この節では、Solaris 10 システム上の Sun 暗号化フレームワークと Directory Server および Directory Proxy Server を使用して、Sun 暗号化アクセラレータカードを使用する方法について簡単に説明します。フレームワークの詳細は、関連ドキュメントを参照してください。
この手順では、Sun 暗号化アクセラレータハードウェアとともに使用することを前提としています。次の手順は、Directory Server インスタンスを実行するユーザーと同じユーザーで実行してください。
pktool setpin コマンドを使用して、暗号化フレームワークにアクセスするときに使用する PIN を設定します。
Directory Server を実行しているユーザーと同じユーザーとして PIN を設定します。
現在の Directory Server 証明書を PKCS#12 ファイルにエクスポートします。
Directory Server インスタンスが /local/ds/ の下にある場合、次のコマンドを実行するとこの手順を実行する方法が示されます。
$ dsadm export-cert -o cert-file /local/ds defaultCert |
鍵データにアクセスするときに適切なトークンを使用するように Directory Server を設定します。
通常、トークンは Sun Metaslot です。
$ dsconf set-server-prop 'ssl-rsa-security-device:Sun Metaslot' |
Directory Server を停止します。
$ dsadm stop /local/ds |
(省略可能) Directory Server インスタンスの既存の証明書データベースにその他の証明書がない場合は、証明書データベースを削除します。
$ rm -f /local/ds/alias/*.db |
この省略可能な手順によって、証明書がソフトウェアデータベースに確実に格納されなくなります。
Solaris 暗号化フレームワークによって管理される新しい証明書データベースを作成します。
証明書を削除しなかった場合は、この例の modutil -create 行を実行する必要はありません。
$ /usr/sfw/bin/64/modutil -create -dbdir /local/ds/alias -dbprefix slapd- $ /usr/sfw/bin/64/modutil -add "Solaris Kernel Crypto Driver" -libfile \ /usr/lib/64/libpkcs11.so -dbdir /local/ds/alias -dbprefix slapd- $ /usr/sfw/bin/64/modutil -enable "Solaris Kernel Crypto Driver" \ -dbdir /local/ds/alias -dbprefix slapd- |
エクスポートした PKCS#12 証明書をインポートします。
$ /usr/sfw/bin/64/pk12util -i cert-file \ -d /local/ds/alias -P slapd- -h "Sun Metaslot" $ /usr/sfw/bin/64/certutil -M -n "Sun Metaslot:defaultCert" -t CTu \ -d /local/ds/alias -P slapd- |
アクセラレータボードに FIPS 140-2 キーストアがある場合は、デバイス上で非公開鍵が生成される必要があります。たとえば、Sun 暗号化アクセラレータ 4000 および 6000 ボードには、FIPS 140-2 キーストアがあります。正確なプロセスはボードによって異なります。
暗号化フレームワークへのアクセスに必要な PIN が含まれるパスワードファイルを作成します。
これは、手順 1 でパスワードを変更した場合のみ必要です。
$ echo "Sun Metaslot:password" > /local/ds/alias/slapd-pin.txt |
Directory Server を起動します。
$ dsadm start /local/ds |
この手順では、Sun 暗号化アクセラレータハードウェアとともに使用することを前提としています。次の手順は、Directory Proxy Server インスタンスを実行するユーザーと同じユーザーで実行してください。
Directory Proxy Server を停止します。
$ dpadm stop /local/dps |
証明書データベースのパスワード保存を無効にします。
$ dpadm set-flags /local/dps cert-pwd-prompt=on 証明書データベースのパスワードを選択: 証明書データベースのパスワードを確認: |
pktool setpin コマンドを使用して、暗号化フレームワークにアクセスするときに使用する PIN を設定します。
証明書データベースのパスワード保存を無効にしたときに入力したパスワードと同じパスワードを使用します。
キーストアとして暗号化フレームワークを使用して鍵ペアを生成します。
$ keytool -genkeypair -alias defaultDPScert -dname "ou=dps server,dc=example,dc=com" -keyalg RSA -sigalg MD5withRSA -validity 3652 -storetype PKCS11 -keystore NONE -storepass pin-password |
pin-password は、pktool setpin コマンドを使用して PIN として設定したパスワードです。
Directory Proxy Server 設定ファイルを編集して、次の属性をベースエントリ cn=config に追加します。
serverCertificateNickName: defaultDPScert certificateKeyStore: NONE certificateKeyStoreType: PKCS11
Directory Proxy Server を起動します。
$ dpadm start /local/dps |