ページの先頭行へ戻る
Interstage Web Server Express セキュリティシステム運用ガイド
FUJITSU Software
第2部 認証とアクセス制御 > 第4章 Interstage HTTP Serverの認証とアクセス制御の設定 > 4.4 オンライン照合 > 4.4.2 SSL通信の環境設定
前次

4.4.2 SSL通信の環境設定

オンライン照合機能では、Interstage HTTP Serverとディレクトリサーバ間で、SSLを使用する運用を設定できます。SSLを使用した暗号化通信を行う場合は、Interstage HTTP Serverがインストールされたシステムに、SSLのクライアント環境を設定してください。

SSLのクライアント環境として、以下の環境を使用できます。運用に応じて、以下のどちらかのSSL環境を設定してください。

参照

SSL環境設定コマンドの詳細については、「リファレンスマニュアル(コマンド編)」の「SSL環境設定コマンド」を参照してください。


Intersatge証明書環境を使用する場合

注意

  • SSL環境設定コマンドは、Administratorsグループに所属するユーザで実行してください。

  • SSL環境設定コマンドは、スーパユーザで実行してください。

  • 環境変数JAVA_HOMEに、JDKまたはJREのインストールパスを設定して実行してください。

(1) 所有グループの作成

Interstage証明書環境へのアクセスを許可する所有グループを作成します。

参照

所有グループの作成方法については、「6.2.1 Interstage証明書環境のアクセス権限の設定」を参照してください。


(2) Interstage証明書環境の作成

認証局の証明書およびCRL管理に必要なInterstage証明書環境を作成します。
コマンドの実行例を以下に示します。

scsmakeenv -e


(1) 所有グループの作成」で作成した所有グループ「iscertg」に登録されているユーザに、アクセスを許可するInterstage証明書環境を作成する場合

scsmakeenv -e -g iscertg

(3) 認証局の証明書の取得

ディレクトリサーバに登録したサイト証明書を発行した認証局から、認証局の証明書を取得します。認証局の証明書の取得方法については、認証局に従ってください。


(4) CRLの取得

ディレクトリサーバに登録したサイト証明書を発行した認証局から、CRLを取得します。CRLの取得方法については、認証局に従ってください。


(5) 認証局の証明書の登録

Interstage証明書環境に、「(3) 認証局の証明書の取得」で取得した認証局の証明書を登録します。認証局の証明書は、ルート認証局の認証局証明書から順に登録してください。
コマンドの実行例を以下に示します。


以下の証明書を登録する場合

  • 認証局の証明書「C:\sslenv\CA.der」

  • 認証局の証明書のニックネーム「CA」

scsenter -n CA -f C:\sslenv\CA.der


以下の証明書を登録する場合

  • 認証局の証明書「/sslenv/CA.der」

  • 認証局の証明書のニックネーム「CA」

scsenter -n CA -f /sslenv/CA.der

(6) CRLの登録

Interstage証明書環境に、「(4) CRLの取得」で取得したCRLを登録します。
コマンドの実行例を以下に示します。


CRLファイル「C:\sslenv\CRL.der」を登録する場合

scsenter -c -f C:\sslenv\CRL.der


CRLファイル「/sslenv/CRL.der」を登録する場合

scsenter -c -f /sslenv/CRL.der

SMEEコマンドで構築する証明書/鍵管理環境のSSLを使用する場合

注意


スーパユーザ権限以外のユーザが操作を行ってください。セキュリティ上の配慮により、Webサーバのプロセスをスーパユーザ権限以外で設定する必要があります。
また、環境定義ファイル(httpd.conf)を設定する際(例3設定6)は、Userディレクティブにこのユーザを、Groupディレクティブにこのユーザが登録されている所有グループを指定してください。


(1) 管理ディレクトリの作成

認証局の証明書およびCRL管理に必要なディレクトリを作成します。
コマンドの実行例を以下に示します。

mkdir C:\sslenv\slot
mkdir C:\sslenv\sslcert
mkdir C:\sslenv\sslcert\cert
mkdir C:\sslenv\sslcert\crl

mkdir /sslenv/slot
mkdir /sslenv/sslcert
mkdir /sslenv/sslcert/cert
mkdir /sslenv/sslcert/crl

(2) 秘密鍵管理環境の作成設定

秘密鍵の管理に必要な秘密鍵管理環境を作成して、環境設定を行います。
コマンドの実行例を以下に示します。

makeslot -d C:\sslenv\slot
maketoken -d C:\sslenv\slot -s 1 -t token01

makeslot -d /sslenv/slot
maketoken -d /sslsnv/slot -s 1 -t token01

(3) 証明書/CRL管理環境の作成

認証局の証明書およびCRLの管理に必要な証明書/CRL管理環境を作成して、環境設定を行います。
コマンドの実行例を以下に示します。

cmmkenv C:\sslenv\sslcert -todir C:\sslenv\sslcert\cert,C:\sslenv\sslcert\crl
cmsetenv C:\sslenv\sslcert -sd C:\sslenv\slot -jc 1

cmmkenv /sslenv/sslcert -todir /sslenv/sslcert/cert,/sslenv/sslcert/crl
cmsetenv /sslenv/sslcert -sd /sslenv/slot -jc 1

(4) 認証局の証明書の取得

ディレクトリサーバに登録したサイト証明書を発行した認証局から、認証局の証明書を取得します。認証局の証明書の取得方法については、認証局に従ってください。


(5) CRLの取得

ディレクトリサーバに登録したサイト証明書を発行した認証局から、CRLを取得します。CRLの取得方法については、認証局に従ってください。


(6) 認証局の証明書の登録

証明書/CRL管理環境に、「(4) 認証局の証明書の取得」で取得した認証局の証明書を登録します。証明書は、ルート認証局の認証局から順に登録してください。
コマンドの実行例を以下に示します。


認証局証明書「CA.der」を登録する場合

cmentcert C:\sslenv\CA.der -ed C:\sslenv\sslcert -ca -nn CA


認証局証明書「CA.der」を登録する場合

cmentcert /sslenv/CA.der -ed /sslenv/sslcert -ca -nn CA

(7) CRLの登録

証明書/CRL管理環境に、「(5) CRLの取得」で取得したCRLを登録します。
コマンドの実行例を以下に示します。


CRLファイル「C:\sslenv\CRL.der」を登録する場合

cmentcrl C:\sslenv\CRL.der -ed C:\sslenv\sslcert


CRLファイル「/sslenv/CRL.der」を登録する場合

cmentcrl /sslenv/CRL.der -ed /sslenv/sslcert

前次
Copyright 2002-2013 FUJITSU LIMITED