キャッシュ機能説明書 (統合環境設定編)

目次 索引

2.9 SSLユーザ認証機能

図2.17　SSLユーザ認証機能の概要

• クライアントのユーザ名の取得
  
  クライアントから受信したSSLクライアント証明書に含まれている情報を元に、ディレクトリサーバに対してエントリの検索を行い、ユーザ名を取得します。
  
  
• SSLクライアント証明書比較
  
  ディレクトリサーバに問い合わせた結果、該当するエントリが一意に特定できた場合に、SSLクライアント証明書とエントリに登録されている証明書のバイナリデータ比較を行うことができます。
  
  
• ディレクトリサーバの認証機能への移行
  
  SSLユーザ認証が行えなかった場合に、ディレクトリサーバの認証機能によるユーザ認証処理に移ることができます。SSLユーザ認証が行えなかったとは、以下の場合を指します。
  • クライアントがSSLクライアント証明書を持っていない。
  • SSLクライアント証明書からユーザ名を特定できない。(ディレクトリサーバ上に該当するエントリが複数ある、または存在しない。特定したエントリにユーザ名がない。)
  • SSLクライアント証明書からユーザ名を特定できたが、エントリに登録されている証明書とのバイナリデータ比較の結果が不一致。
  
  

• SSLユーザ認証機能を使用できるのは、以下の設定でPROXYサーバを運用する場合のみです。
  • PROXYサーバのリバース機能を使用し、かつ、
  • クライアントとの接続にSSLを使用する場合(SSLプロトコルバージョンが“SSL3.0”または“SSL2.0/3.0”)。

[注意]

• SSLユーザ認証機能を使用した場合、使用するブラウザによってはPOSTメソッドによる通信ができず、PROXYサーバからタイムアウトが通知されるまで応答が返らない場合があります。この場合は、リバース制御設定でクライアント認証を行うように設定することで通信が可能になりますが、クライアントとのすべての通信で証明書検証が行われることになります。
• SSLユーザ認証機能で使用できる証明書は、当社のインターネット／イントラネットで証明書管理を実現するソフトウェアであるInfoCAまたはSystemWalker/PkiMGRで発行する証明書、および日本ベリサイン株式会社、日本認証サービス株式会社が発行する証明書です。
• 以下の条件の場合、本製品ではWWWクライアント／WWWサーバとの通信および、ディレクトリサーバとの通信において、UTF-8証明書を使用したSSL通信を行うことができません。
  • InfoDiretoryを使用して、ディレクトリサーバ連携を行う、かつ
  • ディレクトリサーバとSSLプロトコルによる通信を行う、かつ
  • 使用するInfoDirectoryのSDKがUTF-8証明書によるSSL通信をサポートしていない場合。(InfoDirectoryのSDKがUTF-8証明書に対応しているかは、“InfoDirectory使用手引書”を参照してください。)
  　ただしこの場合でも、UTF-8証明書を使用しない従来のSSL通信は可能ですので、UTF-8証明書を使用しない場合の手順にしたがってSSL環境を作成してください。

目次 索引