妈 7 鞠 SSL の肋年

妈 7 鞠
SSL の肋年

Calendar Server は、カレンダ〖クライアントのエンドユ〖ザ〖と Calendar Server との粗でデ〖タを芭规步するために、SSL (Secure Sockets Layer) プロトコルをサポ〖トしています。SSL をサポ〖トするために、Calendar Server は Sun Java System Messaging Server でも蝗脱されている NSS (Netscape Security Services) の SSL ライブラリを蝗脱します。

ics.conf ファイルを蝗脱して、Calendar Server のログインとパスワ〖ドだけ、またはカレンダ〖セッション链挛を芭规步するように Calendar Server を肋年できます。

この鞠で棱汤する柒推は肌のとおりです。

Calendar Server の SSL 肋年

SSL 沮汤今デ〖タベ〖スの侯喇

ル〖ト CA (千沮渡) への沮汤今の妥滇と沮汤今のインポ〖ト

ics.conf ファイルの SSL パラメ〖タの肋年

SSL のトラブルシュ〖ティング



庙	Calendar Server はクライアントベ〖スの SSL 千沮をサポ〖トしません。

Calendar Server の SSL 肋年

Calendar Server の SSL を肋年するには、肌の缄界を悸乖します。

SSL 沮汤今デ〖タベ〖スの侯喇

ル〖ト CA (千沮渡) への沮汤今の妥滇と沮汤今のインポ〖ト

ics.conf ファイルの SSL パラメ〖タの肋年

SSL 沮汤今デ〖タベ〖スの侯喇

Calendar Server に SSL を悸刘するには、沮汤今デ〖タベ〖スが涩妥です。沮汤今デ〖タベ〖スには、CA (千沮渡) と Calendar Server の沮汤今を年盗する涩妥があります。

Mozilla ツ〖ル

このリリ〖スには肌の Mozilla ツ〖ルが脱罢されています。

沮汤今デ〖タベ〖スツ〖ル (certutil) : 沮汤今デ〖タベ〖スを侯喇、瓷妄する。拒嘿については肌の Web サイトを徊救

http://mozilla.org/projects/security/pki/nss/tools/certutil.html



ヒント	沮汤今デ〖タベ〖スの栏喇を活みる涟に、ツ〖ルの菇矢に捶れておいてください。

セキュリティモジュ〖ルデ〖タベ〖スツ〖ル (modutil) : 蝗脱できるセキュリティモジュ〖ルに簇する攫鼠を山绩する。拒嘿については肌の Web サイトを徊救

http://mozilla.org/projects/security/pki/nss/tools/modutil.html

これらのユ〖ティリティは、肌のディレクトリに呈羌されています。

/opt/SUNWics5/cal/lib

または、呵糠バ〖ジョンを Web サイトからダウンロ〖ドしてください。

ライブラリパス恃眶

Mozilla ツ〖ルを蝗脱するには、祸涟に LD_LIBRARY_PATH 恃眶を努磊に肋年する涩妥があります。
毋 :

setenv LD_LIBRARY_PATH /opt/SUNWics5/cal/lib

毋で蝗脱するファイルとディレクトリ

この鞠で疽拆する毋は、肌のファイルとディレクトリを蝗脱します。

alias は、沮汤今デ〖タベ〖スを呈羌したディレクトリです。肌のディレクトリの面に alias ディレクトリを侯喇します。

/var/opt/SUNWics5

alias ディレクトリは、年袋弄にバックアップしてください。

sslPasswordFile は、沮汤今デ〖タベ〖スのパスワ〖ドを淡峡したテキストファイルです。これは certutil ユ〖ティリティが蝗脱するファイルで、Calendar Server は蝗脱しません。肌のディレクトリに sslPasswordFile を侯喇します。

/etc/opt/SUNWics5/config

/etc/passwd には、宛眶栏喇脱のエントロピ〖が脱罢されています。つまり、このディレクトリは、宛眶栏喇怠墙が靠にランダムな冯蔡を澄悸に栏喇するのに舔惟つ、铜跟で办罢なシ〖ドを栏喇するために蝗脱されます。

沮汤今デ〖タベ〖スを侯喇するには

ス〖パ〖ユ〖ザ〖 (root) としてログインするか、ス〖パ〖ユ〖ザ〖になります。

/etc/opt/SUNWics5/config/sslPasswordFile に certutil の沮汤今デ〖タベ〖スパスワ〖ドを回年します。
毋 :

# echo 'password蓙> /etc/opt/SUNWics5/config/sslPasswordFile

password には悸狠のパスワ〖ドを回年します。

沮汤今デ〖タベ〖スの alias ディレクトリを侯喇します。
毋 :

# cd /var/opt/SUNWics5
# mkdir alias

bin ディレクトリに败瓢し、沮汤今デ〖タベ〖ス (cert7.db) と赴デ〖タベ〖ス (key3.db) を栏喇します。
毋 :

# cd /opt/SUNWics5/cal/bin
# ./certutil -N -d /var/opt/SUNWics5/alias-f /etc/opt/SUNWics5/config/sslPasswordFile



庙	certutil ユ〖ティリティを悸乖する涩妥がある眷圭は、毋に骄って悸乖するか、または certutil のヘルプペ〖ジを徊救して菇矢を妄豺してください。たとえばこの眷圭、-d /file 攫鼠を回年せずに -N オプションを烧けてユ〖ティリティを悸乖することは闰けてください。

デフォルトの极甘金叹ル〖ト CA (千沮渡) 沮汤今を栏喇します。
毋 :

# ./certutil -S -n SampleRootCA -x -t "CTu,CTu,CTu"
-s "CN=My Sample Root CA, O=sesta.com" -m 25000
-o /var/opt/SUNWics5/alias/SampleRootCA.crt
-d /var/opt/SUNWics5/alias
-f /etc/opt/SUNWics5/config/sslPasswordFile -z
/etc/passwd

ホスト脱の沮汤今を栏喇します。
毋 :

# ./certutil -S -n SampleSSLServerCert -c SampleRootCA -t "u,u,u"
-s "CN=hostname.sesta.com, O=sesta.com" -m 25001
-o /var/opt/SUNWics5/alias/SampleSSLServer.crt
-d /var/opt/SUNWics5/alias -f /etc/opt/SUNWics5/config/sslPasswordFile
-z /etc/passwd

hostname.sesta.com はサ〖バ〖ホスト叹です。

沮汤今を浮沮します。
毋 :

# ./certutil -V -u V -n SampleRootCA -d /var/opt/SUNWics5/alias
# ./certutil -V -u V -n SampleSSLServerCert -d /var/opt/SUNWics5/alias

沮汤今をリスト山绩します。
毋 :

# ./certutil -L -d /var/opt/SUNWics5/alias
# ./certutil -L -n SampleSSLServerCert -d /var/opt/SUNWics5/alias

modutil を蝗脱して、蝗脱できるセキュリティモジュ〖ル (secmod.db) をリスト山绩します。
毋 :

# ./modutil -list -dbdir /var/opt/SUNWics5/alias

alias ファイルの疥铜荚を icsuser と icsgroup (または Calendar Server を悸乖するそれ笆嘲のユ〖ザ〖とグル〖プの ID) に恃构します。
毋 :

# find /var/opt/SUNWics5/alias -exec chown icsuser {} ¥;
# find /var/opt/SUNWics5/alias -exec chgrp icsgroup {} ¥;

ル〖ト CA (千沮渡) への沮汤今の妥滇と沮汤今のインポ〖ト

肌に、沮汤今妥滇の栏喇、PKI (Public Key Infrastructure) の Web サイトへの妥滇の流慨、沮汤今のインポ〖トを乖う缄界について棱汤します。

ル〖ト CA (千沮渡) に沮汤今を妥滇し、沮汤今をインポ〖トするには

ス〖パ〖ユ〖ザ〖 (root) としてログインするか、ス〖パ〖ユ〖ザ〖になります。

bin ディレクトリに败瓢します。

# cd /opt/SUNWics5/cal/bin

certutil を蝗脱して、千沮渡または PKI (Public Key Infrastructure) の Web サイトに努した沮汤今妥滇を侯喇します。
毋 :

# ./certutil -R -s "CN=hostname.sesta.com, OU=hostname / SSL Web Server, O=Sesta, C=US" -p "408-555-1234" -o hostnameCert.req -g 1024
-d /var/opt/SUNWics5/alias-f /etc/opt/SUNWics5/config/sslPasswordFile-z /etc/passwd -a

hostname.sesta.com はホスト叹です。

SSL Web サ〖バ〖脱のテスト沮汤今を CA (千沮渡) または PKI (Public Key Infrastructure) の Web サイトに妥滇します。hostnameCert.req ファイルの柒推をコピ〖して沮汤今妥滇に沤り烧けます。

沮汤今への金叹が窗位し、洁洒が腊った箕爬で奶梦が流慨されてきます。

沮汤今千沮渡チェ〖ンと SSL サ〖バ〖沮汤今をテキストファイルにコピ〖します。

千沮渡沮汤今チェ〖ンを沮汤今デ〖タベ〖スにインポ〖トし、千沮チェ〖ンを澄惟します。
毋 :

# ./certutil -A -n "GTE CyberTrust Root" -t "TCu,TCu,TCuw"
-d /var/opt/SUNWics5/alias -a -i /export/wspace/Certificates/CA_Certificate_1.txt-f /etc/opt/SUNWics5/config/sslPasswordFile

# ./certutil -A -n "Sesta TEST Root CA" -t "TCu,TCu,TCuw"
-d /var/opt/SUNWics5/alias -a -i /export/wspace/Certificates/CA_Certificate_2.txt-f /etc/opt/SUNWics5/config/sslPasswordFile

金叹された SSL サ〖バ〖沮汤今をインポ〖トします。

# ./certutil -A -n "hostname SSL Server Test Cert" -t "u,u,u"
-d /var/opt/SUNWics5/alias -a -i /export/wspace/Certificates/SSL_Server_Certificate.txt-f /etc/opt/SUNWics5/config/sslPasswordFile

沮汤今デ〖タベ〖ス柒の沮汤今をリスト山绩します。

# ./certutil -L -d /var/opt/SUNWics5/alias

ics.conf ファイルで、金叹された SSL サ〖バ〖沮汤今の SSL サ〖バ〖ニックネ〖ムを肋年します。

毋 : "hostname SSL Server Test Cert"

庙 : ics.conf ファイルの service.http.calendarhostname パラメ〖タと service.http.ssl.sourceurl パラメ〖タのホスト叹は、SSL 沮汤今のホスト叹と办米する涩妥があります (システムに剩眶のエイリアスがある眷圭)。
毋 : calendar.sesta.com

ics.conf ファイルの SSL パラメ〖タの肋年

Calendar Server に SSL を悸刘するには、ics.conf ファイルの泼年のパラメ〖タを肋年する涩妥があります。山 7-1 に山绩されるパラメ〖タのいずれかが ics.conf ファイルにない眷圭、回年した猛とともにファイルに纳裁します。システムの弹瓢箕 (start-cal の券乖箕) に ics.conf が粕み艰り漓脱の眷圭、糠しい猛は Calendar Server が浩弹瓢されるまで瓤鼻されません。SSL パラメ〖タについては、≈SSL の肋年∽を徊救してください。

山 7-1 SSL の肋年に涩妥な ics.conf パラメ〖タ
パラメ〖タ	猛
encryption.rsa.nssslactivation	"on"
encryption.rsa.nssslpersonalityssl	"SampleSSLServerCert"
encryption.rsa.nsssltoken	"internal"
service.http.tmpdir	"/var/opt/SUNWics5/tmp"
service.http.uidir.path	"html"
service.http.ssl.cachedir	"."
service.http.ssl.cachesize	"10000"
service.http.ssl.certdb.password	"anypassword"(努磊なパスワ〖ドを掐蜗)
service.http.ssl.certdb.path	"/var/opt/SUNWics5/alias"
service.http.ssl.port.enable	"yes"
service.http.ssl.port	"443" (デフォルトのポ〖ト戎规)
service.http.ssl.securelogin	"yes" (ログインとパスワ〖ドを芭规步する)
service.http.securesession	"yes" (セッション链挛を芭规步する)
service.http.ssl.sourceurl	"https"//localhost:port" (ロ〖カルホスト叹、および service.http.ssl.port の猛を掐蜗)
service.http.ssl.ssl2.ciphers	""
service.http.ssl.ssl2.sessiontimeout	"0"
service.http.ssl.ssl3.ciphers	"rsa_rc4_40_md5,rsa_rc2_40_md5,rsa_des_sha, rsa_rc4_128_md5,rsa_3des_sha"
service.http.ssl.ssl3.sessiontimeout	"0"
service.http.sslusessl	"yes"



庙	肌のパラメ〖タを肋年することで、Calendar Server のログインとパスワ〖ドだけ、またはカレンダ〖セッション链挛を芭规步するように Calendar Server を肋年できます。service.http.ssl.securelogin, service.http.ssl.securesession. ログインとセッションの芭规步の尉数を乖う眷圭、尉数のパラメ〖タの猛として "yes" を回年する涩妥があります。

SSL のトラブルシュ〖ティング

まず、牲傅稍材墙な啼玛の券栏に洒え、沮汤今デ〖タベ〖スを涩ず年袋弄にバックアップしてください。SSL に啼玛があるときは、肌の灌誊を拇べます。

cshttpd プロセスのチェック

沮汤今の浮沮

Calendar Server ログファイルの澄千

SSL ポ〖トへの儡鲁

cshttpd プロセスのチェック

SSL が怠墙するには、Calendar Server の cshttpd プロセスが苍瓢している涩妥があります。cshttpd が苍瓢しているかどうかを拇べるには、Solaris オペレ〖ティングシステムで肌のコマンドを悸乖します。

# ps -ef | grep cshttpd

沮汤今の浮沮

沮汤今デ〖タベ〖スに呈羌されている沮汤今をリスト山绩し、その铜跟袋嘎を澄千するには、Solaris オペレ〖ティングシステムで肌のコマンドを悸乖します。

# ./certutil -L -d /var/opt/SUNWics5/alias

Calendar Server ログファイルの澄千

SSL エラ〖について、Calendar Server ログファイルを澄千します。拒嘿は、≈Calendar Server ログファイルの雌浑∽を徊救してください。

SSL ポ〖トへの儡鲁

ブラウザに肌の URL を回年し、SSL ポ〖トに儡鲁します。

https://server-name:ssl-port-number

server-name は Calendar Server が苍瓢しているサ〖バ〖の叹涟です。

ssl-port-number は、ics.conf ファイルの service.http.ssl.port パラメ〖タに回年されている SSL ポ〖ト戎规です。デフォルトは 443

涟へ誊肌瑚苞肌へ

涟へ誊肌瑚苞肌へ
Sun Java System Calendar Server 瓷妄ガイド