test

Sun Java System Web Proxy Server 4.0.8 管理ガイド

信頼データベースの作成

サーバー証明書を要求する前に、信頼データベースを作成する必要があります。Proxy Server では、管理サーバーと各サーバーのインスタンスが、独自の信頼データベースを所有できます。信頼データベースは、ローカルコンピューター上にだけ作成できます。

信頼データベースを作成するときには、鍵ペアファイルに使用されるパスワードを指定します。このパスワードは、暗号化された通信を使用してサーバーを起動させるときにも必要です。パスワードを選択するときに考慮する必要のあるガイドラインについては、「強固なパスワードの選択」を参照してください。

信頼データベースでは、鍵ペアファイルと呼ばれる公開鍵と非公開鍵を作成し、保存します。鍵ペアファイルは、SSL 暗号化に使用されます。サーバー証明書を要求し、インストールするときには、鍵ペアファイルを使用します。証明書は、インストールしたあとに信頼データベースに格納されます。

鍵ペアファイルは、次のディレクトリ内に暗号化されて保存されます。

server-root/alias/proxy-serverid-key3.db

管理サーバーは、信頼データベースを 1 つだけ所有できます。また、サーバーに含まれる各インスタンスは、それぞれ専用の信頼データベースを所有できます。

Procedure信頼データベースを作成するには

  1. 管理サーバーまたはサーバーマネージャーにアクセスし、「Security」タブを選択します。

  2. 「データベースを作成」リンクをクリックします。

  3. 信頼データベースのパスワードを入力します。

  4. もう一度パスワードを入力し、「了解」をクリックします。

password.conf の使用

デフォルトでは、Proxy Server を起動する前に、管理者に鍵データベースのパスワードを入力するよう求めるプロンプトが表示されます。Proxy Server を無人で再起動するには、password.conf ファイルにパスワードを保存する必要があります。このファイルと鍵データベースが危険にさらされないようにするために、これを行うのはシステムが充分にセキュリティー保護されている場合だけにしてください。

通常、サーバーは起動する前にパスワードを要求するため、/etc/ rc.local ファイルまたは /etc/inittab ファイルで、UNIX の SSL が有効なサーバーを起動することはできません。ファイル内にプレーンテキストでパスワードを保存しておくと SSL が有効なサーバーを自動的に起動することができますが、この方法は安全ではありません。サーバーの password.conf ファイルは、root またはサーバーをインストールしたユーザーが所有し、所有者だけが読み取りと書き込みのアクセス権を持つようにしてください。

UNIX で、password.conf ファイル内に SSL が有効なサーバーのパスワードを保存しておくと、セキュリティー上のリスクが大きくなります。ファイルにアクセス可能なユーザーは、SSL が有効なサーバーのパスワードにもアクセスできます。SSL が有効なサーバーのパスワードを password.conf ファイルに保存する前に、セキュリティー面のリスクを考慮してください。

Windows で、NTFS ファイルシステムを使用する場合は、password.conf ファイルを使用しなくても、アクセス制限によってこのファイルの保存されているディレクトリのセキュリティーを保護してください。ただしこのディレクトリには、管理サーバーのユーザーと Proxy Server のユーザーに対して読み取りおよび書き込み許可を持たせる必要があります。ディレクトリのセキュリティーを保護しておくことで、他者による偽の password.conf ファイル作成を防ぐことができます。FAT ファイルシステム上では、ディレクトリやファイルへのアクセスを制限しても、ディレクトリやファイルのセキュリティーを保護することはできません。

SSL が有効なサーバーを自動的に起動

ProcedureSSL が有効なサーバーを自動的に起動するには

  1. SSL が有効になっていることを確認します。

  2. Proxy Server インスタンスの config サブディレクトリ内に、新規の password.conf ファイルを作成します。

    • Proxy Server に含まれている内部 PKCS #11 ソフトウェア暗号化モジュールを使用している場合には、次の情報を入力します。internal: your-password

      • 別の PKCS #11 モジュール (ハードウェアの暗号化またはハードウェアアクセラレータ用) を使用している場合は、PKCS #11 モジュールの名前を指定し、その後ろにパスワードを入力します。その例を次に示します。nFast:your-password

        password.conf ファイルを作成した後でも、Proxy Server を起動させるときには、毎回パスワードを入力するよう求めるプロンプトが表示されます。