SSL環境の情報を、Interstage ディレクトリサービスクライアント側に設定します。
C APIを使用するユーザアプリケーションの場合は、ldapssl_init()のパラメタであるSSLENV構造体に情報を設定します。
JNDIを使用するユーザアプリケーションや、ldapsearch、ldapmodify、ldapdeleteコマンドの場合は、SSL環境定義ファイルに情報を設定します。
また、Interstage ディレクトリサービス LDAPコマンドの場合は、SSL環境定義ファイル名を-Zオプションで指定します。
Interstage ディレクトリサービスでは、SSL環境定義ファイルのサンプルを用意しています。このファイルをコピーし、環境に合わせて変更してください。
C:\Interstage\IREPSDK\sample\conf\sslconfig.cfg |
/opt/FJSVirepc/sample/conf/sslconfig.cfg |
■記述形式
ファイルには、1行について1項目の定義を記述します。
記述形式を以下に示します。
定義名=値 |
「=」は、半角で記述します。また、「=」の前後には、空白を入れずに記述します。
値は、「=」の次の文字から改行の直前の文字までを指します。空白文字やタブも、値として指定されたものと見なします。
コメントを記述する場合は、行頭に「#」を記述します。
■定義項目一覧
SSL環境定義ファイルの項目を以下に示します。
定義項目 | 定義名 | 設定の必要性 |
|---|---|---|
ssl_version |
| |
crypt |
| |
slot_path | ○ | |
tkn_lbl | ○ | |
tkn_pwd | ○ | |
cert_path | ○ | |
user_cert_name | (注1) | |
ssl_verify | ○ | |
ssl_timer |
|
○必須
注1) 省略時は、証明書管理環境に登録されているユーザ証明書(サイト証明書)がすべて指定されたものと見なされます。
[説明]
使用するSSLプロトコルのバージョンを記述します。
設定値 | 説明 |
|---|---|
2 | SSLバージョン2.0だけを使用する。 |
3 | SSLバージョン3.0だけを使用する。 |
31 | TLSバージョン1.0だけを使用する。 |
[省略値]
3
[指定例]
ssl_version=3
[説明]
SSLで使用する暗号化の方法を以下から選択して指定します。暗号化の方法を複数指定する場合には、優先度の高い順に「:」で区切って記述します。
通信相手となるInterstage ディレクトリサービスのサーバが使用するSSL定義と同じ設定としてください。
SSLバージョン(ssl_version)に「2」を指定した場合、以下の値を指定できます。
設定値 | 説明 |
|---|---|
DES-CBC3-MD5 | 168bitのトリプルDES暗号,MD5 MAC |
RC4-MD5 | 128bitのRC4暗号,MD5 MAC |
RC2-MD5 | 128bitのRC2暗号,MD5 MAC |
DES-CBC-MD5 | 56bitのDES暗号,MD5 MAC |
EXP-RC4-MD5 | 40bitのRC4暗号,MD5 MAC |
EXP-RC2-MD5 | 40bitのRC2暗号,MD5 MAC |
SSLバージョン(ssl_version)に「3」または「31」を指定した場合、以下の値を指定できます。
設定値 | 説明 |
|---|---|
RSA-SC2000-256-SHA | 256bitのSC2000暗号,SHA-1 MAC |
RSA-AES-256-SHA | 256bitのAES暗号,SHA-1 MAC |
RSA-SC2000-128-SHA | 128bitのSC2000暗号,SHA-1 MAC |
RSA-AES-128-SHA | 128bitのAES暗号,SHA-1 MAC |
RSA-3DES-SHA | 168bitのトリプルDES暗号,SHA-1 MAC |
RSA-RC4-MD5 | 128bitのRC4暗号,MD5 MAC |
RSA-RC4-SHA | 128bitのRC4暗号,SHA-1 MAC |
RSA-DES-SHA | 56bitのDES暗号,SHA-1 MAC |
RSA-EXPORT-RC4-MD5 | 40bitのRC4暗号,MD5 MAC |
RSA-EXPORT-RC2-MD5 | 40bitのRC2暗号,MD5 MAC |
RSA-NULL-SHA | 暗号なし,SHA-1 MAC |
RSA-NULL-MD5 | 暗号なし,MD5 MAC |
Interstage Application Serverでサポートしている暗号化方式の種類を以下に示します。
公開鍵暗号化方式 :RSA
秘密鍵暗号化方式 :SC2000, AES, DES, 3DES(トリプルDES), RC4, RC2 (NULLは暗号化しないことを示す)
秘密鍵の処理モード:CBC(数値はブロック長)
ハッシュキー :SHA, MD5
MACはメッセージ認証符号です。
[省略値]
SSLバージョン(ssl_version)の指定により、以下の値が指定されたものと見なします。以下の説明では、表現上、暗号化の方法ごとに改行しています。
SSLバージョン(ssl_version)に「2」が指定された場合
DES-CBC3-MD5:
DES-CBC-MD5:
RC4-MD5:
RC2-MD5:
EXP-RC4-MD5:
EXP-RC2-MD5
SSLバージョン(ssl_version)に「3」または「31」が指定された場合
RSA-SC2000-256-SHA:
RSA-AES-256-SHA:
RSA-SC2000-128-SHA:
RSA-AES-128-SHA:
RSA-3DES-SHA:
RSA-RC4-MD5:
RSA-RC4-SHA:
RSA-DES-SHA:
RSA-EXPORT-RC4-MD5:
RSA-EXPORT-RC2-MD5:
[指定例]
crypt=RSA-3DES-SHA:RSA-RC4-MD5:RSA-RC4-SHA:RSA-DES-SHA:RSA-EXPORT-RC4-MD5:RSA-EXPORT-RC2-MD5
[説明]
“4.2.1 証明書/鍵管理環境の作成(クライアント)”で作成したスロット情報ディレクトリを絶対パスで記述します。
[省略値]
省略できません。
[指定例]
slot_path=D:\sslenv\slot
slot_path=/sslenv/slot
[説明]
“秘密鍵管理環境の作成と設定”で指定したトークンラベルを指定します。
[省略値]
省略できません。
[指定例]
tkn_lbl=Token01
[説明]
“秘密鍵管理環境の作成と設定”で指定したユーザPINを指定します。
ユーザPINを指定した後で、irepencupinコマンドを使用して暗号化を行う必要があります。
ユーザPINの暗号化については、“4.2.5 ユーザPINの暗号化(クライアント)”を参照してください。irepencupinコマンドの使用方法については、“リファレンスマニュアル(コマンド編)”の“Interstage ディレクトリサービス運用コマンド”を参照してください。
[省略値]
省略できません。
[指定例]
tkn_pwd=Token111
[説明]
“4.2.1 証明書/鍵管理環境の作成(クライアント)”で作成した運用管理ディレクトリを絶対パスで記述します。
[省略値]
省略できません。
[指定例]
cert_path=D:\sslenv\sslcert
cert_path=/sslenv/sslcert
[説明]
“4.2.3 証明書とCRLの登録(クライアント)”で指定したユーザ証明書(サイト証明書)のニックネームを指定します。
[省略値]
証明書管理環境に登録されているユーザ証明書(サイト証明書)のニックネームが、すべて指定されたものと見なされます。
[指定例]
user_cert_name=user-cert
[説明]
証明書の検証方法を指定します。以下の値が指定可能です。
設定値 | 証明書検証方法 |
|---|---|
0 | 検証を行わない。 |
1 | Interstage ディレクトリサービスクライアントが使用する証明書の検証を行う。 |
2 | Interstage ディレクトリサービスクライアントが使用する証明書と、Interstage ディレクトリサービスのサーバから送られてきた証明書の検証を行う。 |
[省略値]
省略できません。
[指定例]
ssl_verify=2
[説明]
サーバ-クライアント間の接続処理や、データの送受信で待ち合わせる時間を、秒単位で指定します。1以上の値を指定してください。
[省略値]
3600
[指定例]
ssl_timer=300
■SSL定義ファイル設定例
# |
注1)“秘密鍵管理環境の作成と設定”で指定したユーザPINを設定します。
注2) 証明書/鍵管理環境に登録されているサイト証明書をすべて有効にする場合は、行頭に「#」を記述します。
# |
注1)“秘密鍵管理環境の作成と設定”で指定したユーザPINを設定します。
注2) 証明書/鍵管理環境に登録されているサイト証明書をすべて有効にする場合は、行頭に「#」を記述します。
