N1 Grid Service Provisioning System 5.0 の SSL 実装には、次のような制限があります。
トラストキーストアとプライベートキーストアには同じパスワードを設定する必要があります。また、プライベートキーストア内において、ストア内の各キーのパスワードはストアパスワードと同じでなければなりません。この制限は、キーの作成に使用された crkeys スクリプトによって適用されます。
CLI Client アプリケーションのクライアント認証を有効に設定することはできますが、セキュリティの制限上この設定はサポートされません。CLI Client アプリケーションは、キーストアパスワードの入力を求めるプロンプトを表示しません。キーストアが作成された場合、CLI Client のプロパティファイル内にこのキーストアが含まれる必要があります。
N1 Grid Service Provisioning System 5.0 は、接続する側と接続される側で同一のトラストキーストアを使用します。このため、たとえば Master Server が Remote Agent に接続し、その公開鍵を信頼するとします。Remote Agent が危険にさらされた場合、CLI Client がクライアント認証を使用するように設定されていれば、Remote Agent の鍵を使用して、Master Server に対して CLI Client の認証を行えます。同様に、Local Distributor が Remote Agent に接続し、Remote Agent が危険にさらされた場合、Local Distributor を使用して Master Server にコマンドを発行できます。
このような問題から Master Server と Local Distributor を保護するには、それらに接続を認められているサーバーからの接続だけを受け入れるようにアプリケーションを設定します。Local Distributor は、その親ノードからの接続だけを受け入れるようにし、Master Server は指定されている CLI ホストからの接続だけを受け入れるようにします。手順については、第 8 章「Java 仮想マシンのセキュリティポリシーの構成」を参照してください。
SSH 接続の場合、リモートアプリケーション (Local Distributor または Remote Agent ) は自動的に起動します。これらのアプリケーションを起動するキーストアパスワードの入力プロンプトは表示されません。ただし、アプリケーションがキーストアを使用して初期化されている場合は、キーストアのパスワードをプロパティファイルに指定する必要があります。
SSH を使って Master Server に接続するように CLI Client を構成した場合、CLI Client は、ソケット経由で Master Server に接続する SshProxy アプリケーションを利用して Master Server に接続します。SshProxy は SSL 経由で Master Server に接続できますが、この構成はサポートされていません。