以下の図を元に、①~④のSSL通信の利用が必要であるかを確認してください。
① SSL利用は選択可能(SSL通信を利用しない方法は、注意を参照してください。)
②
SSL必須(impshputtruststoreコマンドで-entrustオプションを指定)
③
SSL必須(impshputtruststoreコマンドで-geotrustオプションを指定)
④
SSL必須(impshputtruststoreコマンドで-impushtrustオプションを指定)
①でSSLを選択するとログ回収、アプリ管理、認証、プロパティ管理、プッシュ通知において、端末とIMAPSサーバとの間、および業務サーバとIMAPSサーバとの間の通信がSSLとなります。
①のSSL通信設定は、「1.
上記の図の①でSSL通信を利用する場合には、証明書の作成および登録を行ってください。」の作業により設定されます。
②~④のSSL通信設定は、「4.
プッシュ通知機能を使用する場合は、impshputtruststoreコマンドの実行が必須です。」の作業により設定されます。
-
上記の図の①でSSL通信を利用する場合には、証明書の作成および登録を行ってください。
SSL 環境でWebサーバのプロセスを設定するユーザーをOS提供のコマンドで 作成します。
グループID、
グループ名、ユーザーIDおよびユーザー名は適宜変更してください。groupaddコマンドおよびuseraddコマンドの詳細については、OSのマニュアルを参照してください。
groupadd [-g グループ名ID] グループ名
useradd [-g グループID][-u ユーザーID] ユーザー名
IMAPSの証明書環境には、以下の2種類があります。用途によって、どちらかを作成してください。
- テスト用サイト証明書による証明書環境の作成
- 以下を実行して証明書環境の作成を行います。
imcreatetestenvの-userおよび-groupオプションには、groupaddコマンドおよびuseraddコマンドで作成したユーザー名、グループ名を指定してください。
imstopservice
imcreatetestenv -user ユーザー名 -group グループ名
imstartservice
参考
imcreatetestenvコマンドを実行することにより、IMAPSクライアントで利用できる自己署名証明書が生成されます。詳細は
"運用ガイド"の
"コマンドリファレンス"を参照してください。
- 運用向け証明書環境の作成
注意
証明書環境の作成は、先に作成した SSL環境で Webサーバのプロセスを設定するためのユーザーで実行してください。
- 証明書/鍵管理環境の作成をします。
作成例は、C.2 証明書、秘密鍵の作成を参照してください。
- 秘密鍵の作成と証明書を取得します。
作成例は、C.2 証明書、秘密鍵の作成を参照してください。
- 証明書とCRLを登録します。
作成例は、C.2 証明書、秘密鍵の作成を参照してください。
- WebサーバにSSL環境のセットアップを行います。
- ユーザー PINをユーザーPIN管理ファイルに登録します。
以下、登録例を示します。
ユーザーPIN(対話入力)を暗号化し、ユーザーPIN管理ファイル(
/home/ssl/envdir/upinfile)に登録する場合
imihsregistupin -f /home/ssl/envdir/upinfile -d /home/ssl/envdir/slot
- 環境定義ファイル(httpd.conf)を設定します。
以下のような設定でSSL運用を行う場合
| サーバ管理者のEmailアドレス
|
webmaster@main.example.com
|
| サーバのホスト名
|
main.example.com
|
| 証明書/鍵管理環境を構築したユーザーのユーザーID
|
ssl
|
| 証明書/鍵管理環境を構築したユーザーのグループID
|
ssl
|
| 証明書/鍵管理環境ディレクトリ
|
/home/ssl/envdir
|
| トークンラベル
|
Token01
|
| ユーザーPIN管理ファイル
|
/home/ssl/envdir/upinfile
|
| サイト証明書のニックネーム
|
SiteCert
|
| クライアントCA証明書のニックネーム
|
なし
|
以下、設定例を示します。
imstopservice
imcreatesslenv -user ssl -group ssl -token Token01 -userpin /home/ssl/envdir/upinfile -envdir /home/ssl/envdir -nns SiteCert
imstartservice
-
IMAPSサーバアプリケーションでのアプリケーションの運用開始については、
"運用ガイド"の"IMAPSサーバアプリの運用開始"を参照してください。
-
セキュリティ対策として以下を実施してください。
-
プッシュ通知機能を使用する場合は、impshputtruststoreコマンドの実行が必須です。
GCM(Google Cloud Messaging for Android), APNs(Apple Push
Notification Service)を利用する場合、以下の認証局から証明書ファイルを取得します。
(※1) 2014/07/01 現在のファイル名であり、変更される可能性があります。
IMAPSサーバ機能を停止し、以下のコマンドを実行後、再起動します。
証明書が/tmp/geotrust.cer、/tmp/entrust.cer にある場合
imstopapplication
impshputtruststore -geotrust /tmp/geotrust.cer -entrust /tmp/entrust.cer -impushtrust
imstartapplication
コマンド実行後、アプリケーションの再起動を行ってください。
-
2台以上運用し負荷分散するときは、付録E 負荷分散の設定を参照してください。
注意
開発環境などでSSL環境を使用しない場合は、以下の設定をしてください。
- 以下のサンプルを参考に、cookie-secureの値を変更した認証定義ファイルを作成します。
/opt/FJSVimaps/bin/conf/sample/db/authdef.properties
- 以下のコマンドを実行します。
imadmin auth set -file <認証定義ファイル>
- IMAPSサーバ機能を再起動します。
imstopapplication
imstartapplication
- 本番環境やSSL環境に戻すときには、忘れずに認証定義ファイルの値を変更してください。
