test

Sun Identity Manager 8.1 ビジネス管理者ガイド

デジタル署名付き承認およびアクションの設定

次の情報と手順を使用して、デジタル署名を設定します。次のものにデジタル署名できます。

この節では、& Product_IDMgr; に署名付き承認の証明書と CRL を追加するために必要な、サーバー側とクライアント側の設定について説明します。

Procedure署名付き承認に関するサーバー側の設定を有効にする

  1. システム設定オブジェクトを開いて、security.nonrepudiation.signedApprovals=true と設定します。

    システム設定オブジェクトを編集する方法については、「Identity Manager 設定オブジェクトの編集」を参照してください。

    PKCS11 を使用している場合は、security.nonrepudiation.defaultKeystoreType=PKCS11 も設定する必要があります。

    カスタム PKCS11 キープロバイダを使用している場合は、さらに security.nonrepudiation.defaultPKCS11KeyProvider=<プロバイダ名> も設定する必要があります。

    注 –

    カスタムプロバイダを記述する必要がある状況の詳細については、REF キットの次の項目を参照してください。


    com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc)
REF/transactionsigner/SamplePKCS11KeyProvider

    REF (Resource Extension Facility) キットは、製品の CD の /REF ディレクトリまたはインストールイメージにあります。

  2. 自分の認証局 (CA) の証明書を信頼できる証明書として追加します。そのためには、まず証明書のコピーを取得する必要があります。

    たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。

    1. http://IPAddress/certsrv にアクセスして、管理特権でログインします。

    2. 「CA 証明書または証明書失効リストの取得」を選択して、「次へ」をクリックします。

    3. CA 証明書をダウンロードして保存します。

  3. この証明書を Identity Manager に信頼できる証明書として追加します。

    1. 管理者インタフェースで、「セキュリティー」を選択し、「証明書」を選択します。「証明書」ページが表示されます。

      図 6–6 「証明書」ページ

      「証明書」ページの例を示す図

    2. 「信頼できる認証局証明書」領域で、「追加」をクリックします。「証明書のインポート」ページが表示されます。

    3. 信頼できる証明書を参照および選択して、「インポート」をクリックします。

      選択した証明書が、信頼できる証明書のリストに表示されます。

  4. 次の手順で、CA の証明書失効リスト (CRL) を追加します。

    1. 「証明書」ページの「CRL」領域で、「追加」をクリックします。

    2. CA の CRL の URL を入力します。

      注 –

      • 証明書失効リスト (CRL) は、失効したか有効ではない証明書シリアル番号のリストです。

      • CA の CRL の URL は http または LDAP にすることができます。

      • CRL 配布先の URL は CA ごとに異なりますが、CA 証明書の「CRL 配布点」拡張を参照して決めることができます。

  5. 「テスト接続」をクリックして、URL を確認します。

  6. 「保存」をクリックします。

  7. jarsigner を使用して applets/ts2.jar に署名します。

    注 –

    詳細については、http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html を参照してください。Identity Manager とともに提供されている ts2.jar ファイルは、自己署名付き証明書を使用して署名されているため、本稼働システムには使用しないでください。本稼働では、信頼できる CA によって発行されたコード署名証明書を使用して、このファイルを署名し直すことをお勧めします。

ProcedurePKCS12 を使用した署名付き承認のサーバー側設定を有効にする

PKCS12 を使用した署名付き承認のための設定情報は、次のとおりです。証明書と非公開鍵を取得して、PKCS#12 キーストアにエクスポートします。たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。

始める前に

Identity Manager では、JRE 1.5 以上が必要になりました。

  1. Internet Explorer を使用して、http://IPAddress /certsrv を参照し、管理特権でログインします。

  2. 証明書のリクエストを選択して、「次へ」をクリックします。

  3. リクエストの詳細設定を選択して、「次へ」をクリックします。

  4. 「次へ」をクリックします。

  5. 「証明書テンプレート」で「ユーザー」を選択します。

  6. 次のオプションを選択します。

    1. エクスポート可能なキーとして指定する

    2. 秘密キーの強力な保護を有効にする

    3. ローカルコンピュータストアを使用する

  7. 「送信」をクリックして、「OK」をクリックします。

  8. 「この証明書のインストール」をクリックします。

  9. 「ファイル名を指定して実行」を選択し、mmc と入力して mmc を起動します。

  10. 証明書スナップインを追加します。

    1. 「コンソール」、「スナップインの追加と削除」の順に選択します。

    2. 「追加」をクリックします。

    3. 「コンピュータアカウント」を選択します。

    4. 「次へ」をクリックして、「完了」をクリックします。

    5. 「閉じる」をクリックします。

    6. 「OK」をクリックします。

    7. 「証明書」、「個人」、「証明書」の順に選択します。

    8. 「管理者」を右クリックして、「すべてのタスク」、「エクスポート」の順に選択します。

    9. 「次へ」をクリックします。

    10. 「次へ」をクリックして、非公開鍵がエクスポートされていることを確認します。

    11. 「次へ」をクリックします。

    12. パスワードを設定して、「次へ」をクリックします。

    13. 証明書の場所を指定します。

    14. 「次へ」をクリックして、「完了」をクリックします。「OK」をクリックして確認します。

      注 –

      クライアント側の設定の手順 10l (パスワード) と 10m (証明書の場所) で使用した情報をメモしておいてください。この情報は、承認の署名のために必要です。

ProcedurePKCS11 を使用した署名付き承認のクライアント側設定を有効にする

署名付き承認に PCCS11 を使用している場合は、次の操作を行います。

  1. REF キットにある次のリソースを参照して、設定情報を確認します。


    com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc)
REF/transactionsigner/SamplePKCS11KeyProvider

    REF (Resource Extension Facility) キットは、製品の CD の /REF ディレクトリまたはインストールイメージにあります。