Interstage Application Server セキュリティシステム運用ガイド

目次 索引

12.1 InfoDirectoryでSSLを利用するための環境設定

　InfoDirectoryでSSLを利用するための環境設定をコマンドで行う場合、以下の手順で行います。

1. 証明書/鍵管理環境の作成
   　詳細は、“SMEEコマンドによる証明書／鍵管理環境の構築と利用"の証明書/鍵管理環境の作成を参照してください。
2. 秘密鍵の作成と証明書の取得
   　詳細は、"SMEEコマンドによる証明書／鍵管理環境の構築と利用"の秘密鍵の作成と証明書の取得を参照してください。
3. 証明書とCRLの登録
   　詳細は、“SMEEコマンドによる証明書／鍵管理環境の構築と利用"の証明書とCRLの登録を参照してください。
4. InfoDirectory環境定義ファイルの設定
5. SSL環境定義ファイルの設定
   　詳細は、SSL環境定義ファイルの詳細を参照してください。
6. ユーザPINの暗号化

　SSLで証明書ベース認証を利用する場合は、コマンドによる環境設定に以下の制限があります。

制限事項

• cmmakecsrコマンドで証明書取得申請を作成するとき、同一サブジェクト情報(ou,l等)を複数設定できません。
  ディレクトリサーバに格納されているエントリのDNと同じ値を持つサブジェクト情報を設定することができません。複数指定した場合、cmmakecsrコマンドの仕様によりパラメタエラーとなります。
• 証明書ベース認証でサブジェクトの完全一致フラグを有効にした運用はできません。
  cmmakecsrコマンドで指定するサブジェクト情報（c,o,ou,cn等）の順序が、実際に作成される証明書のサブジェクトの順序と同じでないため、ディレクトリサーバに格納されているエントリのDNとの完全一致による認証チェックではエラーとなります。
• 証明書ベース認証でサブジェクトの完全一致フラグを無効にした場合、以下のように類似するDNが存在すると認証に失敗します。
  証明書のサブジェクトに"cn=dirmgr, ou=tfl, o=fj, c=jp"が設定されている場合、ディレクトリサーバに以下のようなエントリが存在すると、認証の候補が２つ存在し、エラーとなります。
  cn=dirmgr, ou=tfl, o=fj, c=jp
  cn=dirmgr, ou=sd14, ou=tfl, o=fj, c=jp

　上記制限事項を回避するには、以下の方法で鍵ペアと証明書を入手してください。

• Systemwalker PkiMGR を使用して鍵ペアと証明書をPKCS#12形式で入手し、証明書/鍵管理環境に登録します。証明書ベース認証を行うには、証明書の発行時に設定するサブジェクト情報とディレクトリサーバに格納されているエントリのDNを一致させる必要があります。
• 利用可能な証明書が既存の証明書管理環境にある場合、その環境をそのまま使用するか、PKCS#12形式で取り出し、InfoDirectoryで使用する証明書管理環境に登録します。

SSL通信時のシステム構成

　以下の図はSSL通信時のシステム構成を表しています。水色の部分はコマンドで設定します。黄色の部分は認証局より入手します。環境設定が終了した時点で、以下のように環境が設定されているか確認してください。

[[図: SSL通信時のシステム構成（サーバ・クライアント別マシン）]]

[[図: SSL通信時のシステム構成（サーバ・クライアント同一マシン）]]

12.1.1 InfoDirectory環境定義ファイルの設定

12.1.2 ユーザPINの暗号化

目次 索引