Interstage Application Server Smart Repository運用ガイド
目次 索引 前ページ次ページ

第2章 環境構築> 2.3 SSL通信環境の構築

2.3.6 SSL環境定義ファイルの設定(クライアント)

 SSL環境の情報を、Smart Repositoryクライアントに設定します。

 C APIを使用するユーザアプリケーションの場合は、ldapssl_init()のパラメタであるSSLENV構造体に情報を設定します。
 JNDIを使用するユーザアプリケーションや、ldapsearch、ldapmodify、ldapdeleteコマンドの場合は、SSL環境定義ファイルに情報を設定します。
 また、Smart Repository LDAPコマンドの場合は、SSL環境定義ファイル名を-Zオプションで指定します。

 Smart Repositoryでは、SSL環境定義ファイルのサンプルを用意しています。このファイルをコピーし、環境に合わせて変更してください。

C:\Interstage\IREP\sample\conf\sslconfig.cfg

/opt/FJSVirep/sample/conf/sslconfig.cfg

■記述形式

 ファイルには、1行について1項目の定義を記述します。
 記述形式を以下に示します。

定義名=値

 “=”は、半角で記述します。また、“=”の前後には、空白を入れずに記述します。
 値は、“=”の次の文字から改行の直前の文字までを指します。空白文字やタブも、値として指定されたものと見なします。
 コメントを記述する場合は、行頭に“#”を記述します。


 ディレクトリ名やファイル名に空白文字が含まれる場合は、8.3形式(“ファイル名.拡張子”の形でファイル名8文字以下、拡張子3文字以下の形式)に変換した名前で指定してください。

 8.3形式のファイル名は、DIRコマンドに“/X”オプションを付加して確認できます。

■定義項目一覧

 SSL環境定義ファイルの項目を以下に示します。

定義項目

定義名

設定の必要性

SSLバージョン

ssl_version

暗号化アルゴリズム

crypt

 

スロット情報ディレクトリ

slot_path

トークンラベル

tkn_lbl

ユーザPIN

tkn_pwd

運用管理ディレクトリ

cert_path

ユーザ証明書ニックネーム

user_cert_name

(注1)

証明書検証方法

ssl_verify

タイマー値

ssl_timer

 

○必須

注1) 省略時は、証明書管理環境に登録されているユーザ証明書がすべて指定されたものと見なされます。

SSLバージョン(ssl_version)

[説明]
 使用するSSLプロトコルのバージョンを記述します。

設定値

説明

2

SSLバージョン2.0のみを使用する。

3

SSLバージョン3.0のみを使用する。

[省略値]
 省略できません。
[指定例]
 ssl_version=3

暗号化アルゴリズム(crypt)

[説明]
 SSLで使用する暗号化方法を以下から選択し優先度の高い順に“:”で区切って記述します。
 通信相手となるSmart Repositoryサーバが使用するSSL定義と同じ設定としてください。
 SSLバージョン(ssl_version)に“2”を指定した場合、以下の値が指定可能です。

設定値

説明

DES-CBC3-MD5

168bitのトリプルDES暗号,MD5 MAC

RC4-MD5

128bitのRC4暗号,MD5 MAC

RC2-MD5

128bitのRC2暗号,MD5 MAC

DES-CBC-MD5

56bitのDES暗号,MD5 MAC

EXP-RC4-MD5

40bitのRC4暗号,MD5 MAC

EXP-RC2-MD5

40bitのRC2暗号,MD5 MAC

 SSLバージョン(ssl_version)に“3”を指定した場合、以下の値が指定可能です。

設定値

説明

RSA-3DES-SHA

168bitのトリプルDES暗号,SHA-1 MAC

RSA-RC4-SHA

128bitのRC4暗号,SHA-1 MAC

RSA-RC4-MD5

128bitのRC4暗号,MD5 MAC

RSA-DES-SHA

56bitのDES暗号,SHA-1 MAC

RSA-EXPORT-RC4-MD5

40bitのRC4暗号,MD5 MAC

RSA-EXPORT-RC2-MD5

40bitのRC2暗号,MD5 MAC

RSA-NULL-SHA

暗号なし,SHA-1 MAC

RSA-NULL-MD5

暗号なし,MD5 MAC

 Interstage Application Serverでサポートしている暗号化方式("SSL_TXT_XXX")に表される暗号化の種類を以下に示します。
 MACはメッセージ認証符号です。
[省略値]
 SSLバージョン(ssl_version)の指定により、省略値は異なります。以下の説明では、表現上、暗号化の方法ごとに改行しています。
[指定例]
 crypt=RSA-3DES-SHA:RSA-DES-SHA:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5:RSA-EXPORT-RC2-MD5:RSA-NULL-MD5:RSA-NULL-SHA

スロット情報ディレクトリ(slot_path)

[説明]
 “証明書/鍵管理環境の作成(クライアント)”で作成したスロット情報ディレクトリをフルパスで記述します。
[省略値]
 省略できません。
[指定例]

 slot_path=D:\sslenv\slot

 slot_path=/sslenv/slot

トークンラベル(tkn_lbl)

[説明]
 “秘密鍵管理環境の作成と設定”で指定したトークンラベルを指定します。
[省略値]
 省略できません。
[指定例]
 tkn_lbl=Token01

ユーザPIN(tkn_pwd)

[説明]
 “秘密鍵管理環境の作成と設定”で指定したユーザPINを指定します。
 ユーザPINを指定した後で、irepencupinコマンドを使用して暗号化を行う必要があります。
 ユーザPINの暗号化については、“ユーザPINの暗号化(クライアント)”を参照してください。irepencupinコマンドの使用方法については、“リファレンスマニュアル(コマンド編)”の“Smart Repository運用コマンド”を参照してください。
[省略値]
 省略できません。
[指定例]
 tkn_pwd=Token111

運用管理ディレクトリ(cert_path)

[説明]
 “証明書/鍵管理環境の作成(クライアント)”で作成した運用管理ディレクトリをフルパスで記述します。
[省略値]
 省略できません。
[指定例]

 cert_path=D:\sslenv\sslcert

 cert_path=/sslenv/sslcert

ユーザ証明書ニックネーム(user_cert_name)

[説明]
 “証明書とCRLの登録(クライアント)”で指定したユーザ証明書のニックネームを指定します。
[省略値]
 証明書管理環境に登録されているユーザ証明書のニックネームが、すべて指定されたものと見なされます。
[指定例]
 user_cert_name=user-cert

証明書検証方法(ssl_verify)

[説明]
 証明書の検証方法を指定します。以下の値が指定可能です。

設定値

証明書検証方法

0

検証を行わない。

1

Smart Repositoryクライアントが使用する証明書の検証を行う。

2

Smart Repositoryクライアントが使用する証明書と、Smart Repositoryサーバから送られてきた証明書の検証を行う。

[省略値]
 省略できません。
[指定例]
 ssl_verify=2

タイマー値(ssl_timer)

[説明]
 サーバ-クライアント間の接続処理や、データの送受信で待ち合わせる時間を、秒単位で指定します。1以上の値を指定してください。
[省略値]
 3600
[指定例]
 ssl_timer=300

■SSL定義ファイル設定例

#
# ==== SSL environment file ====
#
# -----------------------------
# SSL protocol version
# ssl_version=2 | 3
# -----------------------------
ssl_version=3


# -----------------------------
# Slot directory
# slot_path=directory path
# -----------------------------
slot_path=D:\sslenv\slot


# -----------------------------
# Token label
# tkn_lbl=token label
# -----------------------------
tkn_lbl=Token01


# -----------------------------
# User PIN
# tkn_pwd=user pin
# -----------------------------
tkn_pwd=xxxxxxxx (注1)


# -----------------------------
# Certificate directory
# cert_path=directory path
# -----------------------------
cert_path=D:\sslenv\sslcert


# -----------------------------
# User certificate nickname
# user_cert_name=nickname
# -----------------------------
#user_cert_name=user-cert (注2)


# -----------------------------
# Verify mode
# ssl_verify=0 | 1 | 2
# -----------------------------
ssl_verify=2


# -----------------------------
# Timer
# ssl_timer=time(sec)
# -----------------------------
ssl_timer=300

注1)秘密鍵管理環境の作成と設定”で指定したユーザPINを設定します。
注2) 証明書/鍵管理環境に登録されているサイト証明書をすべて有効にする場合は、行頭に“#”を記述します。

#
# ==== SSL environment file ====
#
# -----------------------------
# SSL protocol version
# ssl_version=2 | 3
# -----------------------------
ssl_version=3


# -----------------------------
# Slot directory
# slot_path=directory path
# -----------------------------
slot_path=/sslenv/slot


# -----------------------------
# Token label
# tkn_lbl=token label
# -----------------------------
tkn_lbl=Token01


# -----------------------------
# User PIN
# tkn_pwd=user pin
# -----------------------------
tkn_pwd=xxxxxxxx (注1)


# -----------------------------
# Certificate directory
# cert_path=directory path
# -----------------------------
cert_path=/sslenv/sslcert


# -----------------------------
# User certificate nickname
# user_cert_name=nickname
# -----------------------------
#user_cert_name=user-cert (注2)


# -----------------------------
# Verify mode
# ssl_verify=0 | 1 | 2
# -----------------------------
ssl_verify=2


# -----------------------------
# Timer
# ssl_timer=time(sec)
# -----------------------------
ssl_timer=300

注1)秘密鍵管理環境の作成と設定”で指定したユーザPINを設定します。
注2) 証明書/鍵管理環境に登録されているサイト証明書をすべて有効にする場合は、行頭に“#”を記述します。


目次 索引 前ページ次ページ

All Rights Reserved, Copyright(C) 富士通株式会社 2005