Interstage Application Server Smart Repository運用ガイド
目次 索引 前ページ次ページ

第2章 環境構築

2.3 SSL通信環境の構築

 スタンドアロンで運用する場合も、レプリケーションで運用する場合も、クライアントとサーバ間で暗号化通信をするためには、SSL通信環境を構築する必要があります。

 レプリケーションで運用する場合、マスタサーバとスレーブサーバ間でSSL通信をする場合は、SSL環境をマスタサーバに構築し、SSL通信をするスレーブサーバに、対応したSSL情報を設定する必要があります。レプリケーション運用では、クライアントとサーバ間、マスタサーバとスレーブサーバ間のどちらか一方のみ、または両方でSSL通信をすることもできます。

 管理サーバにSSL通信環境を構築するには、サーバ機能をインストールして、管理対象サーバとしてください。
 管理サーバ、管理対象サーバについては、“Interstage運用ガイド”の“マルチサーバ管理機能”を参照してください。サーバ機能のインストールは、“インストールガイド”を参照してください。

SSL通信環境の構築(クライアント・サーバ間)

 Smart Repositoryでは、以下のクライアントをSSL通信の対象としています。

 以下の手順でSSL通信環境を構築します。

  1. Interstage証明書環境の構築(下図1〜5)
  2. 証明書を利用するための設定(下図6)

    以下にサーバのSSL通信環境構築の流れ図を示します。

  1. 証明書/鍵管理環境の作成(下図1)
  2. 秘密鍵の作成と証明書の取得(下図2〜4)
  3. 証明書とCRLの登録(下図5〜6)
  4. SSL環境定義ファイルの設定(下図7)
  5. ユーザPINの暗号化(下図8)

    以下にクライアントのSSL通信環境構築の流れ図を示します。

     

     

SSL通信環境の構築(マスタサーバ・スレーブサーバ間)

 レプリケーションでSSLを使用した暗号化通信をする場合、SSL環境をマスタサーバに構築し、SSL通信をするスレーブサーバに、対応したSSL情報を設定する必要があります。

スレーブサーバのSSL通信環境の構築手順

 以下の手順で、スレーブサーバのSSL通信環境を構築します。

  1. Interstage証明書環境の構築
  2. 証明書を利用するための設定

 詳細な手順は、“SSL通信環境の構築(クライアント・サーバ間)”に記載の“サーバ”の手順と同じです。

マスタサーバのSSL通信環境の構築手順

クライアント認証をしない場合

 以下の手順で、マスタサーバのSSL通信環境を構築します。

  1. Interstage証明書環境の構築(下図1〜2)

     テスト用サイト証明書を作成します。

     テスト用サイト証明書のニックネーム testCert
     名前 repository.fujitsu.com
     組織単位名 Interstage
     組織名 Fujitsu Ltd.
     都市名 Yokohama
     地方名 Kanagawa
     国名コード jp

    scsmakeenv -n testCert
    Password: (注1)

    Input X.500 distinguished names.
    What is your first and last name?
    [Unknown]:repository.fujitsu.com (注2)
    What is the name of your organizational unit?
    [Unknown]:Interstage (注2)
    What is the name of your organization?
    [Unknown]:Fujitsu Ltd. (注2)
    What is the name of your City or Locality?
    [Unknown]:Yokohama (注2)
    What is the name of your State or Province?
    [Unknown]:Kanagawa (注2)
    What is the two-letter country code for this unit?
    [Un]:jp (注2)
    Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
    [no]:yes (注3)
    SCS: 情報: scs0102: 自己署名証明書を作成しました。

    注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のため再入力(Retype)してください。
    注2) 入力する内容については、“リファレンスマニュアル(コマンド編)”の“SSL環境設定コマンド”を参照してください。
    注3) 表示された内容が正しければ、“yes”を入力してください。再度やり直したい場合には、“no”を入力してください。

  2. 証明書を利用するための設定(下図3)
     Interstage証明書環境に登録されている証明書は、Interstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [認証局証明書]画面、または[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面(管理サーバの場合は、[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [証明書] > [認証局証明書]画面、または[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [証明書] > [サイト証明書]画面)で参照できます。
     取得した証明書の内容が正しいか確認してください。
     SSLで通信するためには、SSL定義を作成する必要があります。Interstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作成]タブ(管理サーバの場合は、[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [SSL]の[新規作成]タブ)でSSL定義を作成してください。
     [プロトコルバージョン]、および[暗号化方式]を、スレーブのリポジトリが使用するSSL定義のそれぞれと1つ以上一致させてください。

 以下に、クライアント認証をしない場合のSSL通信環境の構築手順の流れ図を示します。

クライアント認証をする場合

 以下の手順で、マスタサーバのSSL通信環境を構築します。

  1. Interstage証明書環境の構築(下図1〜5)

     ここまでの詳細な手順は、“SSL通信環境の構築(クライアント・サーバ間)”に記載の“サーバ”の手順と同じです。

  2. 証明書を利用するための設定(下図6)
     Interstage証明書環境に登録されている証明書は、Interstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [認証局証明書]画面、または[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面(管理サーバの場合は、[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [証明書] > [認証局証明書]画面、または[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [証明書] > [サイト証明書]画面)で参照できます。
     取得した証明書の内容が正しいか確認してください。
     SSLで通信するためには、SSL定義を作成する必要があります。Interstage管理コンソールの[システム] > [セキュリティ] > [SSL] > [新規作成]タブ(管理サーバの場合は、[一括操作] > [Interstage管理コンソール] > [Interstage Application Server] > [セキュリティ] > [SSL]の[新規作成]タブ)でSSL定義を作成してください。
     [プロトコルバージョン]で“SSL3.0”を選択してください。[暗号化方式]では、スレーブサーバのリポジトリが使用するSSL定義のそれぞれと1つ以上一致させてください。

 以下に、クライアント認証をする場合のSSL通信環境の構築手順の流れ図を示します。

 ここでは、クライアントとサーバとで使用する証明書の認証局が同じ場合について説明します。クライアントとサーバとで使用する証明書の認証局が違う場合、およびSSLを使用した暗号化通信の詳細については、“セキュリティシステム運用ガイド”を参照してください。


下へ2.3.1 Interstage証明書環境の構築(サーバ)
下へ2.3.2 証明書を利用するための設定(サーバ)
下へ2.3.3 証明書/鍵管理環境の作成(クライアント)
下へ2.3.4 秘密鍵の作成と証明書の取得(クライアント)
下へ2.3.5 証明書とCRLの登録(クライアント)
下へ2.3.6 SSL環境定義ファイルの設定(クライアント)
下へ2.3.7 ユーザPINの暗号化(クライアント)

目次 索引 前ページ次ページ

All Rights Reserved, Copyright(C) 富士通株式会社 2005