Interstage Application Server Smart Repository運用ガイド |
目次 索引 |
第2章 環境構築 | > 2.3 SSL通信環境の構築 |
SSL環境の情報を、Smart Repositoryクライアントに設定します。
C APIを使用するユーザアプリケーションの場合は、ldapssl_init()のパラメタであるSSLENV構造体に情報を設定します。
JNDIを使用するユーザアプリケーションや、ldapsearch、ldapmodify、ldapdeleteコマンドの場合は、SSL環境定義ファイルに情報を設定します。
また、Smart Repository LDAPコマンドの場合は、SSL環境定義ファイル名を-Zオプションで指定します。
Smart Repositoryでは、SSL環境定義ファイルのサンプルを用意しています。このファイルをコピーし、環境に合わせて変更してください。
C:\Interstage\IREP\sample\conf\sslconfig.cfg |
/opt/FJSVirep/sample/conf/sslconfig.cfg |
ファイルには、1行について1項目の定義を記述します。
記述形式を以下に示します。
定義名=値 |
“=”は、半角で記述します。また、“=”の前後には、空白を入れずに記述します。
値は、“=”の次の文字から改行の直前の文字までを指します。空白文字やタブも、値として指定されたものと見なします。
コメントを記述する場合は、行頭に“#”を記述します。
ディレクトリ名やファイル名に空白文字が含まれる場合は、8.3形式(“ファイル名.拡張子”の形でファイル名8文字以下、拡張子3文字以下の形式)に変換した名前で指定してください。
8.3形式のファイル名は、DIRコマンドに“/X”オプションを付加して確認できます。
SSL環境定義ファイルの項目を以下に示します。
定義項目 |
定義名 |
設定の必要性 |
ssl_version |
○ |
|
crypt |
|
|
slot_path |
○ |
|
tkn_lbl |
○ |
|
tkn_pwd |
○ |
|
cert_path |
○ |
|
user_cert_name |
(注1) |
|
ssl_verify |
○ |
|
ssl_timer |
|
○必須
注1) 省略時は、証明書管理環境に登録されているユーザ証明書がすべて指定されたものと見なされます。
[説明]
使用するSSLプロトコルのバージョンを記述します。
設定値
説明
2
SSLバージョン2.0のみを使用する。
3
SSLバージョン3.0のみを使用する。
[省略値]
省略できません。
[指定例]
ssl_version=3
[説明]
SSLで使用する暗号化方法を以下から選択し優先度の高い順に“:”で区切って記述します。
通信相手となるSmart Repositoryサーバが使用するSSL定義と同じ設定としてください。
SSLバージョン(ssl_version)に“2”を指定した場合、以下の値が指定可能です。
設定値
説明
DES-CBC3-MD5
168bitのトリプルDES暗号,MD5 MAC
RC4-MD5
128bitのRC4暗号,MD5 MAC
RC2-MD5
128bitのRC2暗号,MD5 MAC
DES-CBC-MD5
56bitのDES暗号,MD5 MAC
EXP-RC4-MD5
40bitのRC4暗号,MD5 MAC
EXP-RC2-MD5
40bitのRC2暗号,MD5 MAC
SSLバージョン(ssl_version)に“3”を指定した場合、以下の値が指定可能です。
設定値
説明
RSA-3DES-SHA
168bitのトリプルDES暗号,SHA-1 MAC
RSA-RC4-SHA
128bitのRC4暗号,SHA-1 MAC
RSA-RC4-MD5
128bitのRC4暗号,MD5 MAC
RSA-DES-SHA
56bitのDES暗号,SHA-1 MAC
RSA-EXPORT-RC4-MD5
40bitのRC4暗号,MD5 MAC
RSA-EXPORT-RC2-MD5
40bitのRC2暗号,MD5 MAC
RSA-NULL-SHA
暗号なし,SHA-1 MAC
RSA-NULL-MD5
暗号なし,MD5 MAC
Interstage Application Serverでサポートしている暗号化方式("SSL_TXT_XXX")に表される暗号化の種類を以下に示します。
- 公開鍵暗号化方式 :RSA
- 秘密鍵暗号化方式 :DES, 3DES(トリプルDES), RC4, RC2 (NULLは暗号化しないことを示す)
- 秘密鍵の処理モード:CBC, EDE (数値はブロック長)
- ハッシュキー :SHA, MD5
MACはメッセージ認証符号です。
[省略値]
SSLバージョン(ssl_version)の指定により、省略値は異なります。以下の説明では、表現上、暗号化の方法ごとに改行しています。
- SSLバージョンに“2”が指定された場合
DES-CBC3-MD5:
DES-CBC-MD5:
RC4-MD5:
RC2-MD5:
EXP-RC4-MD5:
EXP-RC2-MD5- SSLバージョンに“3”が指定された場合
RSA-3DES-SHA:
RSA-DES-SHA:
RSA-RC4-MD5:
RSA-RC4-SHA:
RSA-EXPORT-RC4-MD5:
RSA-EXPORT-RC2-MD5:
RSA-NULL-MD5:
RSA-NULL-SHA
[指定例]
crypt=RSA-3DES-SHA:RSA-DES-SHA:RSA-RC4-MD5:RSA-RC4-SHA:RSA-EXPORT-RC4-MD5:RSA-EXPORT-RC2-MD5:RSA-NULL-MD5:RSA-NULL-SHA
[説明]
“証明書/鍵管理環境の作成(クライアント)”で作成したスロット情報ディレクトリをフルパスで記述します。
[省略値]
省略できません。
[指定例]
slot_path=D:\sslenv\slot
slot_path=/sslenv/slot
[説明]
“秘密鍵管理環境の作成と設定”で指定したトークンラベルを指定します。
[省略値]
省略できません。
[指定例]
tkn_lbl=Token01
[説明]
“秘密鍵管理環境の作成と設定”で指定したユーザPINを指定します。
ユーザPINを指定した後で、irepencupinコマンドを使用して暗号化を行う必要があります。
ユーザPINの暗号化については、“ユーザPINの暗号化(クライアント)”を参照してください。irepencupinコマンドの使用方法については、“リファレンスマニュアル(コマンド編)”の“Smart Repository運用コマンド”を参照してください。
[省略値]
省略できません。
[指定例]
tkn_pwd=Token111
[説明]
“証明書/鍵管理環境の作成(クライアント)”で作成した運用管理ディレクトリをフルパスで記述します。
[省略値]
省略できません。
[指定例]
cert_path=D:\sslenv\sslcert
cert_path=/sslenv/sslcert
[説明]
“証明書とCRLの登録(クライアント)”で指定したユーザ証明書のニックネームを指定します。
[省略値]
証明書管理環境に登録されているユーザ証明書のニックネームが、すべて指定されたものと見なされます。
[指定例]
user_cert_name=user-cert
[説明]
証明書の検証方法を指定します。以下の値が指定可能です。
設定値
証明書検証方法
0
検証を行わない。
1
Smart Repositoryクライアントが使用する証明書の検証を行う。
2
Smart Repositoryクライアントが使用する証明書と、Smart Repositoryサーバから送られてきた証明書の検証を行う。
[省略値]
省略できません。
[指定例]
ssl_verify=2
[説明]
サーバ-クライアント間の接続処理や、データの送受信で待ち合わせる時間を、秒単位で指定します。1以上の値を指定してください。
[省略値]
3600
[指定例]
ssl_timer=300
# |
注1)“秘密鍵管理環境の作成と設定”で指定したユーザPINを設定します。
注2) 証明書/鍵管理環境に登録されているサイト証明書をすべて有効にする場合は、行頭に“#”を記述します。
# |
注1)“秘密鍵管理環境の作成と設定”で指定したユーザPINを設定します。
注2) 証明書/鍵管理環境に登録されているサイト証明書をすべて有効にする場合は、行頭に“#”を記述します。
目次 索引 |