サイト間直接アクセスやフォーラムレプリケーションを利用するには、それらのサイト間の信頼関係を保証する証明書が必要です。証明書の発行は、エンタープライズシステム内のどれか1つのサーバで行います。このサーバを証明書発行サーバ、またはCA(Certificate Authority)と呼びます。また、証明書発行サーバの所属するサイトを証明書発行サイトと呼びます。同一の証明書発行サーバから証明書を発行してもらったサイト間では、利用者はログインし直さなくても、ほかのサイトのサーバに直接的にアクセスできます。TeamWARE Officeの証明書発行サーバが発行する証明書は、業界標準に基づいた公開キー技法による証明書です。この証明書機能を使用することにより、サイト間の不正なアクセスを未然に防止できます。
この証明書を持たないサイトからは、たとえ同じエンタープライズシステムを構成するサイトであっても、サイト間直接アクセスやフォーラムレプリケーションは利用できません。したがって、セキュリティ面で安全なシステムとして運用できます。
証明書の発行は、以下のように行います。
なお、以降では、下記の略称を使用しています。
EMサイト:エンタープライズマスターサイト
MBサイト:エリアメンバーサイト
事前準備
エンタープライズ内のどれかのサーバを証明書発行サーバ(CA)と決定します。
通常は、エンタープライズマスターサイトのDirectoryサーバとします。
操作方法
証明書発行サーバ(CA)でCA証明書を作成
証明書発行サーバのコマンドプロンプト画面から、以下のコマンドを入力します。
to ca -a -n "o=組織名,c=国名" [-y 有効年数]
このコマンドにより、以下の3種類のファイルがサブディレクトリ“ca”に作成されます。
ca.crt | : | 証明書発行サーバの証明書ファイル(CA証明書ファイル) |
ca.key | : | 証明書発行サーバの秘密キーファイル |
serial.dat | : | 証明書番号ファイル |
※証明書発行サーバの証明書ファイルの有効期限は、作成時に有効期限を指定しなかった場合は5年です。
※本証明書の有効期限が切れると、サイト間直接アクセスを行っているすべてのサイトの証明書の再発行が必要となりますので、有効期限を可能な限り長期間(指定可能な最大年数は93年かつ、2090年を超えない範囲)を指定してください。
ポイント
証明書発行サイト自身に対しても、ほかのサイトとの直接アクセスを許可したい場合、およびサイトを追加した場合は、これらのサイトに対しても、以降で説明する2.~6.の作業が必要です。
ほかのサイトとの直接アクセスを許可したい場合の例として、例えば、EMサイトを証明書発行サイトとし、MBサイトとMBサイト間でサイト間直接アクセスを行う以外にも、EMサイトとMBサイト間でサイト間直接アクセスを行いたい場合は、EMサイトのサイト証明書も必要となります。EMサイトのサイト証明書の発行作業を忘れないよう、注意願います。
サイトの証明申請書とキーペア(公開キーと秘密キーのペア)の作成
証明書を申請するサイトのDirectoryサーバのコマンドプロンプト画面から、以下のコマンドを入力します。
to ca -s -n "cn=サイト名,l=エリア名,o=組織名,c=国名" -x 証明申請書ファイル名 [-k キーファイル名]
このコマンドにより、以下の3種類のファイルがサブディレクトリ“site”に作成されます。
xxxx.crq | : | 証明申請書ファイル |
xxxx.key | : | 証明申請サイトの秘密キーファイル |
serial.dat | : | 証明申請書番号ファイル |
-x、および-kオペランドは、パス名を付けて指定することもできます。この場合、これらのファイルは、サブディレクトリ“site”ではなく、パス名で指定したサブディレクトリに作成されます。
証明申請書ファイルは、証明書発行サーバでも作成できますが、この場合、サブディレクトリ“site”の、他サイトのキーファイル(省略値は“site.key”)を上書きしないようにするため、-kオペランドでキーファイル名を指定することをお勧めします。
注意
ここで作成されるキーファイルには、申請したサイトの秘密キーが格納されています。第三者に渡るようなことがないように、キーファイルの機密保護には、十分注意してください。
サイトの証明申請書を証明書発行サーバ(CA)へ複写
証明申請サイトの証明申請書ファイル(xxxx.crq)を、証明書発行サーバ(CA)のサブディレクトリ“ca”へ複写します。
サイト証明書を発行
証明書発行サイトのDirectoryサーバのコマンドプロンプト画面から、下記のコマンドを入力します。
to ca -c -x 証明申請書ファイル名 [-y 有効年数]
このコマンドにより、以下の1種類のファイルがサブディレクトリ“ca”に作成されます。
xxxx.crt | : | サイト証明書ファイル |
-xオペランドで、パス名を付けないで、ファイル名のみを指定した場合、証明申請書ファイルは、サブディレクトリ“ca”に存在するものと見なします。
-xオペランドは、パス名を付けて指定することもできます。この場合、証明書ファイルは、サブディレクトリ“ca”ではなく、パス名で指定したサブディレクトリに作成されます。
CA証明書、サイト証明書、およびキーファイルを証明書申請サイトへ複写
1.で作成した“ca.crt”と、4.で作成した“xxxx.crt”および2.で作成した“xxxx.key”を、証明申請サイトのDirectoryサーバのインストールディレクトリに複写します。
サイト証明書ファイル名は、“site.crt”固定なので、“xxxx.crt”を“site.crt”に変更します。
キーファイル名は、“site.key”固定なので、2.で-kオペランドを指定して別のファイル名にした場合は、“site.key”に変更します。
証明書の複写先のDirectoryサーバを再起動
証明書を受け取った各サイトは、再起動する必要があります。
証明書を新規に受け取った場合や、証明書を変更した場合には、TeamWARE Officeを再起動してください。
なお、証明書の発行元を再起動する必要はありません。
認証用のファイルを作成し直した場合には、証明書の発行作業を再度行う必要があります。
[to ca]コマンド形式の表示
証明書発行サイトの証明書ファイルの作成
証明書発行サーバの証明書と秘密キーを、サブディレクトリ"ca"に作成します。ディレクトリ中にサブディレクトリ"ca"がないときには、これを作成します。作成するファイルを以下に示します。
ca.crt | : | 証明書ファイル |
ca.key | : | 証明書発行サイトの秘密キーファイル |
serial.dat | : | 証明書番号ファイル |
to ca -a -n dn [-y years]
-a :
証明書ファイルの作成を意味します。
-n :
dnに組織の識別名("o=組織名,c=国名")を指定します。指定する組織名、国名は、Directoryサーバのインストール時に指定した値を使用します。識別名は、必ずダブルクォーテーション(" ")を付けます。
-y :
yearsに有効年数を指定します。省略した場合、有効期間は5年です。
指定可能範囲は、1~2090-現在の年(現在の年号が、2001年の場合2090-2001=89)です。
注意
秘密キーの保管場所は、セキュリティに配慮する必要があります。
証明申請書ファイルとキーペアの作成
証明書を申請するサイトの証明申請書ファイルとキーペアを作成します。
ディレクトリ中にサブディレクトリ"site"がないときには、これを作成します。指定されたファイル名の証明申請書ファイルのほかに、以下のファイルを作成します。
site.key | : | 証明申請書ファイルを作成するために使用したキーペアを格納したファイルです。"key_filename"を指定すると、指定した名前がファイル名となります。 |
to ca -s -n dn [-k key_file] -x certificate_request_file
-s :
証明申請書ファイルとキーペアの作成を意味します。
-n :
dnにサイトの識別名("cn=サイト名,l=エリア名,o=組織名,c=国名")を指定します。
指定するサイト名、エリア名、組織名、国名は、Directoryサーバのインストール時に指定した値を使用します。
識別名の記述は、必ず上記の順番で記述してください。
また、識別名には、必ずダブルクォーテーション(" ")を付けます。
-k :
key_fileにキーペアを格納するファイル名を指定します。
拡張子は".key"でなければなりません。このオペランドを省略した場合、キーファイル名として"site.key"を採用しますが、各サイトの証明書を一ヶ所でまとめて発行する場合は、"site.key"ファイルを上書きしないようにするため、このオペランドを指定することをお勧めします。
パス名を付けて指定することもできます。
-x :
certificate_requeset_fileに証明申請書ファイル名を指定します。
ファイルには必ず拡張子" crq"を付けます。このファイルには、証明書を申請するサイト自身の証明情報と証明申請情報が格納されます。
パス名を付けて指定することもできます。
注意
秘密キーの保管場所は、セキュリティに配慮する必要があります。
証明書の発行
証明書を発行します。指定された証明申請書ファイルを基に、同一のファイル名で証明申請書ファイル格納ディレクトリ内に、証明書を作成します。
to ca -c -x certificate_request_file [-y years]
-c :
証明書の発行を意味します。
-x :
certificate_requeset_fileに証明申請書ファイル名を指定します。
パス名を付けて指定することもできます。
-y :
yearsに有効年数を指定します。省略した場合、有効期間は5年です。
指定可能範囲は、1~2090-現在の年(現在の年号が、2001年の場合2090-2001=89)です。
注意
作成した証明書は、証明書の発行を申請しているサイトにコピーする必要があります。
証明書ファイルの表示
証明書ファイルに格納された証明書、または証明申請書ファイルの内容を表示します。ディレクトリを指定すると、指定したディレクトリ内の証明書のみが表示されます。ファイル名を指定すると、指定されたファイルに格納されている証明書が表示されます。ファイルの場合は、"crt"(証明書)または"crq"(証明申請書)の2種類があります。表示することにより、証明書の検証も行います。
以下のデータが表示されます。
Serial number
証明書発行サイトを"1"として、証明書を発行した順に振られる通番です。
Valid from
証明書の有効期間内か否かを示します。
certificate fingerprint
この情報は、秘密の情報ではなく、変更されないことにだけ意味をもつものです。証明書発行サイトから証明書を申請したサイトへ、証明書が安全でない方法で運んだ場合(たとえば、ファイル転送やE-メールなど)、送ったものと受け取ったものが同じものであることを確認するために利用します。この情報が一致していれば、証明書が正当なものと判断できます。
Issuer
証明書発行サイトの情報です。
Subject
証明書受領サイトの情報です。
to ca -l [-d path] [file]
-l :
証明書ファイルの表示を意味します。
-d :
特定のディレクトリに存在する証明書ファイルのみ出力する場合、そのディレクトリパスをpathに指定します。
file :
特定の証明書ファイルのみ出力する場合、fileに証明書ファイル名を指定します。
