Sun ONE Identity Server 6.1 管理ガイド |
付録 B
Identity Server を SSL モードに設定するSSL (Secure Socket Layer) を単純な認証で使用することで、機密性とデータの整合性とが保証されます。
Identity Server では、SSL 通信と非 SSL 通信を同時に使用できます。つまり、SSL 通信と非 SSL 通信とを選択する必要はなく、同時に両方を使用できます。
以降の節では、4 種類の Web コンテナで実行する場合に、Identity Server を SSL モードに設定する手順について説明します。
セキュリティ保護された Sun ONE Web Server で Identity Server を設定するSun ONE Web Server で実行する Identity Server を SSL モードに設定するには、次の手順を参照してください。
- Identity Server コンソールで、インストール中に作成される最上位組織の「プロパティ」の矢印をクリックします。
「組織プロパティ」ウィンドウがデータフレームに表示されます。
- 「保存」をクリックして変更を保存します。
- Identity Server コンソールで、サービス設定モジュールに移動し、「プラットフォーム」サービスを選択します。「サーバーリスト」属性で http:// プロトコルを削除し、https:// プロトコルを追加します。「保存」をクリックします。
手順 4 〜手順 27 は Sun ONE Web Server について説明します。
- Web Server コンソールにログオンします。デフォルトのポート番号は、58888 です。
- Identity Server を実行している Web Server インスタンスを選択し、「Manage」をクリックします。
設定が変更されたことを知らせるポップアップウィンドウが表示されます。「OK」をクリックします。
- 画面の右上部にある「Apply」ボタンをクリックします。
- 「Apply Settings」をクリックします。
Web Server が自動的に再起動されます。「OK」をクリックして先に進みます。
- 選択した Web Server インスタンスを停止します。
- 「Security」タブをクリックします。
- 「Create Database」をクリックします。
- 新しいデータベースのパスワードを入力し、「OK」をクリックします。
後で使用するために、このデータベースパスワードを書き留めておくようにしてください。
- 証明書データベースが作成されたら、「Request a Certificate」をクリックします。
- 画面に表示されるフィールドにデータを入力します。
「Key Pair Field Password」フィールドは、手順 11 で入力した値と同じ値にします。場所のフィールドには、場所を完全名で入力する必要があります。「CA」などの省略形では動作しません。すべてのフィールドを定義する必要があります。「Common Name」フィールドには、使用している Web Server のホスト名を入力します。
- フォームを送信すると、次のようなメッセージが表示されます。
--BEGIN CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END CERTIFICATE REQUEST--
- このテキストをコピーし、証明書要求として送信します。
ルート CA 証明書を取得するようにしてください。
- 証明書の含まれた証明書応答が返されます。たとえば次のようになります。
--BEGIN CERTIFICATE---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END CERTIFICATE---
- このテキストをクリップボードにコピーするか、ファイルに保存します。
- Web Server コンソールで、「Install Certificate」をクリックします。
- 「Certificate for this Server」をクリックします。
- 「Key Pair File Password」フィールドに、証明書データベースのパスワードを入力します。
- 証明書を表示されたテキストフィールドに貼り付けます。またはラジオボタンをクリックし、テキストボックスにファイル名を入力します。「Submit」をクリックします。
ブラウザに証明書と、証明書を追加するボタンが表示されます。
- 「Install Certificate」をクリックします。
- 「Certificate for Trusted Certificate Authority」をクリックします。
- 両方の証明書をインストールしたら、Web Server コンソールで「Preferences」タブをクリックします。
- 別のポートで SSL を有効にしたい場合は、「Add Listen Socket」を選択します。次に、「Edit Listen Socket」を選択します。
- セキュリティ状態を「Disabled」から「Enabled」に変更し、「OK」をクリックして変更を実行します。
手順 28 〜手順 30 は、Identity Server について説明します。
- AMConfig.properties ファイルを開きます。このファイルの場所は、デフォルトで /opt/SUNWam/lib です。
- プロトコルで http:// が出現する箇所をすべて https:// に変更します。ただし Web Server インスタンスディレクトリの箇所は除きます。これは AMConfig.properties でも指定していますが、そのままにしておきます。
- AMConfig.properties ファイルを保存します。
- Web Server コンソールで、Web Server インスタンスをホスティングする Identity Server の「オン / オフ」ボタンをクリックします。
Web Server で「起動 / 停止」ページにテキストボックスが表示されます。
- このテキストフィールドに、証明書データベースのパスワードを入力し、「開始」を選択します。
セキュリティ保護された Sun ONE Application Server で Identity Server を設定するSSL が有効になっている Sun ONE Application Server 上で Identity Server を実行するには、次の 2 つのプロセスでセットアップを行います。まず、インストールされた Identity Server に対して Application Server をセキュリティで保護します。次に、Identity Server 自体を設定します。
Application Server で SSL をセットアップする
Application Server インスタンスをセキュリティで保護するには、次の手順を実行します。
- ブラウザに次のアドレスを入力して、Sun ONE Application Server コンソールに管理者としてログインします。
http://fullservername:port
デフォルトのポート番号は、4848 です。
- インストール時に入力したユーザー名とパスワードを入力します。
- Identity Server をインストールした (または、これからインストールする) Application Server インスタンスを選択します。設定が変更されたことが、右側のフレームに表示されます。
- 「変更の適用」をクリックします。
- 「再起動」をクリックします。Application Server が自動的に再起動されます。
- 左側のフレームで、「セキュリティ」をクリックします。
- 「データベースの管理」タブをクリックします。
- 「データベースを作成」が選択されていない場合は、それをクリックします。
- 新しいデータベースのパスワードを入力し、確認のパスワードを入力してから、「OK」をクリックします。後で使用するために、このデータベースパスワードを書き留めておくようにしてください。
- 証明書データベースが作成されたら、「証明書管理」タブをクリックします。
- 「要求」リンクが選択されていない場合は、それをクリックします。
- 証明書要求のデータを次のように入力します。
- 新規の証明書か、証明書の書き換えかを選択します。証明書の多くは、一定の期間が過ぎると期限切れになります。書き換え通知を自動的に送信する認証局 (CA) もあります。
- 証明書要求を送信する方法を指定します。
要求を電子メールメッセージで受け取る CA の場合は、「CA 電子メールアドレス」を選択し、CA の電子メールアドレスを入力します。CA の一覧を表示するには、「List of Available Certificate Authorities」をクリックします。
Sun ONE Certificate Server を使用している内部 CA に証明書を要求する場合は、「証明書発行局 URL」をクリックし、Certificate Server の URL を入力します。この URL は、Certificate Server で証明書要求を処理するプログラムを指している必要があります。
- 鍵ペアファイルのパスワードを入力します。これは、手順 9 で指定したパスワードです。
- 次の識別情報を入力します。
「共通名」: ポート番号も含む完全なサーバー名。
「リクエスタ名」: 要求者の名前。
「電話番号」: 要求者の電話番号。
「共通名」: デジタル証明書のインストール先となる Sun ONE Application Server の完全修飾名。
「電子メールアドレス」: 管理者の電子メールアドレス
「組織名」: 組織の名前。認証局によっては、この属性に入力されたホスト名が、この組織に登録済みのドメインに属していることが必要になります。
「組織単位名」: 部課名など、組織の運営単位の名前。
「地域」: 市区町村の名前。
「州または都道府県名」: 組織がアメリカ合衆国またはカナダで運営されている場合は、その州の名前。省略形は使用しないでください。
「国名」: 国を表す 2 文字の ISO コード。たとえば、アメリカ合衆国のコードは US です。
- 「OK」ボタンをクリックします。次のようなメッセージが表示されます。
--BEGIN NEW CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END NEW CERTIFICATE REQUEST--
- このテキスト全体をファイルにコピーし、「OK」をクリックします。ルート CA 証明書を取得するようにしてください。
- CA を選択し、その CA の Web サイトにある指示に従ってデジタル証明書を取得します。証明書は CMS、Verisign、または Entrust.net から取得できます。
- 認証局からデジタル証明書を受け取ったら、そのテキストをクリップボードにコピーするか、ファイルに保存します。
- Sun ONE Application Server コンソールに移動し、「インストール」リンクをクリックします。
- 「証明書」の「このサーバー」を選択します。
- 「鍵ペアファイルパスワード」フィールドに、証明書データベースのパスワードを入力します。これは、手順 9 で入力したパスワードです。
- 「メッセージ」テキストフィールドに、証明書をヘッダーも含めて貼り付けるか、ファイル名を入力します。適切なラジオボタンをクリックします。
- 「OK」ボタンをクリックします。ブラウザに証明書と、証明書を追加するボタンが表示されます。
- 「サーバー証明書を追加」をクリックします。
- 両方の証明書をインストールしたら、左側のフレームで「HTTP サーバー」ノードを展開します。
- 「HTTP サーバー」の下にある「HTTP リスナー」を選択します。
- http-listener-1 を選択します。ソケットの情報がブラウザに表示されます。
- http-listener-1 で使用するポートの値を、Application Server のインストール時に入力した値から、より適切な値 (443 など) に変更します。
- 「SSL/TLS を有効」を選択します。
- 「証明書のニックネーム」を選択します。
- 「戻すサーバー名」を指定します。手順 12 で指定した「共通名」と同じにする必要があります。
- 「保存」をクリックします。
- Sun ONE Identity Server ソフトウェアをインストールする Application Server インスタンスを選択します。設定が変更されたことが、右側のフレームに表示されます。
- 「変更の適用」をクリックします。
- 「再起動」をクリックします。Application Server が自動的に再起動されます。
Identity Server を SSL モードに設定する
Identity Server と WebLogic を連動させて、SSL モードで実行するように設定するには、手順を実行します。
- Identity Server コンソールで、インストール中に作成される最上位組織の「プロパティ」の矢印をクリックします。「組織プロパティ」ウィンドウがデータフレームに表示されます。
- 「保存」をクリックして変更を保存します。
- Identity Server コンソールで、サービス設定モジュールに移動し、「プラットフォーム」サービスを選択します。「サーバーリスト」属性で、同じ URL を HTTPS プロトコルで追加し、SSL が有効になっているポート番号を追加します。「保存」をクリックします。
- AMConfig.properties ファイルを開きます。デフォルトでは次の場所にあります。
/opt/SUNWam/lib
- プロトコルで http:// が出現する箇所をすべて https:// に変更します。また、ポート番号を、SSL が有効になっているポート番号に変更します。
- AMConfig.properties ファイルを保存します。
- Application Server を再起動します。