N1 Service Provisioning System 4.1 上の SSL の制限事項

N1 Service Provisioning System 4.1 上の SSL 実装には、次の制限があります。

• 自己署名付き証明書以外はサポートされない。 トラストキーストアには自己署名付き証明書しか格納されない。 CA 署名付き証明書は使用できない

• トラストキーストアとプライベートキーストアに同一のパスワードを設定する必要がある。 また、プライベートキーストア内の各キーにストアと同一のパスワードを設定する必要がある。 この制限は、キーを作成するのに使用された crkeys スクリプトによって実行される

• パスワードは端末にエコーされる。 POSIX プラットフォーム上でこの制限を克服するには、端末エコーを無効にし、パスワードプロンプトを表示する起動スクリプトを作成する

• CLI クライアントアプリケーションのクライアント認証を有効にしても、この設定は、セキュリティの制限上サポートされない。 CLI クライアントアプリケーションは、キーストアパスワードの入力を求めるプロンプトを表示しない。 作成されたキーストアは、CLI クライアントのプロパティファイル内になければならない。

  N1 Service Provisioning System 4.1 は、接続する側と接続される側で同一のトラストキーストアを使用する。 よって、たとえば Master Server が Remote Agent に接続し、この Remote Agent の公開鍵を信頼する場合は、たとえ Remote Agent に欠陥が生じても、CLI クライアントがクライアント認証を使用する設定になっているならば、この Remote Agent の鍵を使って、Master Server に対して CLI クライアントの認証を行うことができる。

  CLI クライアントのクライアント認証はサポートされていない。よって、CLI クライアントはトラストストアしか持たない。 パスワードの使用には、トラストストアが改ざんされていないことを確認できるという利点がある。 パスワードはプロパティファイル内に指定できるが、CLI クライアントの実行のたびにユーザーにパスワードの入力を求めるほうが、セキュリティ効果が高い

• SSH 接続の場合、リモートアプリケーション、Local Distributor、Remote Agent は自動的に起動する。 これらのアプリケーションを起動するキーストアパスワードの入力プロンプトは表示されない。 ただし、アプリケーションの初期化時にキーストアを使用した場合、プロパティファイルにキーストアパスワードを指定する必要がある

• SSH を使って Master Server に接続するようにCLI クライアントを構成した場合、CLI クライアントは、Master Server にソケットを使って接続する SshProxy アプリケーションを利用して Master Server に接続する。 SshProxy は SSL を介して Master Server に接続できるが、この構成はサポートされていない