第 7 章 SSL を使用するための N1 Grid Service Provisioning System 5.0 の構成

この章では、Socket Layer (SSL) を使用して通信を行うように N1 Grid Service Provisioning System 5.0 を構成する方法について説明しています。この章の内容は、次のとおりです。

• 「N1 Grid Service Provisioning System 5.0 での SSL サポートの概要」

• 「SSL の構成 – 作業概要」

• 「Master Server のブラウザインタフェースからの HTTPS 接続の有効化」

• 「キーストアの作成」

• 「SSL の構成」

• 「構成例」

• 「SSL 暗号群」

N1 Grid Service Provisioning System 5.0 での SSL サポートの概要

SSL は、IP ネットワーク上の通信を保護するためのプロトコルです。SSL は、TCP/IP ソケット技術を使用してクライアントとサーバー間のメッセージ交換を行い、RSA が開発した公開 / 非公開鍵ペア暗号化システムを使用してそのメッセージを保護します。SSL は、ほとんどの Web サーバー製品でサポートされるほか、Netscape Navigator ブラウザと Microsoft Web ブラウザでもサポートされます。

メッセージの傍受や改ざんを防止するため、ネットワーク通信に SSL を使用するように N1 Grid Service Provisioning System 5.0 アプリケーションを構成できます。また、通信前に SSL を使用して認証を行うようにアプリケーションを構成すれば、ネットワークセキュリティがさらに高まります。

暗号群:暗号化と認証の概要

サーバーとクライアント間の相互認証、証明書の送信、セッション鍵の確立などのために、SSL プロトコルでは各種の暗号アルゴリズム (暗号方式) がサポートされます。認証が行われるかどうかは、SSL が接続に使用する暗号群によって決まります。

暗号群は慎重に選択する必要があります。各アプリケーションの設定では、ノードが要求する最小限のセキュリティを提供する暗号群だけを有効にしてください。SSL は、クライアントとサーバーの双方がサポートする暗号群の中からもっともセキュリティレベルの高い暗号群を使用します。低セキュリティの暗号群を有効にすると、Sun 以外のクライアントは暗号群のネゴシエーションの際にセキュリティレベルがもっとも低い暗号群しかサポートしなくなり、サーバーはセキュリティレベルが比較的低い暗号群の使用を余儀なくされる可能性があります。

SSL は、次のモードで動作します。

• 暗号化のみ (認証なし) – 接続は暗号化されるが、接続するアプリケーションの認証は行われません。

• サーバーの認証 – クライアントは接続先であるサーバーの認証を行います。

• サーバーとクライアントの認証 – クライアントとサーバーの双方が互いに認証し合います。

インストール時にアプリケーション間の通信を保護する手段として SSL を選択すると、使用する暗号群の選択を求めるメッセージが表示されます。暗号群の値は、net.ssl.cipher.suites の値で config.properties ファイルに保存されます。暗号群の値は、選択に応じて次のように設定できます。

• 「暗号化のみ (認証なし)」を選択した場合、暗号群は SSL_DH_anon_WITH_3DES_EDE_CBC_SHA に設定されます。

• 「暗号化 (認証あり)」を選択した場合、暗号群は SSL_RSA_WITH_3DES_EDE_CBC_SHA に設定されます。

AIX サーバー上の Local Distributor で SSL を使用する場合、SSL 暗号群は認証による暗号化に設定されます。認証を伴わない暗号化は、AIX サーバーで稼働している Local Distributor では利用できません。

サーバー認証を必要とする SSL 暗号群とサーバー認証を必要としない SSL 暗号群の一覧は、「SSL 暗号群」を参照してください。クライアント認証は、サーバー認証を必要とする暗号群だけを対象に構成することもできます。

N1 Grid Service Provisioning System 5.0 アプリケーションの SSL 構成は、認証を伴わない暗号化と認証を伴う暗号化のどちらも行えます。認証を伴う暗号化では、クライアントとサーバーの認証が行われます。前述のような構成が可能ですが、認証を伴う暗号化がもっとも安全です。

認証キーストア

N1 Grid Service Provisioning System 5.0 は、自己署名付き証明書と認証局によって署名される証明書をサポートします。次の 2 種類のキーストアがあります。

• プライベートキーストア – アプリケーションがほかのアプリケーションに接続する際にそれ自体の認証に使用する公開 / 非公開鍵ペアが格納されます。

• トラストキーストア – キーストアによって信頼されアプリケーションへの接続が許可されるその他のアプリケーションの公開鍵が、自己署名付き証明書の形で格納されます。

「クライアントとサーバーの相互認証」で SSL を有効にした場合は、有効にした各アプリケーションに、SSL が使用する 2 つのキーストアを構成する必要があります。その 1 つは、SSL がほかのアプリケーションに対しそれ自体を認証するためのキーストアで、もう 1 つはほかのアプリケーションを認証するためのキーストアです。

「サーバーのみの認証」で SSL を有効にした場合は、SSL サーバーとして機能するアプリケーションにはプライベートキーストア、SSL クライアントとして機能するアプリケーションには公開 (トラステッド) キーストアが必要になります。公開キーストアは、Java Secure Sockets Extension (JSSE) v1.0.3 によって提供されている独自の JKS フォーマットになります。

これらのキーストアは、どちらもパスワードを指定する必要があります。このパスワードは、両キーストアで同一のものでなければなりません。

例として、アプリケーション A (SSL クライアント) とアプリケーション B (SSL サーバー) を SSL を使用して相互接続する場合を考えてみましょう。両方とも、サーバー認証を要求する暗号群を使用するように構成されています。アプリケーション B は、そのプライベートキーストアに公開 / 非公開鍵ペアが格納されていなければなりません。一方アプリケーション A は、そのトラストキーストアにアプリケーション B の公開鍵が格納されていなければなりません。アプリケーション A がアプリケーション B への接続を試みると、アプリケーション B はアプリケーション A に公開鍵を送信します。アプリケーション A は、トラストキーストア内にこの公開鍵が入っているかを確認することによってこの鍵を検証できます。

クライアント認証を要求するようにアプリケーション B が構成されている場合、アプリケーション A のプライベートキーストアには公開 / 非公開鍵ペアが格納されていなければなりません。同時に、アプリケーション B のトラストキーストアにはアプリケーション A の公開鍵が格納されていなければなりません。アプリケーション A がアプリケーション B の認証を行なったあと、アプリケーション B はそのトラストキーストアに鍵が入っているかを確認することによってアプリケーション A の公開鍵を検証できます。

SSL でのパスワードの使用

トラストキーストアの処理にパスワードを指定した場合、このパスワードはキーストアの整合性の検査にだけ使用されます。このパスワードはトラストキーストアのコンテンツに対するアクセスは防止しませんが、トラストキーストアの更新は防止します。ユーザーは、パスワードを指定しなければキーストアの内容を変更することはできません。

プライベートキーストアの処理にパスワードを指定した場合、このパスワードは、キーストアの整合性の検査、キーストアの内容の更新の禁止、非公開鍵のアクセスの暗号化と保護に使用されます。

crkeys スクリプトは、両方のキーストアに同一のパスワードが指定されているかどうかの確認に使用されます。証明書をインポートして初めてトラストストアを作成するときに、プライベートストア内にパスワードが存在すると、これと同じパスワードが crkeys スクリプトによってトラストストアに設定されます。 同様に、初めてプライベートストアを作成するときに、トラストストア内にパスワードが存在すると、これと同じパスワードが crkeys スクリプトによってプライベートストアに設定されます。

N1 Grid Service Provisioning System 5.0 における SSL の制限

N1 Grid Service Provisioning System 5.0 の SSL 実装には、次のような制限があります。

• トラストキーストアとプライベートキーストアには同じパスワードを設定する必要があります。また、プライベートキーストア内において、ストア内の各キーのパスワードはストアパスワードと同じでなければなりません。この制限は、キーの作成に使用された crkeys スクリプトによって適用されます。

• CLI Client アプリケーションのクライアント認証を有効に設定することはできますが、セキュリティの制限上この設定はサポートされません。CLI Client アプリケーションは、キーストアパスワードの入力を求めるプロンプトを表示しません。キーストアが作成された場合、CLI Client のプロパティファイル内にこのキーストアが含まれる必要があります。

• N1 Grid Service Provisioning System 5.0 は、接続する側と接続される側で同一のトラストキーストアを使用します。このため、たとえば Master Server が Remote Agent に接続し、その公開鍵を信頼するとします。Remote Agent が危険にさらされた場合、CLI Client がクライアント認証を使用するように設定されていれば、Remote Agent の鍵を使用して、Master Server に対して CLI Client の認証を行えます。同様に、Local Distributor が Remote Agent に接続し、Remote Agent が危険にさらされた場合、Local Distributor を使用して Master Server にコマンドを発行できます。

  このような問題から Master Server と Local Distributor を保護するには、それらに接続を認められているサーバーからの接続だけを受け入れるようにアプリケーションを設定します。Local Distributor は、その親ノードからの接続だけを受け入れるようにし、Master Server は指定されている CLI ホストからの接続だけを受け入れるようにします。手順については、第 8 章「Java 仮想マシンのセキュリティポリシーの構成」を参照してください。

• SSH 接続の場合、リモートアプリケーション (Local Distributor または Remote Agent ) は自動的に起動します。これらのアプリケーションを起動するキーストアパスワードの入力プロンプトは表示されません。ただし、アプリケーションがキーストアを使用して初期化されている場合は、キーストアのパスワードをプロパティファイルに指定する必要があります。

• SSH を使って Master Server に接続するように CLI Client を構成した場合、CLI Client は、ソケット経由で Master Server に接続する SshProxy アプリケーションを利用して Master Server に接続します。SshProxy は SSL 経由で Master Server に接続できますが、この構成はサポートされていません。

SSL の構成 – 作業概要

次に、SSL を使用するように N1 Grid Service Provisioning System 5.0 を構成するために必要な作業の概要を示します。

1. 使用する SSL 接続を決定します。

   詳細は、「N1 Grid Service Provisioning System 5.0 での SSL サポートの概要」を参照してください。

2. (省略可能) HTTPS を使用する Master Server ブラウザインタフェースを有効にします。

   「Master Server のブラウザインタフェースからの HTTPS 接続の有効化」を参照してください。

3. crkeys コマンドを使用してキーストアを作成します。

   「キーストアの作成」を参照してください。

4. config.properties ファイルを編集して SSL を構成します。

   「SSL の構成」を参照してください。

Master Server のブラウザインタフェースからの HTTPS 接続の有効化

デフォルトでは、N1 Grid Service Provisioning System 5.0 ブラウザインタフェースは SSL を使用しません。要求は、HTTPS ではなく HTTP 経由で行われます。HTTPS を有効にするには SSL 証明書を使用します。この場合、認証局が署名した証明書を使用するか、自己署名付き証明書を使用するか選択できます。

認証局によって署名された証明書は、ブラウザによって信頼されます。このため、ブラウザはユーザーが Master Server 上のブラウザインタフェースに接続する場合に警告を出しません。一般に、認証局は証明書の署名に費用を請求します。

自己署名付き証明書は認証局による署名を待つ必要がないため、生成後すぐに使用できます。しかし、ブラウザは自己署名付き証明書を信頼しないため、ユーザーが Master Server のブラウザインタフェースに接続するたびに警告を表示します。

SSL 証明書の生成方法

ブラウザインタフェースに SSL を使用させるには、初めに SSL 証明書を生成する必要があります。

手順

1. JRE をインストールしたディレクトリに移動します。

   % cd JAVA-HOME/bin

   JAVA-HOME には、JRE をインストールしたディレクトリを指定します。N1 Grid Service Provisioning System 5.0 と共に JRE をインストールした場合は、JRE は N1SPS5.0-home/common/jre/bin ディレクトリに入っています。

2. 証明書を生成します。

   % keytool -genkey -alias tomcat -keyalg RSA -keystore /keystore-location -storepass password

   /keystore-location には、生成したキーを格納する場所とファイル名を指定します。

   password には、任意のパスワードを指定します。

3. メッセージに従って操作を進めます。

   組織名には区切り文字を入れないようにしていください。区切り文字が入ると、Java Certificate ツールは要求の生成に失敗します。共通名 (Common Name: CN) は、ドメイン名、URI のコンポーネントを含む完全修飾のホスト名である必要があります。

SSL 証明書の署名を取得する

認証局によって署名された証明書を使用する場合は、この手順に従って証明書を認証局に提出し、署名を依頼してください。

手順

1. 証明書要求を生成します。

   % keytool -certreq -v -alias tomcat -keyalg RSA -keystore /keystore-location

   /keystore-location には、生成したキーを格納した場所とファイル名を指定します。

2. この証明書要求を認証局へ送信します。

   認証局の指示に従います。認証局から、証明書応答 (Certificate Reply) が返送されてきます。

3. 証明書応答をファイルに保存します。

4. 証明書応答を確認します。

   % keytool -printcert -file certificate-reply-file

   certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。

5. 証明書応答ファイルを keystore ファイルにインポートします。

   % keytool -v -import -trustcacerts -keystore /keystore-location -file certificate-reply-file -alias tomcat

   /keystore-location には、生成したキーを格納した場所とファイル名を指定します。certificate-reply-file には、認証局から受け取った証明書応答のファイル名を指定します。

6. インポートされた証明書応答を確認します。

   % keytool -v -list -keystore /keystore-location

   /keystore-location には、生成したキーを格納した場所とファイル名を指定します。

Master Server のブラウザインタフェースからの HTTPS 接続を有効にする

SSL 証明書を生成し、(必要に応じて) 認証局から署名を受け取ったあと、SSL を使用するように Master Server のブラウザインタフェースを構成します。

手順

1. Master Server を停止します。

   % N1SPS5.0-MasterServer-home/server/bin/cr_server stop

   N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

2. キーストアファイルを Master Server のホームディレクトリに移動させます。

   %mv /keystore-location N1SPS5.0-MasterServer-home/server/tomcat/

   /keystore-location には、生成したキーを格納した場所とファイル名を指定します。N1SPS5.0-MasterServer-home は、Master Server をインストールしたディレクトリです。

3. キーストアファイルを移したディレクトリに移動します。

   % cd N1SPS5.0-MasterServer-home/server/tomcat/

   N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

4. キーストアファイルに所有権とアクセス権を設定します。

   %chmod 600 /keystore-location

   %chown MS_user:MS_group /keystore-location

   MS_user には、Master Server アプリケーションを所有するユーザーを指定します。MS_group には、Master Server アプリケーションを所有するグループを指定します。/keystore-location には、生成したキーを格納したファイル名を指定します。

5. Tomcat 構成ファイルが置かれているディレクトリに移動します。

   % cd /N1SPS5.0-MasterServer-home/server/tomcat/conf

   N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

6. server.xml ファイルで、次の行のコメントを解除します。XML コメントは、<!-- から --> までです。

   <Connector className="org.apache.catalina.connector.http.HttpConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="10" debug="0" scheme="https" secure="true"> <Factory className="org.apache.catalina.net.SSLServerSocketFactory" clientAuth="false" protocol="TLS"/> </Connector>

7. Factory 要素を次のように編集します。

   <Factory className="org.apache.catalina.net.SSLServerSocketFactory" clientAuth="false" protocol="TLS" keystoreFile="N1SPS5.0-MasterServer-home/server/tomcat/keystore-file" keystorePass="password"/>

   N1SPS5.0-MasterServer-home/server/tomcat/keystore-file には、keystore ファイルのパスを指定します。password には、本来のキーストアを作成した際に使用したパスワードを指定します。

SSL を使用して Master Server のブラウザインタフェースに接続するようにユーザーに要求する

SSL を使用するように Master Server のブラウザインタフェースを構成したあとで、ユーザーが N1 Grid Service Provisioning System Master Server 上の▼に接続する際に SSL を使用するように構成できます。▼（connect to the のあとの文字が不明）

SSL を使用して Master Server ブラウザインタフェースに接続するようにユーザーに要求する

手順

1. Tomcat の web.xml ファイルをセキュリティ保護された web.xml ファイルに置き換えます。

   % cd /N1SPS5.0-MasterServer-home/server/webapp/WEB-INF

   % cp web.xml.secure web.xml

   N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

2. Master Server を再起動します。

   % N1SPS5.0-MasterServer-home/server/bin/cr_server start

   N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

元の構成に戻す

手順

1. Master Server を停止します。

   % N1SPS5.0-MasterServer-home/server/bin/cr_server stop

   N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

2. 元の構成に戻すには、セキュリティ保護された web.xml ファイルをデフォルトの web.xml ファイルに置き換えます。

   % cd /N1SPS5.0-MasterServer-home/server/webapp/WEB-INF

   % cp web.xml.default web.xml

   N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

3. Master Server を再起動します。

   % N1SPS5.0-MasterServer-home/server/bin/cr_server start

   N1SPS5.0-MasterServer-home には、Master Server をインストールしたディレクトリを指定します。

キーストアの作成

N1 Grid Service Provisioning System 5.0 は、JRE に付属のキーツールユーティリティを使用します。 このキーツールユーティリティは、ユーザーがキーストアを作成できるようにシェルスクリプト crkeys にラップされています。このスクリプトを使用してユーザーは、keytool ユーティリティに正しいパラメータを指定することができます。

キーストアを作成すると、自己署名付き証明書の X.509 識別名が次のように設定されます。

CN=application_name OU=Engineering O=Sun Microsystems Inc L=Menlo Park ST=CA C=US

キーストアを作成する

手順

キーを生成します。

% crkeys -options

使用する SSL 接続の種類にもとづいてキーストアを作成する場合、次のオプションを使用します。

-alias application_hostname

証明書または鍵ペアの別名を指定します。アプリケーションのホスト名を別名として使用します。別名は、キーストア内で一意でなければなりません。

-cpass

キーストアとキーストア内のすべてのキーのパスワードを変更します。

-delete

エンティティを指定し、鍵のペアまたは証明書をキーストアから削除します。

-export

エンティティを指定し、自己署名付き証明書を特定のファイルにエクスポートします。

-file cert_file

証明書のインポート元またはエクスポート先となるファイルの名前を指定します。

-generate

別名を指定して新しい鍵ペアを生成します。

-help

すべてのオプションを一覧で表示します。

-import

このノードへの接続を許可されたエンティティの自己署名付き証明書をインポートします。証明書をインポートする際は、この証明書に記載されたノードのホスト名を別名として使用します。

-keyalg keyalg

鍵生成アルゴリズム。デフォルトは RSA です。RSA または DSA を指定できます。

-keysize keysize

キーサイズ。デフォルトは 1024 です。DSA 鍵の場合は 512 から 1024、RSA 鍵の場合は 512 から 2048 の範囲内の 64 の倍数を指定できます。

-list

キーストアに格納されているすべてのエンティティを一覧で表示します。

-new newpassword

キーストアとキーストア内のすべてのキーの新しいパスワードを指定します。パスワードの長さは、6 文字以上でなければなりません。

-password password

キーストアのパスワードを指定します。パスワードを指定しないと、ユーザーにパスワードの入力を求めるプロンプトが表示されます。パスワードの長さは、6 文字以上でなければなりません。

-private

操作の対象として、プライベートキーストアを指定します。

-validity days_valid

自己署名付き証明書の有効期間を日数で指定します。

-trust

操作の対象としてトラストキーストアを指定します。

例 7–1 crkeys のコマンド構文

次に、crkeys コマンドの使用例を示します。

公開 / 非公開鍵ペアを生成するには、次を実行します。

crkeys -private –generate –alias application_hostname [-keyalg keyalg] 
[-keysize keysize] [-validity days_valid] [–password password]

鍵ペアの自己署名付き公開鍵をファイルにエクスポートするには、次を実行します。

crkeys -private –export –file cert_file
 –alias application_hostname [–password password]

前の例のようにしてエクスポートした自己署名付き公開鍵をトラストストアにインポートするには、次を実行します。

crkeys –trust –import –file cert_file
 –alias application_hostname [-password password] 

鍵または鍵ペアを削除するには、次を実行します。

crkeys {-private|–trust} -delete
 –alias application_hostname [-password password] 

すべての公開鍵を一覧表示するには、次を実行します。

crkeys {-private|–trust} –list [-password password]

SSL キーストア (トラストキーストアとプライベートキーストア) のパスワードを変更するには、次を実行します。

crkeys –cpass -password oldpassword 
-new newpassword

crkeys コマンドの使用方法を出力するには、次を実行します。

crkeys -help

SSL の構成

インストール時に、各アプリケーションは次のように構成されます。

• サーバー認証を要求する暗号群をサポートする

• クライアント認証は要求しない

• N1SPS5.0-home/app/data/private.store ファイル内のプライベートキーストアを検出する

• N1SPS5.0-home/app/data/trust.store ファイル内のトラストキーストアを検出する

• 各キーストアに空のパスワードを渡す

アプリケーションごとに、次のセキュリティチェックが行われるように SSL 構成を変更することができます。

• 各アプリケーションの暗号群を選択的に有効化します。

  有効化する暗号群を明示的に指定できます。指定しない場合、リファレンス実装はデフォルトで有効になっている暗号群を使用します。リファレンス実装によって有効化されるデフォルトの暗号群は、サーバー認証を要求します。サポートされる暗号群については、「SSL 暗号群」を参照してください。

• 接続を求めてくる SSL クライアントをアプリケーションが認証するように指定します。

• プライベートキーストアおよびトラストキーストアの場所とパスワードを指定します。

認証を有効にするには、アプリケーションをインストールしたあとでキーストアを初期化する必要があります。

SSL を構成する

手順

(省略可能) config.properties ファイルを手動で編集し、SSL 構成を変更します。

次に、config.properties ファイル内の SSL 構成関連の設定を示します。使用する SSL 接続の種類に応じて、パラメータを変更してください。

パラメータ	デフォルト値	説明
net.ssl.cipher.suites	SSL_RSA_WITH_3DES_EDE_CBC_SHA	有効にする SSL 暗号群をコンマで区切って表示します。サポートされる SSL 暗号群については、「SSL 暗号群」を参照してください。
net.ssl.client.auth	false	SSL サーバーで、接続するクライアントを認証するかどうかを指定します。
net.ssl.key.store.pass		キーストアのパスワード。場合に応じて要求されます。詳細については、以下を参照してください。

---

注 –

net.ssl.key.store.pass パラメータは、N1 Grid Service Provisioning System 5.0 アプリケーションの SSL キーストアパスワードを指定します。このパラメータは、SSL キーストアを使用してアプリケーションを構成するが、アプリケーションの起動時にそのキーストアのパスワードを尋ねるプロンプトを表示させないようにする場合に使用してください。次のような場合には、このパラメータを指定する必要があります。

• システムのブート時に自動的に起動するように N1 Grid Service Provisioning System アプリケーションを設定する場合。

• Windows サーバーでは、N1 Grid Service Provisioning System アプリケーションはキーストアパスワードを求めるプロンプトを表示しません。このため、Windows サーバー上で SSL を使用するように構成されるアプリケーションはすべて、このパラメータを指定する必要があります。

• CLI アプリケーションは、キーストアパスワードを求めるプロンプトを表示しません。このため、SSL を使用するように構成する CLI Client はすべてこのパラメータを指定する必要があります。

• Local Distributor が SSH 経由でその親に接続される場合、Local Distributor はパスワードを求めるプロンプトを表示できません。

---

構成例

例 7–2 Master Server、Local Distributor 、Remote Agent 間で認証を使用せずに SSL を構成する方法

1. Master Server、Local Distributor、Remote Agent をインストールします。インストールプログラムが接続の種類を選択するように求めた場合に、SSL を選択します。暗号群を選択するように求められた場合、認証を伴わない暗号化を選択します。

2. 各アプリケーションの config.properties ファイルに、次のプロパティを追加します。

   net.ssl.cipher.suites=SSL_DH_anon_WITH_3DES_EDE_CBC_SHA

   複数の暗号群または異なる暗号群を有効にできます。複数の暗号群を有効にする場合は、パラメータとして、暗号群をコンマで区切ったリストを指定します。

3. ブラウザインタフェースで、新しいホストを作成します。

4. 作成したホストで、接続タイプ SSL の Local Distributor を追加します。

5. Local Distributor との接続をテストします。

6. 新しいホストを作成します。

7. 作成したホストで、接続タイプ SSL の Remote Agent を追加します。

8. Remote Agent との接続をテストします。

例 7–3 SSL サーバー認証を構成する方法

サーバー認証を要求する暗号群はデフォルトで有効になっています。したがって、暗号群を有効にするために config.properties ファイルに変更を加える必要はありません。

1. Local Distributor 用の鍵ペアを生成し、Local Distributor のプライベートキーストアに格納します。

   % ld/bin/crkeys –private –generate –alias ldhostname.cr.com –validity 365

2. Local Distributor 上のプライベートキーストア内の自己署名付き証明書をファイルにエクスポートします。

   % ld/bin/crkeys –private –export –file ld.cert –alias ldhostname.cr.com

3. Local Distributor の自己署名付き証明書を Master Server にコピーします。

4. 自己署名付き証明書を Master Server のトラストキーストアにインポートします。

   % server/bin/crkeys –trust –import –file ld.cert –alias ldhostname.cr.com

5. 新しいホストを作成します。

6. 新しいホストで、接続タイプ SSL の Local Distributor を追加します。

7. Local Distributor に対し、CLI net.gencfg コマンドを使って、手動で transport.config ファイルを生成します。

8. transport.config ファイルを Local Distributor にコピーします。

9. Master Server とLocal Distributor が稼働している場合は、これらを停止します。

10. Master Server と Local Distributor を起動します。

11. Master Server と Local Distributor のキーストアのパスワードを入力します。

12. Local Distributor との接続をテストします。

13. Remote Agent 用の鍵ペアを生成し、Remote Agent のプライベートストアに格納します。

    % agent/bin/crkeys –private –generate –alias rahostname.cr.com –validity 365

14. Remote Agent 上のプライベートストア内の自己署名付き証明書をファイルにエクスポートします。

    % agent/bin/crkeys –private –export –file ra.cert –alias rahostname.cr.com

15. Remote Agent の自己署名付き証明書を Local Distributor にコピーします。

16. 自己署名付き証明書を Local Distributor のトラストストアにインポートします。

    % ld/bin/crkeys –trust –import –file ra.cert –alias rahostname.cr.com

17. 新しいホストを作成します。

18. 新しいホストで、接続タイプ SSL の Remote Agent を追加します。

19. Remote Agent に対し、CLI net.gencfg コマンドを使って、手動で transport.config ファイルを生成します。

20. transport.config ファイルを Remote Agent にコピーします。

21. Local Distributor と Remote Agent が稼働している場合は、これらを停止します。

22. Local Distributor と Remote Agent を起動します。

23. Local Distributor と Remote Agent のキーストアのパスワードを入力します。

24. Remote Agent との接続をテストします。

例 7–4 SSL サーバーとクライアントの認証を構成する方法

1. Master Server、Local Distributor、Remote Agent をインストールします。インストールプログラムが接続の種類を選択するように求めた場合に、SSL を選択します。暗号群を選択するように求められる際に、認証を伴う暗号化を選択します。

2. Local Distributor 用の鍵ペアを生成し、Local Distributor のプライベートストアに格納します。

   % ld/bin/crkeys –private –generate –alias ldhostname.cr.com –validity 365

3. Master Server 用の鍵ペアを生成し、Master Server のプライベートストアに格納します。

   % server/bin/crkeys –private –generate –alias mshostname.cr.com –validity 365

4. Local Distributor 上のプライベートストア内の自己署名付き証明書をファイルにエクスポートします。

   % ld/bin/crkeys –private –export –file ld.cert –alias ldhostname.cr.com

5. Local Distributor の自己署名付き証明書を Master Server にコピーします。

6. 自己署名付き証明書を Master Server のトラストストアにインポートします。

   % server/bin/crkeys –trust –import –file ld.cert –alias ldhostname.cr.com

7. Master Server のプライベートストア内の自己署名付き証明書をファイルにエクスポートします。

   % server/bin/crkeys –private –export –file ms.cert –alias mshostname.cr.com

8. Master Server の自己署名付き証明書を Local Distributor にコピーします。

9. 自己署名付き証明書を Local Distributor のトラストストアにインポートします。

   % ld/bin/crkeys –trust –import –file ms.cert –alias mshostname.cr.com

10. Master Server と Local Distributor が稼働している場合は、これらを停止します。

11. Master Server と Local Distributor を起動します。

12. Master Server と Local Distributor のキーストアのパスワードを入力します。

13. 新しいホストを作成します。

14. 新しいホストで、接続タイプ SSL の Local Distributor を追加します。

15. Local Distributor との接続をテストします。

16. Remote Agent 用の鍵ペアを生成し、Remote Agent のプライベートストアに格納します。

    % agent/bin/crkeys –private –generate –alias rahostname.cr.com –validity 365

17. Remote Agent のプライベートストア内の自己署名付き証明書をファイルにエクスポートします。

    % agent/bin/crkeys –private –export –file ra.cert –alias rahostname.cr.com

18. Remote Agent の自己署名付き証明書を Local Distributor にコピーします。

19. 自己署名付き証明書を Local Distributor のトラストストアにインポートします。

    % ld/bin/crkeys –trust –import –file ra.cert –alias rahostname.cr.com

20. Local Distributor の自己署名付き証明書 (手順 4 でエクスポートしたもの) を Remote Agent マシンにコピーします。

21. 自己署名付き証明書を Remote Agent のトラストストアにインポートします。

    % agent/bin/crkeys –trust –import –file ld.cert –alias ldhostname.cr.com

22. Local Distributor と Remote Agent が稼働している場合は、これらを停止します。

23. Local Distributor と Remote Agent を起動します。

24. Local Distributor と Remote Agent のキーストアのパスワードを入力します。

25. 新しいホストを作成します。

26. 新しいホストで、接続タイプ SSL の Remote Agent を追加します。

27. Remote Agent との接続をテストします。

例 7–5 CLI Client と Master Server 間の SSL 認証を構成する方法

1. Master Server と CLI Client をインストールし、接続タイプを選択するプロンプトが表示されたら、SSL を選択します。暗号群を選択するように求められる際に、認証を伴う暗号化を選択します。

2. Master Server 用の鍵ペアを生成し、Master Server のプライベートストアに格納します。

   % server/bin/crkeys –private –generate –alias mshostname.cr.com –validity 365

3. CLI Client 用の鍵ペアを生成し、CLI Client のプライベートストアに格納します。

   % cli/bin/crkeys -private -generate -alias clihostname.cr.com.cr.com -validity 365

4. Master Server のプライベートストア内の自己署名付き証明書をファイルにエクスポートします。

   % server/bin/crkeys –private –export –file ms.cert –alias mshostname.cr.com

5. Master Server の自己署名付き証明書を CLI Client にコピーします。

6. 自己署名付き証明書を CLI Client のトラストストアにインポートします。

   % cli/bin/crkeys –trust –import –file ms.cert –alias mshostname.cr.com

7. CLI Client のプライベートストア内の自己署名付き証明書をファイルにエクスポートします。

   % cli/bin/crkeys -private -export -file cli.cert -alias clihostname.cr.com

8. CLI Client の自己署名付き証明書を Master Server にコピーします。

9. 自己署名付き証明書を Master Server のトラストストアにインポートします。

   % server/bin/crkeys -trust -import -file cli.cert -alias clihostname.cr.com

10. Master Server が実行中の場合は、停止します。

11. Master Server を起動します。

12. Master Server のキーストアのパスワードを入力します。

13. CLI Client で、config.properties ファイルを編集し、次の行をこのファイルに含めます。

    net.ssl.key.store.pass=trust-store-password

14. CLI Client コマンドを実行し、接続を検証します。

SSL 暗号群

Solaris OS、Red Hat Linux、Windows の暗号群

次に、Solaris OS、Red Hat Linux、Windows サーバーでサポートされる SSL 暗号群を示します。

以下は、サーバー認証を要求する暗号群です。

SSL_DHE_DSS_WITH_DES_CBC_SHA 
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA 
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA 
SSL_RSA_WITH_RC4_128_MD5 
SSL_RSA_WITH_RC4_128_SHA 
SSL_RSA_WITH_DES_CBC_SHA 
SSL_RSA_WITH_3DES_EDE_CBC_SHA 
SSL_RSA_EXPORT_WITH_RC4_40_MD5 
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA

以下は、サーバー認証を要求しない暗号群です。

SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA 
SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA 
SSL_DH_anon_WITH_DES_CBC_SHA 
SSL_DH_anon_WITH_RC4_128_MD5 
TLS_DH_anon_WITH_AES_128_CBC_SHA

以下は暗号化を伴わないサーバー認証を要求する暗号群です。

SSL_RSA_WITH_NULL_MD5 
SSL_RSA_WITH_NULL_SHA 

IBM AIX の暗号群

次に、IBM AIX サーバーでサポートされる SSL 暗号群を示します。

以下の暗号群はすべて、Remote Agent に使用できます。サーバー認証を要求しない暗号群は、Local Distributor には使用できません。

以下は、サーバー認証を要求する暗号群です。

SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_DES_CBC_SHA
SSL_RSA_FIPS_WITH_DES_CBC_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA
SSL_DHE_RSA_WITH_DES_CBC_SHA
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_DES_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA

以下は、サーバー認証を要求しない暗号群です。

サーバー認証を要求しない暗号群は、Local Distributor には使用できません。

SSL_DH_anon_WITH_RC4_128_MD5
SSL_DH_anon_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
SSL_DH_anon_EXPORT_WITH_RC4_40_MD5
SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA

以下は暗号化を伴わないサーバー認証を要求する暗号群です。

SSL_RSA_WITH_NULL_MD5
SSL_RSA_WITH_NULL_SHA