| Interstage Application Server シングル・サインオン運用ガイド |
|
目次
索引
|
| 第3章 環境構築(SSO管理者編) | > 3.4 認証サーバの構築 | > 3.4.1 SSL通信環境の構築 |
証明書認証時にCRL(Certificate Revocation List)による証明書の有効性確認を行うことができます。ここでは、証明書の有効性確認の運用を行う場合の準備について説明します。
証明書の有効性確認の運用を行わない場合、以下の準備を行う必要はありません。
以下の場合、CRLの登録を行う前にCRL発行局の証明書を取得し登録する必要があります。CRL発行局の証明書が登録されていない場合、CRL発行局の証明書を事前に登録してください。
CRL発行局の証明書の登録には、証明書・CRL登録コマンド(scsenter)を使用します。
scsenterコマンドには、scsmakeenvコマンドで指定したセキュリティ環境にアクセスするためのパスワードと証明書のニックネームを指定します。
scsenterコマンドの詳細については、“リファレンスマニュアル(コマンド編)”を参照してください。
CRL発行局の証明書 "C:\WINNT\temp\crlca-cert.cer"
CRL発行局の証明書のニックネーム "CRLCACERT"
取得したCRL発行局の証明書をC:\WINNT\temp\crlca-cert.cerにした場合の例です。必要に応じて証明書のファイルパス名を変更してください。
パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
C:\>scsenter -n CRLCACERT -f C:\WINNT\temp\crlca-cert.cer |
CRL発行局の証明書 "/tmp/crlca-cert.cer"
CRL発行局の証明書のニックネーム "CRLCACERT"
取得したCRL発行局の証明書を/tmp/crlca-cert.cerにした場合の例です。必要に応じて証明書のファイルパス名を変更してください。
なお、証明書の取得申請を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
# JAVA_HOME=/opt/FJSVawjbk/jdk13;export JAVA_HOME |
証明書の有効性確認を行うには認証局より取得したCRLを証明書・CRL登録コマンド(scsenter)を使用して登録する必要があります。
scsenterコマンドには、scsmakeenvコマンドで指定したセキュリティ環境にアクセスするためのパスワードを指定します。
なお、CRLの登録には、-cオプションを必ず指定してください。
scsenterコマンドの詳細については、“リファレンスマニュアル(コマンド編)”を参照してください。
CRLを登録し、認証サーバの構築時に、環境設定で[証明書認証の動作]の[証明書の失効確認]を[する]に設定することにより利用者の証明書の有効性を確認します。
認証局より取得したCRL "C:\WINNT\temp\crl.crl"
取得したCRLをC:\WINNT\temp\crl.crlにした場合の例です。必要に応じてCRLのファイルパス名を変更してください。
パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
C:\>scsenter -c -f C:\WINNT\temp\crl.crl |
認証局より取得したCRL "/tmp/crl.crl"
取得したCRLを/tmp/crl.crlにした場合の例です。必要に応じてCRLのファイルパス名を変更してください。
なお、CRLの登録を行う前に環境変数JAVA_HOMEにJDK、またはJREのインストールパスを設定してください。
以下はBourneシェルを使用した実行例です。パスワードの入力を促されたら、Interstage証明書環境にアクセスするためのパスワードを入力してください。入力したパスワードは表示されません。
|
# JAVA_HOME=/opt/FJSVawjbk/jdk13;export JAVA_HOME |
|
目次
索引
|