この手順では、クラスタ cluster-paris 上のノード phys-paris-1 および phys-paris-2 と、クラスタ cluster-newyork 上のノード phys-newyork-1 および phys-newyork-2 を使用します。
次の Network Security Services ソフトウェアパッケージがインストールされていることを確認します。
SUNWpr、バージョン 4.5.0
SUNWprx
SUNWtls、バージョン 3.9.4
SUNWtlsu
各クラスタの 1 つのノード上、つまりクラスタ cluster-paris上の phys-paris-1 と、クラスタ cluster-newyork 上の phys-newyork-1 で、次の作業を行います。
クラスタの 1 つのノードにルートとしてログインします。
共通エージェントキャリアを停止します。
# /opt/SUNWcacao/bin/cacaoadm stop |
JSSE/NSS 鍵と証明書を再生成します。
この手順により、/etc/opt/SUNWcacao/security/nss/localca/localca.cert という名前のファイルが作成されます。localca.cert ファイルは、鍵が読み込まれる間に一時的な保管場所として使用されます。
# /opt/SUNWcacao/bin/cacaoadm create-keys |
ローカル truststore 内のその他の鍵をすべて削除するには、--force オプションを使用します。--force オプションを使用する場合、この手順を完了した後あとで、これらの鍵を再度追加する必要があります。
鍵を上書きすることを避ける場合は、--directory オプションを使用すると、デフォルトのセキュリティーディレクトリとは異なるディレクトリにこのファイルを生成できます。ただし、共通エージェントキャリアはデフォルトディレクトリの鍵だけを使用するため、生成した鍵をあとでデフォルトディレクトリのファイルに追加する必要が生じます。
クラスタがいったん構成されたあとは、create-keys - -force コマンドを実行するこの手順は繰り返さないでください。この手順を繰り返すと、以前に構成した証明書が失われます。
共通エージェントキャリアの鍵と証明書の再生成については、『Sun Cluster のシステム管理 (Solaris OS 版)』の「新しいセキュリティ証明書を構成する」を参照してください。
ノード phys-paris-1 とノード phys-newyork-1 の間で、ローカル認証局を交換します。
ノード phys-paris-1 上の証明書ディレクトリに移動します。
phys-paris-1# cd /etc/opt/SUNWcacao/security/nss/localca |
ノード phys-paris-1 からノード phys-newyork-1 に、証明書ファイル localca.cert をコピーします。
この手順では、ファイルのコピー元のクラスタを思い出せるように、localca.cert ファイルの名前を localca.cert.cluster-paris に変更します。
phys-paris-1# rcp localca.cert \ phys-newyork-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-paris |
ファイルをコピーした、ノード phys-newyork-1 上のディレクトリに移動します。
phys-newyork-1# cd /etc/opt/SUNWcacao/security/jsse |
localca.cert.cluster-paris ファイルから、ノード phys-newyork-1 上のローカルキーストアに証明書をインポートします。
この手順により、cluster-paris から、cluster-newyork の phys-newyork-1 ノードに、公開鍵が読み込まれます。
この手順は、/etc/opt/SUNWcacao/security/jsse ディレクトリから実行する必要があります。
phys-newyork-1# keytool -import -v -alias cluster-paris -keystore truststore \ -file localca.cert.cluster-paris |
keytool コマンドの truststore パラメータには、ファイルをコピーしたディレクトリに入っているファイルを指定します。-alias オプションには、証明書が生成されたリモートクラスタのクラスタ名を指定します。
キーストアパスワードを求められた場合は、trustpass と入力します。trustpass パスワードは、共通エージェントキャリアが提供する、秘密扱いではないパスワードです。truststore パラメータは、公開鍵と秘密鍵のペアの公開鍵を保持しているため、絶対的なセキュリティーは必要ありません。
証明書を信頼するかどうかを尋ねるメッセージには、yes と入力します。
証明書が正しくキーストアに追加されたことを確認します。
phys-newyork-1# keytool -list -v -keystore truststore |
ノード phys-newyork-1 とノード phys-paris-1 の間で、ローカル認証局を交換します。
ノード phys-newyork-1 上の証明書ディレクトリに移動します。
phys-newyork-1# cd /etc/opt/SUNWcacao/security/nss/localca |
インポートされる証明書は、localca.cert というファイル内にあります。
ノード phys-newyork-1 からノード phys-paris-1 に、証明書ファイルをコピーします。
この手順では、ファイルのコピー元のクラスタを思い出せるように、localca.cert の名前を localca.cert.cluster-newyork に変更します。
# rcp localca.cert \ phys-paris-1:/etc/opt/SUNWcacao/security/jsse/localca.cert.cluster-newyork |
ファイルをコピーした、ノード phys-paris-1 上のディレクトリに移動します。
phys-paris-1# cd /etc/opt/SUNWcacao/security/jsse |
ノード phys-paris-1 上のローカルキーストアに証明書をインポートします。
この手順を実行するには、ユーザーは /etc/opt/SUNWcacao/security/jsse ディレクトリに存在する必要があります。
phys-paris-1# keytool -import -v -alias cluster-newyork -keystore truststore \ -file localca.cert.cluster-newyork |
keytool コマンドの truststore パラメータは、ユーザーがファイルをコピーしたディレクトリ内に位置しています。-alias オプションは、証明書が生成されたリモートクラスタのクラスタ名を指定します。
キーストアパスワード求められた場合は、trustpass と入力します。trustpass パスワードは、共通エージェントキャリアが提供する、秘密扱いではないパスワードです。truststore パラメータは、公開鍵と秘密鍵のペアの公開鍵を保持しているため、絶対的なセキュリティーは必要ありません。
証明書を信頼するかどうかを尋ねるメッセージには、yes と入力します。
証明書が正しくキーストアに追加されたことを確認します。
phys-paris-1# keytool -list -v -keystore truststore |
ノード phys-paris-1 を除くクラスタ cluster-paris の各ノード上で、ノード phys-paris-1 から取得された /etc/opt/SUNWcacao/security/ ディレクトリとそのサブディレクトリのすべてを、/etc/opt/SUNWcacao/ ディレクトリにコピーします。
phys-paris-2# cd /etc/opt/SUNWcacao phys-paris-2# rcp -r phys-paris-1:/etc/opt/SUNWcacao/security . |
ノード phys-newyork-1 を除くクラスタ cluster-newyork の各ノード上で、ノード phys-newyork-1 から取得された /etc/opt/SUNWcacao/security ディレクトリとそのサブディレクトリのすべてを、/etc/opt/SUNWcacao/security にコピーします。
phys-newyork-2# cd /etc/opt/SUNWcacao phys-newyork-2# rcp -r phys-newyork-1:/etc/opt/SUNWcacao/security . |
各クラスタの各ノードで、証明書が正しく追加されたことを確認します。
セキュリティーディレクトリをコピーしたあと、1 つクラスタの全ノードに対する keytool list コマンドの出力では、ローカルの鍵とリモートの鍵に関して同じ値が示されます。リモートクラスタの全ノードで同じ値が表示されますが、ローカルタグとリモートタグは交換されます。
# cd /etc/opt/SUNWcacao/security/jsse # keytool -list -v -keystore truststore |
各クラスタの各ノード上で共通エージェントキャリアを再起動します。
# /opt/SUNWcacao/bin/cacaoadm start |