署名付き承認に関するサーバー側の設定を有効にする

1. システム設定オブジェクトを開いて、security.nonrepudiation.signedApprovals=true と設定します。

   システム設定オブジェクトを編集する方法については、「Identity Manager 設定オブジェクトの編集」を参照してください。

   PKCS11 を使用している場合は、security.nonrepudiation.defaultKeystoreType=PKCS11 も設定する必要があります。

   カスタム PKCS11 キープロバイダを使用している場合は、さらに security.nonrepudiation.defaultPKCS11KeyProvider=<プロバイダ名> も設定する必要があります。

   ---

   注 –

   カスタムプロバイダを記述する必要がある状況の詳細については、REF キットの次の項目を参照してください。

   com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider

   REF (Resource Extension Facility) キットは、製品の CD の /REF ディレクトリまたはインストールイメージにあります。

   ---

2. 自分の認証局 (CA) の証明書を信頼できる証明書として追加します。そのためには、まず証明書のコピーを取得する必要があります。

   たとえば、Microsoft CA を使用している場合には、行う手順は次のようになります。

   1. http://IPAddress/certsrv にアクセスして、管理特権でログインします。

   2. 「CA 証明書または証明書失効リストの取得」を選択して、「次へ」をクリックします。

   3. CA 証明書をダウンロードして保存します。

3. この証明書を Identity Manager に信頼できる証明書として追加します。

   1. 管理者インタフェースで、「セキュリティー」を選択し、「証明書」を選択します。「証明書」ページが表示されます。

      図 6–6 「証明書」ページ

      
      

   2. 「信頼できる認証局証明書」領域で、「追加」をクリックします。「証明書のインポート」ページが表示されます。

   3. 信頼できる証明書を参照および選択して、「インポート」をクリックします。

      選択した証明書が、信頼できる証明書のリストに表示されます。

4. 次の手順で、CA の証明書失効リスト (CRL) を追加します。

   1. 「証明書」ページの「CRL」領域で、「追加」をクリックします。

   2. CA の CRL の URL を入力します。

      ---

      注 –

      • 証明書失効リスト (CRL) は、失効したか有効ではない証明書シリアル番号のリストです。

      • CA の CRL の URL は http または LDAP にすることができます。

      • CRL 配布先の URL は CA ごとに異なりますが、CA 証明書の「CRL 配布点」拡張を参照して決めることができます。

      ---

5. 「テスト接続」をクリックして、URL を確認します。

6. 「保存」をクリックします。

7. jarsigner を使用して applets/ts2.jar に署名します。

   ---

   注 –

   詳細については、http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html を参照してください。Identity Manager とともに提供されている ts2.jar ファイルは、自己署名付き証明書を使用して署名されているため、本稼働システムには使用しないでください。本稼働では、信頼できる CA によって発行されたコード署名証明書を使用して、このファイルを署名し直すことをお勧めします。

   ---