Sun N1 Service Provisioning System 5.1 インストールガイド

構成例

例 8–2 マスターサーバー、ローカルディストリビュータ、リモートエージェント間で認証を使用せずに SSL を構成する方法

マスターサーバー、ローカルディストリビュータ、リモートエージェントをインストールします。インストールプログラムが接続の種類を選択するように求めた場合に、SSL を選択します。暗号群を選択するように求められた場合、認証を伴わない暗号化を選択します。
各アプリケーションの config.properties ファイルに、次のプロパティを追加します。
net.ssl.cipher.suites=SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
複数の暗号群または異なる暗号群を有効にできます。複数の暗号群を有効にする場合は、パラメータとして、暗号群をコンマで区切ったリストを指定します。
ブラウザインタフェースで、新しいホストを作成します。
作成したホストで、接続タイプ SSL のローカルディストリビュータを追加します。
ローカルディストリビュータとの接続をテストします。
新しいホストを作成します。
作成したホストで、接続タイプ SSL のリモートエージェントを追加します。
リモートエージェントとの接続をテストします。

例 8–3 SSL サーバー認証を構成する方法

サーバー認証を要求する暗号群はデフォルトで有効になっています。したがって、暗号群を有効にするために config.properties ファイルに変更を加える必要はありません。

ローカルディストリビュータ用の鍵ペアを生成し、ローカルディストリビュータのプライベートキーストアに格納します。-mode downstream を指定します。
% ld/bin/crkeys –private –generate -mode downstream –alias ldhostname-downstream.cr.com –validity 365
ローカルディストリビュータ上のプライベートキーストア内の自己署名付き証明書をファイルにエクスポートします。
% ld/bin/crkeys –private –export –file ld-downstream.cert –alias ldhostname-downstream.cr.com
ローカルディストリビュータの自己署名付き証明書をマスターサーバーにコピーします。
自己署名付き証明書をマスターサーバーのトラストキーストアにインポートします。
% server/bin/crkeys –trust –import –file ld-downstream.cert –alias ldhostname-downstream.cr.com
新しいホストを作成します。
新しいホストで、接続タイプ SSL のローカルディストリビュータを追加します。
ローカルディストリビュータに対し、CLI net.gencfg コマンドを使用して、手動で transport.config ファイルを生成します。
transport.config ファイルをローカルディストリビュータにコピーします。
マスターサーバーとローカルディストリビュータが稼働している場合は、これらを停止します。
マスターサーバーとローカルディストリビュータを起動します。
マスターサーバーとローカルディストリビュータのキーストアのパスワードを入力します。
ローカルディストリビュータとの接続をテストします。
リモートエージェント用の鍵ペアを生成し、リモートエージェントのプライベートストアに格納します。-mode downstream を指定します。
% agent/bin/crkeys –private –generate -mode downstream –alias rahostname-downstream.cr.com –validity 365
リモートエージェント上のプライベートストア内の自己署名付き証明書をファイルにエクスポートします。
% agent/bin/crkeys –private –export –file ra-downstream.cert –alias rahostname-downstream.cr.com
リモートエージェントの自己署名付き証明書をローカルディストリビュータにコピーします。
自己署名付き証明書をローカルディストリビュータのトラストストアにインポートします。
% ld/bin/crkeys –trust –import –file ra-downstream.cert –alias rahostname-downstream.cr.com
新しいホストを作成します。
新しいホストで、接続タイプ SSL のリモートエージェントを追加します。
リモートエージェントに対し、CLI net.gencfg コマンドを使って、手動で transport.config ファイルを生成します。
transport.config ファイルをリモートエージェントにコピーします。
ローカルディストリビュータとリモートエージェントが稼働している場合は、これらを停止します。
ローカルディストリビュータとリモートエージェントを起動します。
ローカルディストリビュータとリモートエージェントのキーストアのパスワードを入力します。
リモートエージェントとの接続をテストします。

例 8–4 SSL サーバーおよびクライアント認証を構成する方法

マスターサーバー、ローカルディストリビュータ、リモートエージェントをインストールします。インストールプログラムが接続の種類を選択するように求めた場合に、SSL を選択します。暗号群を選択するように求められる際に、認証を伴う暗号化を選択します。
config.properties ファイルを編集して、使用する暗号群と符号化されたキーストアパスワードを含めます。

すべてのホストで同じキーストアパスワードを使用する必要があります。
ローカルディストリビュータ用の鍵ペアを生成し、ローカルディストリビュータのプライベートストアに格納します。-mode downstream を指定します。
% ld/bin/crkeys –private –generate -mode downstream –alias ldhostname-downstream.cr.com –validity 365
マスターサーバー用の鍵ペアを生成し、マスターサーバーのプライベートストアに格納します。-mode upstream を指定します。
% server/bin/crkeys –private –generate -mode upstream –alias mshostname-upstream.cr.com –validity 365
ローカルディストリビュータ上のプライベートストア内の自己署名付き証明書をファイルにエクスポートします。
% ld/bin/crkeys –private –export –file ld-downstream.cert –alias ldhostname-downstream.cr.com
ローカルディストリビュータの自己署名付き証明書をマスターサーバーにコピーします。
自己署名付き証明書をマスターサーバーのトラストストアにインポートします。
% server/bin/crkeys –trust –import –file ld-downstream.cert –alias ldhostname-downstream.cr.com
マスターサーバーのプライベートストア内の自己署名付き証明書をファイルにエクスポートします。
% server/bin/crkeys –private –export –file ms-upstream.cert –alias mshostname-upstream.cr.com
マスターサーバーの自己署名付き証明書をローカルディストリビュータにコピーします。
自己署名付き証明書をローカルディストリビュータのトラストストアにインポートします。
% ld/bin/crkeys –trust –import –file ms.cert –alias mshostname.cr.com
マスターサーバーとローカルディストリビュータが稼働している場合は、これらを停止します。
マスターサーバーとローカルディストリビュータを起動します。
マスターサーバーとローカルディストリビュータのキーストアのパスワードを入力します。
新しいホストを作成します。
新しいホストで、接続タイプ SSL のローカルディストリビュータを追加します。
ローカルディストリビュータとの接続をテストします。
リモートエージェント用の鍵ペアを生成し、リモートエージェントのプライベートストアに格納します。-mode downstream を指定します。
% agent/bin/crkeys –private –generate -mode downstream –alias rahostname-downstream.cr.com –validity 365
リモートエージェントのプライベートストア内の自己署名付き証明書をファイルにエクスポートします。
% agent/bin/crkeys –private –export –file ra-downstream.cert –alias rahostname-downstream.cr.com
リモートエージェントの自己署名付き証明書をローカルディストリビュータにコピーします。
自己署名付き証明書をローカルディストリビュータのトラストストアにインポートします。
% ld/bin/crkeys –trust –import –file ra-downstream.cert –alias rahostname-downstream.cr.com
ローカルディストリビュータ用の鍵ペアを生成し、ローカルディストリビュータのプライベートストアに格納します。-mode upstream を指定します。
% ls/bin/crkeys -private -generate -mode upstream - alias ldhostname-upstream.cr.com -validity 365
ローカルディストリビュータ上のプライベートストア内の自己署名付き証明書をファイルにエクスポートします。
% ld/bin/crkeys -private -export -file ld-upstream.cert -alias ldhostname-upstream.cr.com
手順 21 でエクスポートしたローカルディストリビュータの自己署名付き証明書をリモートエージェントマシンにコピーします。
自己署名付き証明書をリモートエージェントのトラストストアにインポートします。
% agent/bin/crkeys –trust –import –file ld-upstream.cert –alias ldhostname-upstream.cr.com
ローカルディストリビュータとリモートエージェントが稼働している場合は、これらを停止します。
ローカルディストリビュータとリモートエージェントを起動します。
ローカルディストリビュータとリモートエージェントのキーストアのパスワードを入力します。
新しいホストを作成します。
新しいホストで、接続タイプ SSL のリモートエージェントを追加します。
リモートエージェントとの接続をテストします。

例 8–5 CLI Client とマスターサーバー間の SSL 認証を構成する方法

マスターサーバーと CLI Client をインストールし、接続タイプを選択するプロンプトが表示されたら、SSL を選択します。暗号群を選択するように求められる際に、認証を伴う暗号化を選択します。
マスターサーバー用の鍵ペアを生成し、マスターサーバーのプライベートストアに格納します。
% server/bin/crkeys –private –generate –alias mshostname.cr.com –validity 365
CLI Client 用の鍵ペアを生成し、CLI Client のプライベートストアに格納します。
% cli/bin/crkeys -private -generate -alias clihostname.cr.com.cr.com -validity 365
マスターサーバーのプライベートストア内の自己署名付き証明書をファイルにエクスポートします。
% server/bin/crkeys –private –export –file ms.cert –alias mshostname.cr.com
マスターサーバーの自己署名付き証明書を CLI Client にコピーします。
自己署名付き証明書を CLI Client のトラストストアにインポートします。
% cli/bin/crkeys –trust –import –file ms.cert –alias mshostname.cr.com
CLI Client のプライベートストア内の自己署名付き証明書をファイルにエクスポートします。
% cli/bin/crkeys -private -export -file cli.cert -alias clihostname.cr.com
CLI Client の自己署名付き証明書をマスターサーバーにコピーします。
自己署名付き証明書をマスターサーバーのトラストストアにインポートします。
% server/bin/crkeys -trust -import -file cli.cert -alias clihostname.cr.com
マスターサーバーが実行中の場合は、停止します。
マスターサーバーを起動します。
マスターサーバーのキーストアのパスワードを入力します。
CLI Client で、config.properties ファイルを編集し、次の行をこのファイルに含めます。
net.ssl.key.store.pass=trust-store-password
CLI Client コマンドを実行し、接続を検証します。