レプリケーションをSSL通信で行う場合は、リポジトリサーバ(更新系)のマシンにSSOリポジトリ(マスタ)のSSL通信環境を構築する必要があります。

  SSOリポジトリにリレーショナルデータベース(RDB)を使用する場合は、“ディレクトリサービス運用ガイド”の“SSL通信環境の構築”を参照してSSL通信環境を構築してください。

  SSOリポジトリに標準データベースを使用してレプリケーションを行う場合は、以下の手順でSSL通信環境を構築してください。

  なお、構築済の認証基盤にリポジトリサーバ(参照系)を1台追加する場合で、運用中のリポジトリサーバ(更新系)のマシンにすでにSSL通信環境が構築されている場合は、この作業は不要です。

  リポジトリサーバ(更新系)のマシンのSSOリポジトリ(マスタ)から、リポジトリサーバ(参照系)のマシンのSSOリポジトリ(スレーブ)にデータ配信を行うため、リポジトリサーバ(参照系)のマシンがSSL通信を行うサーバとなります。

1. SSL通信の設定

   1. SSL通信を行うための準備(SSLサイト証明書の取得と、Interstage証明書環境への登録)
      リポジトリサーバ(更新系)とリポジトリサーバ(参照系)でサイト証明書を発行する認証局が異なる場合は、リポジトリサーバ(参照系)でサイト証明書を発行する認証局の証明書もリポジトリサーバ(更新系)のマシンに登録する必要があります。
      詳細については、“2.4.1.1 SSL通信を行うための準備”を参照してください。

   2. SSL通信を行うための設定(レプリケーション用のSSL定義の作成)
      Interstage管理コンソールを使用して、[システム] > [セキュリティ] > [SSL] > [新規作成]タブでSSL通信を行うための設定を行います。

      • 定義名
          SSL定義を識別する名前を設定してください。

      • サイト証明書のニックネーム
          1-1)の“SSL通信を行うための準備”で、Interstage証明書環境にSSLサイト証明書を登録した際に指定したニックネームを設定してください。登録したSSLサイト証明書はInterstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面で参照できます。

      • プロトコルバージョン
          “SSL 3.0”だけを選択してください。

      • クライアント認証
          “する(クライアント証明書が提示された場合、認証する)”を選択してください。

      • 暗号化方法
          必要に応じて変更してください。

      • 認証局証明書のニックネーム
          必要に応じて変更してください。

      各項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

2. 証明書の有効性を確認する場合
     上記の設定に加え、証明書認証の有効性確認を行うための準備(CRLの取得と、Interstage証明書環境への登録)を行います。リポジトリサーバ(更新系)とリポジトリサーバ(参照系)でサイト証明書を発行する認証局が異なる場合は、リポジトリサーバ(参照系)でサイト証明書を発行する認証局からCRLを取得し、リポジトリサーバ(更新系)のマシンに登録してください。
     詳細については、“2.4.1.3 証明書の有効性確認を行うための準備”を参照してください。

  レプリケーションをSSL通信で行うと、各SSOリポジトリ間の通信をSSLのクライアント・サーバ認証と暗号化通信で行い、盗聴／改ざん／なりすましなどの危険を回避し、情報のプライバシーを守ることができます。セキュリティ上、SSL通信で行うことを強く推奨します。