| Systemwalker Centric Manager 全体監視適用ガイド - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3章 マルチサイト型全体監視の導入と運用 | > 3.5 S/MIME、SSLを使用して通信データを暗号化するための設定 |
Systemwalker PkiMGR、InfoCAを使用した、秘密鍵、証明書の作成、発行手順について説明します。
なお、ここでは以下のシステムをモデルとして説明しています。構築するシステムの構成に応じて本モデルを応用してください。
Systemwalker PkiMGR、InfoCAは、証明書発行局(Certification Authority:以降、CA局と略します。)を実現するソフトウェアです。
CA局とは、メッセージの暗号化や、認証に必要な証明書の発行、および管理をするシステムのことです。
CA局は、発行した証明書に自身の電子署名を付加し、その証明書が確かにCA局が発行したものであることを保証します。
Systemwalker PkiMGR、InfoCAでは、証明書、秘密鍵を発行します。秘密鍵は、スロットとトークンという概念で管理されます。以下の図は、Systemwalker PkiMGRの概要を示しています。
各機能で必要な秘密鍵と証明書を以下に示します。
|
対象 |
機能 |
必要な証明書/秘密鍵 |
ファイル |
|
運用管理サーバ |
S/MIMEを使用したイベント監視 |
運用管理サーバの証明書のCA局証明書 |
DER |
|
運用管理サーバの証明書、および秘密鍵 |
PKCS#12 |
||
|
業務サーバの証明書 |
DER |
||
|
業務サーバの証明書のCA局証明書(※) |
DER |
||
|
業務サーバ |
S/MIMEを使用したイベント監視 |
業務サーバの証明書のCA局証明書 |
DER |
|
業務サーバの証明書、および秘密鍵 |
PKCS#12 |
||
|
運用管理サーバの証明書 |
DER |
||
|
運用管理サーバの証明書のCA局証明書(※) |
DER |
||
|
クライアント |
資源配付クライアントのSSLによる認証 |
業務サーバの証明書のCA局証明書 |
DER |
※:業務サーバと運用管理サーバの証明書のCA局証明書が異なる場合に必要
Systemwalker Centric Managerでは、自分の証明書として登録できる証明書は、1台のサーバ(クライアント)に一つです。上記の複数の機能を使用する場合は、自システムの証明書として、同じ証明書を使用してください。
Systemwalker PkiMGRの詳細は、“Systemwalker PkiMGR 説明書”を参照してください。
S/MIMEを使用するシステムでは、メールを送受信する両方のサーバに、送信側と受信側の証明書の対を設定することを推奨します。
SystemWalker/CentricMGR V5.0L20(以降V5.0L20)以前、またはSystemWalker/CentricMGR 5.1(以降、5.1)以前と混在しない環境で、証明書を使用する場合は、以下の手順で作成してください。
CA局の初期設定時は、エンコード方法として、必ず“PrintableString/BMPString”を選択してください。
秘密鍵を含んだ証明書、証明書、CA局証明書を作成し、ファイルに退避します。秘密鍵を含んだ証明書はPKCS#12形式、証明書とCA局証明書はDER形式で発行します。Systemwalker Centric Managerで使用できる証明書のタイプを以下に示します。
電子メールアドレスを必ず指定します。発行後、PKCS#12形式でダウンロードします。
Webの証明書管理画面で証明書を検索し、DER形式でダウンロードします。
V5.0L20以前、5.1以前と混在する環境で、証明書を使用する場合は、以下の手順で作成してください。
CA局の初期設定時に、以下の項目に注意してください。
V5.0L20、5.1以前では、X.509バージョン3形式の証明書をサポートしていません。このため、SystemWalker/CentricMGR V5.0L30(以降、V5.0L30)、およびSystemWalker/CentricMGR 5.2(以降、5.2)以降の環境で運用する場合では、発行方法が異なる部分があります。発行方法を以下に示します。
Systemwalker PkiMGRのCA管理機能のWeb画面で、証明書タイプを追加します。エクステンションが入った証明書は使用できません。したがって、エクステンションを含まないタイプを作成します。
電子メールアドレスを必ず指定します。証明書のタイプとしてSystemwalker Centric Manager用に登録した証明書タイプ名を選択して発行します。発行後、PKCS#12形式でダウンロードします。
Webの証明書管理画面で証明書を検索し、DER形式でダウンロードします。
V5.0L20、および5.1以前から移行する場合、以下の注意が必要です。
- 証明書管理環境を、作成し直す必要があります。
- メッセージデータの送信先サーバが、V5.0L20/5.1以前で、送信元サーバが、V5.0L30、および5.2以降の場合は、S/MIMEを使用したイベント監視は使用できません。
各機能で必要な証明書と秘密鍵は以下のとおりです。
|
対象 |
機能 |
必要な証明書/秘密鍵 |
ファイル |
|
運用管理サーバ |
S/MIMEを使用したイベント監視 |
運用管理サーバの証明書のCA局証明書 |
DER |
|
運用管理サーバの証明書 |
DER |
||
|
運用管理サーバの証明書の秘密鍵 |
− |
||
|
業務サーバの証明書 |
DER |
||
|
業務サーバの証明書のCA局証明書(※) |
DER |
||
|
業務サーバ |
S/MIMEを使用したイベント監視 |
業務サーバの証明書のCA局証明書 |
DER |
|
業務サーバの証明書 |
DER |
||
|
業務サーバの証明書の秘密鍵 |
− |
||
|
運用管理サーバの証明書 |
DER |
||
|
運用管理サーバの証明書のCA局証明書 |
DER |
||
|
クライアント |
資源配付クライアントのSSLによる認証 |
業務サーバの証明書のCA局証明書 |
DER |
※:業務サーバと運用管理サーバの証明書のCA局証明書が異なる場合に必要
以下にInfoCA V1.0L10を使用する場合とInfoCA V1.1を使用する場合の証明書発行方法を示します。
秘密鍵、証明書を作成し、DOS形式でフロッピーディスクに退避します。証明書はDER形式で発行します。Systemwalker Centric Managerで使用する証明書には、必ず電子メールアドレスを入れてください。
V5.0L20、5.1以前では、X.509バージョン3形式の証明書をサポートしていません。このため、V5.0L30、および5.2以降の環境で運用する場合と、旧版が混在する環境で運用する場合では、発行方法が異なる部分があります。
発行方法を以下に示します。InfoCAの詳細は、“InfoCA説明書”を参照してください。V5.0L30、および5.2以前と混在する環境で使用する場合は、以下の作業を行います。
証明書拡張情報が入った証明書は使用できません。したがって、拡張情報を含まないタイプを作成します。
電子メールアドレスを必ず指定します。V5.0L30、および5.2以前と混在する環境で使用する場合は、証明書のタイプとしてSystemwalker Centric Manager用に登録した証明書タイプ名を選択して発行します。
Web画面から証明書をダウンロードする場合は、DER形式を選択してください。
秘密鍵はInfoCAサーバ上にあります。証明書発行時に秘密鍵ファイルとして指定したファイルを取り出してください。
V5.0L20、および5.1以前から移行する場合、以下の注意が必要です。
- 証明書管理環境を、作成し直す必要があります。
- メッセージデータの送信先サーバが、V5.0L20/5.1以前で、送信元サーバが、V5.0L30、および5.2以降の場合は、S/MIMEを使用したイベント監視は使用できません。
|
目次
索引
|