SSL定義を作成する必要があります。Interstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作成]タブ(管理サーバの場合は、[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [SSL]の[新規作成]タブ)でSSL定義を作成してください。
[プロトコルバージョン]で“SSL3.0”を選択してください。[暗号化方式]では、スレーブサーバのリポジトリが使用するSSL定義のそれぞれと1つ以上一致させてください。
以下に、クライアント認証をする場合のSSL通信環境の構築手順の流れ図を示します。
ここでは、クライアントとサーバとで使用する証明書の認証局が同じ場合について説明します。クライアントとサーバとで使用する証明書の認証局が違う場合、およびSSLを使用した暗号化通信の詳細については、“セキュリティシステム運用ガイド”を参照してください。
- 2.3.1 Interstage証明書環境の構築(サーバ)
- 2.3.2 証明書を利用するための設定(サーバ)
- 2.3.3 証明書/鍵管理環境の作成(クライアント)
- 2.3.4 秘密鍵の作成と証明書の取得(クライアント)
- 2.3.5 証明書とCRLの登録(クライアント)
- 2.3.6 SSL環境定義ファイルの設定(クライアント)
- 2.3.7 ユーザPINの暗号化(クライアント)
All Rights Reserved, Copyright(C) 富士通株式会社 2005