名前
odsetSSL - CORBAサービス(ObjectDirector)へのSSL環境の設定
形式
odsetSSL -sd Slot-directory -ed Environment-directory -tl TokenLabel [-nn nick-name]
-pv protocol-version -c cipher[-verify m] [-tkpasswd User-PIN]
機能説明
odsetSSLコマンドは、CORBAサービスへSSLの運用環境を登録します。
SSL通信で使用するユーザPINを対話形式で入力します。なお、ユーザPINは最大128文字です。指定可能なパラメタを以下に示します。
スロット情報ディレクトリ(Slot-directory)をフルパスで指定します。省略はできません。
証明書の運用管理ディレクトリ(Environment-directory)をフルパスで指定します。省略はできません。
maketokenコマンドで生成したトークンに設定したトークンラベル(TokenLabel)を指定します。省略はできません。
自ホストのサイト証明書を使用する場合に、cmentcertコマンドで登録したサイト証明書のニックネーム(NickName)を指定します。
サーバ側で設定する場合には、本オプションを必ず指定してください。クライアント側の設定で、かつ、クライアント証明書なしの運用を行う場合(SSLのサーバ機能は使用しない)、本オプションは省略します。
使用するSSLプロトコルバージョンを指定します。以下の値を指定できます。
値 | 意味 |
|---|---|
3.1 | SSLプロトコルバージョン「SSL3.1」(TLS1.0)を使用します。 |
3.2 | SSLプロトコルバージョン「SSL3.2」(TLS1.1)を使用します。 |
3.3 | SSLプロトコルバージョン「SSL3.3」(TLS1.2)を使用します。 |
3.1-3.2 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL3.1」(TLS1.0) ・SSLプロトコルバージョン「SSL3.2」(TLS1.1) |
3.1-3.3 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL3.1」(TLS1.0) ・SSLプロトコルバージョン「SSL3.2」(TLS1.1) ・SSLプロトコルバージョン「SSL3.3」(TLS1.2) |
3.2-3.3 | 以下のいずれかのうち、クライアントとの通信時にクライアントが利用できる一番高いバージョンのプロトコルを使用します。 ・SSLプロトコルバージョン「SSL3.2」(TLS1.1) ・SSLプロトコルバージョン「SSL3.3」(TLS1.2) |
注意
SSL3.1(TLS1.0)、SSL3.2(TLS1.1)は旧システムサーバ間の接続のために設定することができますが、必要がない限りはSSL3.3(TLS1.2)を使用するようにしてください。
使用する暗号化の方法を優先度の高い順に区切り文字‘:’を使用して指定します。
SSLプロトコルバージョンに「SSL3.1(TLS1.0)」を使用する場合は、以下の値を指定できます。
値 | 意味 |
|---|---|
RSA-AES-128-SHA | 128bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-SC2000-128-SHA | 128bit鍵とSHA-1 MACを使用したSC2000暗号 |
RSA-AES-256-SHA | 256bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-SC2000-256-SHA | 256bit鍵とSHA-1 MACを使用したSC2000暗号 |
注意
SSL3.1(TLS1.0)は旧システムサーバ間の接続のために設定することができますが、必要がない限りはSSL3.3(TLS1.2)を使用するようにしてください。
SSLプロトコルバージョンに「SSL3.2(TLS1.1)」を使用する場合は、以下の値を指定できます。
値 | 意味 |
|---|---|
RSA-AES-128-SHA | 128bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-SC2000-128-SHA | 128bit鍵とSHA-1 MACを使用したSC2000暗号 |
RSA-AES-256-SHA | 256bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-SC2000-256-SHA | 256bit鍵とSHA-1 MACを使用したSC2000暗号 |
注意
SSL3.2(TLS1.1)は旧システムサーバ間の接続のために設定することができますが、必要がない限りはSSL3.3(TLS1.2)を使用するようにしてください。
SSLプロトコルバージョンに「SSL3.3(TLS1.2)」を使用する場合は、以下の値を指定できます。
値 | 意味 |
|---|---|
RSA-AES-128-SHA | 128bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-AES-128-SHA256 | 128bit鍵とSHA-256 MACを使用したAES暗号 |
RSA-SC2000-128-SHA | 128bit鍵とSHA-1 MACを使用したSC2000暗号 |
RSA-SC2000-128-SHA256 | 128bit鍵とSHA-256 MACを使用したSC2000暗号 |
RSA-AES-256-SHA | 256bit鍵とSHA-1 MACを使用したAES暗号 |
RSA-AES-256-SHA256 | 256bit鍵とSHA-256 MACを使用したAES暗号 |
RSA-SC2000-256-SHA | 256bit鍵とSHA-1 MACを使用したSC2000暗号 |
RSA-SC2000-256-SHA256 | 256bit鍵とSHA-256 MACを使用したSC2000暗号 |
RSA-AES-128-GCM-SHA256 | 128bitの鍵とSHA-256 MACを使用したAES GCM暗号 |
RSA-AES-256-GCM-SHA384 | 256bitの鍵とSHA-384 MACを使用したAES GCM暗号 |
自ホストにクライアント証明書が存在しない場合の、サーバ側でのクライアント認証時の動作を指定します。クライアント側では本オプションを指定する必要はありません。
自ホストにクライアント証明書が存在しなくても、認証処理を続行します。
自ホストにクライアント証明書が存在しない場合、エラー終了(証明書なし)します。
SSL通信で使用するユーザPIN(User-PIN)を指定します。本オプションを指定した場合、ユーザPIN入力を求めるプロンプトは表示されません。
なお、本オプションはコマンドのUsageには出力されません。
注意事項
本コマンドは、管理者権限で実行してください。
クライアント証明書がない場合(-nnオプションを省略)、当該ホストはCORBAサーバとしてSSL機能は使用できないため、CORBAサービス起動時にod40303のメッセージが表示されます。
-cに指定した暗号化方式に誤りがある場合、CORBAサービス起動時に「od40303」のエラーが出力され、SSL通信の初期化に失敗します。この際、メッセージ内のerrnoには、「0x100002」が出力されます。
Usageに[-M system]が表示されますが、[-M system]は指定できません。
使用例
TLS 1.2でAES暗号/256bit鍵/SHA-256による暗号化を行う場合、以下のように実行します。
odsetSSL -sd C:\slot -ed C:\sslert -tl Token01 -nn Jiro -pv 3.3 -c RSA-AES-256-GCM-SHA384 |
odsetSSL -sd /export/home/SSL/slot -ed /export/home/SSL/sslcert -tl Token01 |