Solaris 10 システムで Sun 暗号化フレームワークを使用する

この節では、Solaris 10 システム上の Sun 暗号化フレームワークと Directory Server および Directory Proxy Server を使用して、Sun 暗号化アクセラレータカードを使用する方法について簡単に説明します。フレームワークの詳細は、関連ドキュメントを参照してください。

Solaris 10 システムで暗号化ハードウェアとともに Directory Server を使用する

始める前に

この手順では、Sun 暗号化アクセラレータハードウェアとともに使用することを前提としています。次の手順は、Directory Server インスタンスを実行するユーザーと同じユーザーで実行してください。

1. pktool setpin コマンドを使用して、暗号化フレームワークにアクセスするときに使用する PIN を設定します。

   Directory Server を実行しているユーザーと同じユーザーとして PIN を設定します。

2. 現在の Directory Server 証明書を PKCS#12 ファイルにエクスポートします。

   Directory Server インスタンスが /local/ds/ の下にある場合、次のコマンドを実行するとこの手順を実行する方法が示されます。

   $ dsadm export-cert -o cert-file /local/ds defaultCert

3. 鍵データにアクセスするときに適切なトークンを使用するように Directory Server を設定します。

   通常、トークンは Sun Metaslot です。

   $ dsconf set-server-prop 'ssl-rsa-security-device:Sun Metaslot'

4. Directory Server を停止します。

   $ dsadm stop /local/ds

5. (省略可能) Directory Server インスタンスの既存の証明書データベースにその他の証明書がない場合は、証明書データベースを削除します。

   $ rm -f /local/ds/alias/*.db

   この省略可能な手順によって、証明書がソフトウェアデータベースに確実に格納されなくなります。

6. Solaris 暗号化フレームワークによって管理される新しい証明書データベースを作成します。

   証明書を削除しなかった場合は、この例の modutil -create 行を実行する必要はありません。

   $ /usr/sfw/bin/64/modutil -create -dbdir /local/ds/alias -dbprefix slapd- $ /usr/sfw/bin/64/modutil -add "Solaris Kernel Crypto Driver" -libfile \ /usr/lib/64/libpkcs11.so -dbdir /local/ds/alias -dbprefix slapd- $ /usr/sfw/bin/64/modutil -enable "Solaris Kernel Crypto Driver" \ -dbdir /local/ds/alias -dbprefix slapd-

7. エクスポートした PKCS#12 証明書をインポートします。

   $ /usr/sfw/bin/64/pk12util -i cert-file \ -d /local/ds/alias -P slapd- -h "Sun Metaslot" $ /usr/sfw/bin/64/certutil -M -n "Sun Metaslot:defaultCert" -t CTu \ -d /local/ds/alias -P slapd-

   アクセラレータボードに FIPS 140-2 キーストアがある場合は、デバイス上で非公開鍵が生成される必要があります。たとえば、Sun 暗号化アクセラレータ 4000 および 6000 ボードには、FIPS 140-2 キーストアがあります。正確なプロセスはボードによって異なります。

8. 暗号化フレームワークへのアクセスに必要な PIN が含まれるパスワードファイルを作成します。

   これは、手順 1 でパスワードを変更した場合のみ必要です。

   $ echo "Sun Metaslot:password" > /local/ds/alias/slapd-pin.txt

9. Directory Server を起動します。

   $ dsadm start /local/ds

Solaris 10 システムで暗号化ハードウェアとともに Directory Proxy Server を使用する

始める前に

この手順では、Sun 暗号化アクセラレータハードウェアとともに使用することを前提としています。次の手順は、Directory Proxy Server インスタンスを実行するユーザーと同じユーザーで実行してください。

1. Directory Proxy Server を停止します。

   $ dpadm stop /local/dps

2. 証明書データベースのパスワード保存を無効にします。

   $ dpadm set-flags /local/dps cert-pwd-prompt=on 証明書データベースのパスワードを選択: 証明書データベースのパスワードを確認:

3. pktool setpin コマンドを使用して、暗号化フレームワークにアクセスするときに使用する PIN を設定します。

   証明書データベースのパスワード保存を無効にしたときに入力したパスワードと同じパスワードを使用します。

4. キーストアとして暗号化フレームワークを使用して鍵ペアを生成します。

   $ keytool -genkeypair -alias defaultDPScert -dname "ou=dps server,dc=example,dc=com" -keyalg RSA -sigalg MD5withRSA -validity 3652 -storetype PKCS11 -keystore NONE -storepass pin-password

   pin-password は、pktool setpin コマンドを使用して PIN として設定したパスワードです。

5. Directory Proxy Server 設定ファイルを編集して、次の属性をベースエントリ cn=config に追加します。

   serverCertificateNickName: defaultDPScert
   certificateKeyStore: NONE
   certificateKeyStoreType: PKCS11

6. Directory Proxy Server を起動します。

   $ dpadm start /local/dps