test

N1 Service Provisioning System 4.1 インストールガイド

N1 Service Provisioning System 4.1 における SSL のサポートの概要

SSL は、IP ネットワーク経由の通信を保護するためのプロトコルです。 SSL では、TCP/IP ソケットテクノロジを利用してクライアントとサーバー間のメッセージ交換を行います。交換されるメッセージは、RSA の開発による公開鍵 - 非公開鍵暗号化システムで保護されます。 SSL は、Netscape Navigator、Microsoft の Web ブラウザをはじめとする大多数の Web サーバー製品でサポートされます。

第三者によるメッセージの読み取りや改ざんを防ぐため、SSL を使ってネットワーク通信を行うように N1 Service Provisioning System 4.1 アプリケーションを構成できます。 オプションとして、通信前に認証を行うように構成すれば、さらに高いネットワークセキュリティ効果を期待できます。

暗号群: 暗号化と認証の概要

SSL プロトコルは、さまざまな暗号アルゴリズム、暗号方式をサポートします。こうした暗号は、サーバーとクライアント間の認証、証明書の送信、セッションキーの確立などに使用されます。 認証が行われるかどうかは、SSL が接続に使用する暗号群によって決まります。

暗号群の選択は慎重に行なってください。 どのアプリケーションも、ノードが要求する最小限のセキュリティを提供する暗号群だけを有効にする必要があります。 SSL は、クライアントとサーバーの両方でサポートされる最も安全な暗号群を使用します。 低セキュリティの暗号群を有効化した場合、サン以外のクライアントは、暗号群のネゴシエーション時に、最小限のセキュリティしか提供しない暗号群を選択することがあります。この場合、サーバーは、安全性の低い暗号群を使用しなければならなくなります。

SSL は、次のモードで動作します。

インストール時、アプリケーション間の通信を保護する手段として SSL を選択すると、使用する暗号群を指定するプロンプトが表示されます。 暗号群の値は、config.properties ファイルの net.ssl.cipher.suites に格納されます。 選択内容によって、暗号群に次の値を設定できます。

サーバーの認証を必要とする、または必要としない SSL 暗号群の一覧は、「「SSL 暗号群」」を参照してください。 サーバーの認証を必要とする暗号群を対象に、クライアントの認証を構成することもできます。

認証キーストア

N1 Service Provisioning System 4.1 は、自己署名付き証明書をサポートします。 次の 2 種類のキーストアがあります。

クライアントサーバー認証で SSL を有効にした場合、各アプリケーションに、SSL が使用する 2 つのキーストアを構成する必要があります。2 つのキーストアのうち 1 つは、ほかのアプリケーションに対する自身の認証用、もう 1 つはほかのアプリケーションの認証用です。

サーバー認証だけで SSL を有効にした場合、SSL サーバーとして機能するアプリケーションにはプライベートキーストア、SSL クライアントとして機能するアプリケーションにはトラスト (パブリック) キーストアが必要になります。 パブリックキーストアは、Java Secure Sockets Extension (JSSE) v1.0.3 によって提供される独自の JKS フォーマットです。

両方のキーストアに、同一のパスワードを指定する必要があります。

たとえば、SSL を使って、SSL クライアントであるアプリケーション A と、SSL サーバーであるアプリケーション B を接続する場合について考えてみましょう。 どちらのアプリケーションも、サーバー認証を要求する暗号群を使用するように構成されています。 アプリケーション B のプライベートキーストアには公開鍵 - 非公開鍵のペア、アプリケーション A のトラストキーストアにはアプリケーション B の公開鍵が格納されていなければなりません。 アプリケーション A からアプリケーション B への接続を試みると、アプリケーション B はアプリケーション A に公開鍵を送信します。アプリケーション A は、この鍵と、トラストキーストア内の鍵を照合します。

アプリケーション B がクライアント認証を要求する場合、アプリケーション A のプライベートキーストアには公開鍵 - 非公開鍵のペア、アプリケーション B のトラストキーストアにはアプリケーション A の公開鍵が格納されていなければなりません。 アプリケーション A によって認証されたあと、アプリケーション B はアプリケーション A の公開鍵とトラストキーストア内の公開鍵を照合できます。

SSL でのパスワードの使用

トラストキーストアの操作にパスワードを設定した場合、このパスワードを使って、キーストアの整合性のチェックが行われます。 このパスワードでは、トラストキーストアの更新を防ぐことはできますが、トラストキーストア内へのアクセスを禁止することはできません。 トラストキーストアの内容に変更を加えたい場合は、パスワードを入力する必要があります。

プライベートキーストアの操作にパスワードを設定した場合、このパスワードを使って、キーストアの整合性のチェック、キーストアの内容の更新の禁止、非公開鍵のアクセスの暗号化と保護が行われます。

crkeys スクリプトは、両方のキーストアに同一のパスワードが指定されているかどうかの確認に使用されます。 証明書をインポートして、初めてトラストストアを作成するとき、このトラストストアには、crkeys スクリプトにより、プライベートストアと同じパスワードが設定されます (プライベートストアにパスワードが設定されている場合)。 同様に、初めてプライベートストアを作成するときも、crkeys により、プライベートストアにトラストストアと同じパスワードが設定されます (トラストストアにパスワードが設定されている場合)。

crkeys スクリプトを使って、アプリケーションの起動時にキーストアのパスワードプロンプトを表示し、パスワードを検証する場合は、-vpass オプションを指定します。 キーストアが存在する場合、crkeys スクリプトは、 キーストアのパスワードを求めるプロンプトを表示し、入力されたパスワードを照合します。 照合の結果、正しいパスワードであることが確認されると、標準出力にパスワードが表示されます。このパスワードは、その後、アプリケーションに渡されます。

N1 Service Provisioning System 4.1 上の SSL の制限事項

N1 Service Provisioning System 4.1 上の SSL 実装には、次の制限があります。