署名付きのパッケージ、パッチ、およびソフトウェア更新

パッケージには、デジタル署名を含めることができます。有効なデジタル署名付きのパッケージは、署名が適用された以降はパッケージの変更が行われていないことを保証します。署名付きパッケージを使用すると、パッケージをシステムに追加する前にデジタル署名を検証できるため、パッケージを安全にダウンロードまたは追加できます。

同じことが、署名付きパッチにも言えます。有効なデジタル署名付きのパッチは、署名が適用された以降はパッチの変更が行われていないことを保証します。署名付きパッチを使用すると、パッチをシステムに適用する前にデジタル署名を検証できるため、パッチを安全にダウンロードまたは適用できます。

署名付きパッチをシステムに「適用」する方法の詳細については、「patchadd コマンドによるパッチの管理 (作業マップ)」を参照してください。

署名付きパッケージの作成方法については、『アプリケーションパッケージ開発者ガイド』を参照してください。

署名付きパッケージは、デジタル署名が含まれる点以外は、署名なしパッケージとまったく同一です。このパッケージのインストール、照会、または削除は、既存の Solaris パッケージツールを使って行うことができます。また、署名付きパッケージと署名なしパッケージは、バイナリレベルで互換性があります。

pkgadd と patchadd を使ってデジタル署名付きのパッケージまたはパッチをシステムに追加するには、信頼される証明書を使ってパッケージキーストアを設定しておく必要があります。これらの証明書は、パッケージやパッチ上のデジタル署名の有効性を確認する際に使用されます。

Oracle の証明書をシステムのパッケージキーストアにインポートするときに特別なパスワードを使用することで、パッケージキーストアへのアクセスを保護できます。

証明書を使って署名付きのパッケージとパッチを検証する手順については、http://download.oracle.com/docs/cd/E17476_01/javase/1.4.2/docs/tooldocs/solaris/keytool.html を参照してください。

次では、署名付きのパッケージおよびパッチに関する一般的な用語を説明します。

キーストア

証明書と鍵を格納するためのリポジトリ。それらの情報が必要になると、このリポジトリが検索されます。

• Java キーストア – Solaris リリースでデフォルトでインストールされる証明書のリポジトリ。Java キーストアは通常、/usr/j2se/jre/lib/security ディレクトリに格納されます。

• パッケージキーストア – 署名付きパッケージおよびパッチをシステムに追加する際にインポートする証明書用のリポジトリ。

  パッケージキーストアは、デフォルトで /var/sadm/security ディレクトリに格納されます。

信頼される証明書

別のエンティティーに属する公開鍵を備えた証明書。「信頼される証明書」という呼び名は、証明書に含まれている公開鍵が、その証明書のサブジェクトまたは所有者によって示された本人のものであることを、キーストアの所有者が信頼することに由来しています。この信頼を表明するために、証明書の発行者はその証明書に署名します。

信頼される証明書は、署名を検証する際やセキュリティー保護されたサーバー (SSL サーバー) への接続を確立する際に使用されます。

ユーザー鍵

暗号鍵に関する機密情報を保持します。この情報は、不正なアクセスを防ぐために、セキュリティーが施された形式で格納されます。ユーザー鍵は、ユーザーの非公開鍵と対応する公開鍵証明書から構成されます。

pkgadd コマンドまたは patchadd コマンドを使って署名付きのパッケージまたはパッチをシステムに追加する手順は、基本的に次の 3 つから構成されます。

1. pkgadm コマンドを使ってシステムのパッケージキーストアに証明書を追加します。

2. (省略可能) pkgadm コマンドを使って証明書を一覧表示します。

3. pkgadd コマンドを使ってパッケージを追加するか、patchadd コマンドを使ってパッチを適用します。

patchadd コマンドを使って署名付きパッチをシステムに適用する詳細な手順については、「patchadd コマンドによるパッチの管理 (作業マップ)」を参照してください。