Solaris 10 システムで暗号化ハードウェアとともに Directory Server を使用する
始める前に
この手順では、Sun 暗号化アクセラレータハードウェアとともに使用することを前提としています。次の手順は、Directory Server インスタンスを実行するユーザーと同じユーザーで実行してください。
-
pktool setpin コマンドを使用して、暗号化フレームワークにアクセスするときに使用する PIN を設定します。
Directory Server を実行しているユーザーと同じユーザーとして PIN を設定します。
-
現在の Directory Server 証明書を PKCS#12 ファイルにエクスポートします。
Directory Server インスタンスが /local/ds/ の下にある場合、次のコマンドを実行するとこの手順を実行する方法が示されます。
$ dsadm export-cert -o cert-file /local/ds defaultCert
-
鍵データにアクセスするときに適切なトークンを使用するように Directory Server を設定します。
通常、トークンは Sun Metaslot です。
$ dsconf set-server-prop 'ssl-rsa-security-device:Sun Metaslot'
-
Directory Server を停止します。
$ dsadm stop /local/ds
-
(省略可能) Directory Server インスタンスの既存の証明書データベースにその他の証明書がない場合は、証明書データベースを削除します。
$ rm -f /local/ds/alias/*.db
この省略可能な手順によって、証明書がソフトウェアデータベースに確実に格納されなくなります。
-
Solaris 暗号化フレームワークによって管理される新しい証明書データベースを作成します。
証明書を削除しなかった場合は、この例の modutil -create 行を実行する必要はありません。
$ /usr/sfw/bin/64/modutil -create -dbdir /local/ds/alias -dbprefix slapd- $ /usr/sfw/bin/64/modutil -add "Solaris Kernel Crypto Driver" -libfile \ /usr/lib/64/libpkcs11.so -dbdir /local/ds/alias -dbprefix slapd- $ /usr/sfw/bin/64/modutil -enable "Solaris Kernel Crypto Driver" \ -dbdir /local/ds/alias -dbprefix slapd-
-
エクスポートした PKCS#12 証明書をインポートします。
$ /usr/sfw/bin/64/pk12util -i cert-file \ -d /local/ds/alias -P slapd- -h "Sun Metaslot" $ /usr/sfw/bin/64/certutil -M -n "Sun Metaslot:defaultCert" -t CTu \ -d /local/ds/alias -P slapd-
アクセラレータボードに FIPS 140-2 キーストアがある場合は、デバイス上で非公開鍵が生成される必要があります。たとえば、Sun 暗号化アクセラレータ 4000 および 6000 ボードには、FIPS 140-2 キーストアがあります。正確なプロセスはボードによって異なります。
-
暗号化フレームワークへのアクセスに必要な PIN が含まれるパスワードファイルを作成します。
これは、手順 1 でパスワードを変更した場合のみ必要です。
$ echo "Sun Metaslot:password" > /local/ds/alias/slapd-pin.txt
-
Directory Server を起動します。
$ dsadm start /local/ds
- © 2010, Oracle Corporation and/or its affiliates