| InfoDirectory使用手引書 |
|
目次
索引
|
| 第4部 運用編 | > 第11章 InfoDirectoryの運用 | > 11.8 SSL |
SSLの環境をセットアップするには以下の手順で行います。
(1)、(2)については、証明書の入手および環境への登録方法を参照してください。
(3)については、SSL環境ファイルの設定方法を参照してください。
(4)については、SSLの状態の変更方法を参照してください。
(5)については、DSAの起動方法を参照してください。
(6)については、SSLでのログイン方法を参照してください。
以下の図はSSL通信時のシステム構成を表しています。水色の部分はInfoDirectory管理ツールから設定します。黄色の部分はSysytemWalker/Pki CAより入手するか、他の証明書・鍵環境より入手します。
環境設定が終了した時点で、以下のように環境が設定されているか確認してください。図: SSL通信時のシステム構成(サーバ・クライアント別マシン)
図: SSL通信時のシステム構成(サーバ・クライアント同一マシン)
証明書の入手方法は一般的に以下の方法があります。可能な方法で入手および登録を行ってください。
SSL通信を行うための証明書・鍵環境のセットアップは管理ツールを使用して設定を行います。InfoDirectoryサーバがリモートの別マシンで動作している場合においても、クライアントから証明書・鍵環境の操作を行うことができます。
LDAPコマンド、LDAP APIを利用したアプリの場合も、管理ツールが使用する証明書・鍵環境を使用できます。また、別の証明書・鍵環境を使用したい場合は、証明書管理ユーティリティを使用して作成することができます。
クライアント側の詳細な設定方法については、クライアント側証明書管理環境の設定を参照してください。
サーバ側の詳細な設定方法については、サーバ側証明書管理環境の設定を参照してください。
以下ではそれぞれの方法についての概要を説明します。
=図の説明=
図中(1)証明書管理一覧の初回起動時に証明書環境を作成します。
図中(2)[証明書取得申請]ダイアログにより、証明書申請書(CSR:BASE64形式)を作成することができます。
この時、秘密鍵は鍵環境に格納されます。
図中(3)証明書発行局で申請書から証明書の作成を行います。
図中(4)証明書発行局で作成した証明書と発行局自身の証明書と失効リストをダウンロードします。
図中(5)4でダウンロードしたファイルを証明書環境に登録します。
=図の説明=
図中(1)証明書管理一覧の初回起動時に証明書環境を作成します。
図中(2)証明書発行局で鍵と証明書の作成を行います。
図中(3)証明書発行局で作成した証明書をPKCS#12形式でダウンロードすると、作成した秘密鍵と証明書と発行局自身の証明書が1つのファイルで取出せます。失効リストは別途ダウンロードします。
図中(4)3でダウンロードしたファイルを証明書環境に登録します。
=図の説明=
図中(1)証明書管理一覧の初回起動時に証明書環境を作成します。
図中(2)証明書管理ユーティリティを起動し、すでに鍵と証明書が登録済みの環境を指定して一覧を表示させます。[個人]タブの中から、取出したい証明書ニックネームを選択し、[エクスポート]ボタンを選択します。
[エクスポート]ダイアログで正しい値を入力し、[OK]ボタンを押すと、PKCS#12形式で鍵と証明書と発行局証明書を1つのファイルで取出せます。
図中(3)失効リストは別途ダウンロードします。
図中(4)2でダウンロードしたファイルを証明書環境に登録します。
SSL環境ファイルの設定では、クライアントおよびサーバのSSL通信を行う際のパラメタを設定します。
InfoDirectoryサーバがリモートの別マシンで動作している場合においても、管理ツールクライアントからSSL環境ファイルの設定が可能です。
LDAPコマンド、LDAP APIを利用したアプリの場合、管理ツールが使用するクライアント用SSL環境ファイルを使用できます。また、任意の場所にSSL環境ファイルを作成/更新する場合は、SSL環境ファイルユーティリティを使用することができます。
クライアント側の詳細な設定方法については、クライアント側SSL環境ファイルの作成を参照してください。
サーバ側の詳細な設定方法については、サーバ側SSL環境ファイルの作成を参照してください。
InfoDirectoryサーバ側
- SSLバージョン : すべてのバージョンを使用
- 証明書検証方法 : サーバ証明書のみ検証、またはクライアント証明書検証
(証明書ベース認証を行うときは、サーバ側はクライアント証明書検証(エラー続行)かクライアント証明書検証(エラー終了)を選択)
InfoDirectoryクライアント側
- SSLバージョン : SSLバージョン2もしくは3を使用
- 証明書検証方法 : 自局(クライアント)の証明書のみ検証
(証明書ベース認証を行うときは、サーバ証明書検証選択)
[管理ツール]ウィンドウの[サーバツール]メニュー → [サーバ管理]ウィンドウ → [サーバパラメタ]タブ → [SSLの状態]を[ON]にします。
[サーバツール]メニューの[DSA運用管理]ウィンドウを起動して、起動したいDSAを選択して、[DSA]メニューから[DSA起動]を実行します。
ログインを行う前にログインのモードおよびSSL通信ポートが正しいことを確認します。
[ログイン]ダイアログの[DSA選択]ボタンを選択し、[DSA選択]ウィンドウで接続するDSAアイコンを選択状態にします。メニュー → [DSA]→ [ログイン情報変更]を選択し、[ログイン情報]ダイアログで[SSLありポート]の項目で、この項目が選択状態になっていることと、ポート番号が正しいことを確認します。
[DSA選択]ウィンドウで、接続するDSAのアイコンが起動状態であることを確認し、[OK]ボタンで[ログイン]ダイアログに戻り、ログインを行います。
|
目次
索引
|
