認証基盤の環境構築を行う前にSSL環境の構築を行う必要があります。
  SSL環境の構築の流れを以下に示します。

  認証サーバでSSL通信を行う場合は、運用により以下に示す設定を行ってください。

1. 必要な設定

   1. “SSL通信を行うための準備”

   2. “SSL通信を行うための設定”

2. 証明書の有効性を確認する場合
   上記の設定に加え、“証明書認証の有効性確認を行うための準備”を行ってください。

3. Interstage Security Directorを使用して運用する場合
   上記の設定に加え、“Interstage Security Directorを使用して運用する場合の設定”を行ってください。

  SSL通信をSSLアクセラレータで行う場合は、運用により以下に示す設定を行ってください。

1. 必要な設定

   1. “SSL通信をSSLアクセラレータで行う場合の設定”

2. 証明書の有効性を確認する場合
   上記の設定に加え、“証明書認証の有効性確認を行うための準備”をしてください。

  Interstage Security Directorと認証サーバ間を非SSL通信で行う場合は、運用により以下に示す設定を行ってください。

1. 必要な設定

   1. “Interstage Security Directorを使用して運用する場合の設定”

2. 証明書の有効性を確認する場合
   上記の設定に加え、“証明書認証の有効性確認を行うための準備”をしてください。

  各サーバでSSL通信する場合、サイト証明書を取得し、Interstage証明書環境に登録する必要があります。サイト証明書の取得、およびInterstage証明書環境への登録方法については“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”を参照してください。

  なお、すでにサイト証明書を取得、登録済みの場合は、登録済みのサイト証明書を使用できます。

  以下に、SSL通信を行うための準備例を示します。

  Interstage証明書環境を構築する前に、Interstage証明書環境へのアクセスを許可する、所有グループを作成しておく必要があります。作成した所有グループは、Interstage証明書環境を構築時にscsmakeenvコマンドの-gオプションに指定してください。
  なお、Interstage証明書環境の所有グループに登録する実効ユーザは、Interstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに設定されているユーザを使用する必要があります。

  Interstage証明書環境のアクセス権限の設定については、“セキュリティシステム運用ガイド”の“Interstage証明書環境の構築と利用”を参照してください。

  申請情報として、識別名(国名、英数字氏名、英数字組織名、英数字組織単位名、都道府県名、市区町村名など)を指定して、SSL通信に使用する証明書の取得申請を行うための証明書取得申請書(CSR)を作成します。このとき同時に、Interstage証明書環境も作成します。

  証明書取得申請書(CSR)の作成にはscsmakeenvコマンドを使用します。その証明書取得申請書(CSR)を認証局に取得申請して証明書の発行を依頼します。

  証明書取得申請書(CSR)の作成については、“D.3 Interstage証明書環境の作成とSSL通信に使用する証明書の取得申請書の作成”を参照してください。
  認証局については、“セキュリティシステム運用ガイド”を参照してください。

  認証局から発行されたサイト証明書と、その証明書の発行者である認証局証明書を取得し、証明書・CRL登録コマンド(scsenter)を使用してInterstage証明書環境に登録します。

  Interstage証明書環境への証明書の登録については、“D.4 SSL通信に使用する証明書の登録”を参照してください。

  Interstage管理コンソールを使用して、SSLの定義を作成します。

  SSLの定義を作成するには、[システム] > [セキュリティ] > [SSL] > [新規作成]タブを選択し、[簡易設定]を行います。確認したサイト証明書のニックネームを選択し、SSL定義を作成してください。

  Interstage管理コンソールの起動については“運用ガイド(基本編)”を、Interstage管理コンソールで定義する項目の詳細については、Interstage管理コンソールのヘルプを参照してください。

  SSL環境定義の各項目については以下のように設定してください。

• 定義名
  SSL定義を識別する名前を設定してください。ここで設定した定義名は認証サーバ構築時に指定します。

• サイト証明書のニックネーム
  “2.4.1.1 SSL通信を行うための準備”で、Interstage証明書環境にサイト証明書を登録した際に指定したニックネームを設定してください。登録したサイト証明書はInterstage管理コンソールの[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面で参照できます。

• プロトコルバージョン
  Interstage管理コンソールのヘルプを参照し、必要に応じて変更してください。ただし、“SSL 2.0”は選択しないでください。

• クライアント認証
  証明書認証を行う場合は、“する(クライアント証明書が提示された場合、認証する)”を選択し、証明書認証を行わない場合は、“しない”を選択してください。

• 暗号化方法
  Interstage管理コンソールのヘルプを参照し、必要に応じて変更してください。

• 認証局証明書のニックネーム
  Interstage管理コンソールのヘルプを参照し、必要に応じて変更してください。

  証明書認証時にCRL(Certificate Revocation List)による証明書の有効性確認を行うことができます。以下に、証明書の有効性確認の運用を行う場合の準備について説明します。
  証明書の有効性確認の運用を行わない場合、以下の準備を行う必要はありません。

  認証サーバでSSL通信を行う場合は、以下に示す設定を行ってください。

1. CRL発行局の証明書の登録  (注)

2. CRLの登録

  注)“2.4.1.1 SSL通信を行うための準備”で登録したサイト証明書とは異なる認証局から発行されたCRLを登録する場合に行ってください。

  SSL通信をSSLアクセラレータ、またはInterstage Security Directorで行う場合は、以下に示す設定を行ってください。

1. Interstage証明書環境の作成  (注)

2. CRL発行局の証明書の登録

3. CRLの登録

  注)Interstage証明書環境がすでに作成されている場合は、作業を行う必要はありません。

  SSLアクセラレータを使用する場合は、運用に合わせてSSLアクセラレータの設定を行う必要があります。設定方法については、“1.6.3 SSLアクセラレータとの連携”を参照してください。

  Interstage Security Directorを使用して運用する場合は、Interstage Security Directorの環境設定を行う必要があります。設定方法については、“1.6.4 Interstage Security Directorとの連携”のInterstage Security Directorの設定に関する説明を参照してください。