N1 Service Provisioning System 5.1 における SSL の制限

N1 Service Provisioning System 5.1 の SSL 実装には、次のような制限があります。

• トラストキーストアとプライベートキーストアには同じパスワードを設定する必要があります。また、プライベートキーストア内において、ストア内の各キーのパスワードはストアパスワードと同じでなければなりません。この制限は、キーの作成に使用された crkeys スクリプトによって適用されます。

• CLI Client アプリケーションのクライアント認証を有効に設定することはできますが、セキュリティーの制限上この設定はサポートされません。CLI Client アプリケーションは、キーストアパスワードの入力を求めるプロンプトを表示しません。キーストアが作成されている場合は、符号化パスワードを CLI Client プロパティファイルに指定する必要があります。

• N1 Service Provisioning System 5.1 は、接続する側と接続される側で同一のトラストキーストアを使用します。このため、たとえばマスターサーバーがリモートエージェントに接続し、その公開鍵を信頼するとします。リモートエージェントが危険にさらされた場合、CLI Client がクライアント認証を使用するように設定されていれば、リモートエージェントの鍵を使用して、マスターサーバーに対して CLI Client の認証を行えます。同様に、ローカルディストリビュータがリモートエージェントに接続し、リモートエージェントが危険にさらされた場合、ローカルディストリビュータを使用してマスターサーバーにコマンドを発行できます。

  このような問題からマスターサーバーとローカルディストリビュータを保護するには、それらに接続を認められているサーバーからの接続だけを受け入れるようにアプリケーションを設定します。ローカルディストリビュータは、その親ノードからの接続だけを受け入れるようにし、マスターサーバーは指定されている CLI ホストからの接続だけを受け入れるようにします。手順については、第 9 章「Java 仮想マシンのセキュリティーポリシーの構成」を参照してください。

• SSH 接続の場合、リモートアプリケーション (ローカルディストリビュータまたはリモートエージェント) は自動的に起動します。これらのアプリケーションを起動するキーストアパスワードの入力プロンプトは表示されません。ただし、アプリケーションがキーストアを使用して初期化されている場合は、キーストアの符号化されたパスワードをプロパティファイルに指定する必要があります。

• SSH を使ってマスターサーバーに接続するように CLI Client を構成した場合、CLI Client は、ソケット経由でマスターサーバーに接続する SshProxy アプリケーションを利用してマスターサーバーに接続します。SshProxy は SSL 経由でマスターサーバーに接続できますが、この構成はサポートされていません。

• Windows アプリケーションの場合、符号化されたキーストアパスワードをプロパティファイルで指定する必要があります。