Sun Java System Calendar Server 6 2005Q4 管理ガイド

第 8 章 SSL の設定

Calendar Server は、カレンダクライアントのエンドユーザーと Calendar Server との間でデータを暗号化するために、SSL (Secure Sockets Layer) プロトコルをサポートしています。SSL をサポートするために、Calendar Server は Sun Java System Messaging Server でも使用されている NSS (Netscape Security Services) の SSL ライブラリを使用します。

ics.conf ファイルを使用して、Calendar Server のログインとパスワードだけ、またはカレンダセッション全体を暗号化するように Calendar Server を設定できます。

この章では、SSL の設定に必要な次の 3 つの作業とトラブルシューティングについて説明します。

注 –

Calendar Server はクライアントベースの SSL 認証をサポートしません。

Calendar Server の SSL 設定

証明書データベースを作成するには

Calendar Server に SSL を実装するには、証明書データベースが必要です。証明書データベースには、CA (証明書発行局) と Calendar Server の証明書を定義する必要があります。ここでは、概念的な情報と、作業に関する情報を提供します。

始める前に

証明書データベースを作成する前に、次のことを把握しておいてください。

Mozilla ツール — このリリースには次の Mozilla ツールが用意されています。
- 証明書データベースツール (certutil): 証明書データベースを作成、管理します。詳細は、次の Web サイトを参照してください。
```
http://mozilla.org/projects/security/pki/
        nss/tools/certutil.html
```
  ヒント –
  証明書データベースの生成を試みる前に、ツールの構文に慣れておいてください。
- セキュリティーモジュールデータベースツール (modutil): 使用できるセキュリティーモジュールに関する情報を表示します。詳細は、次の Web サイトを参照してください。
```
http://mozilla.org/projects/security/pki/
        nss/tools/modutil.html
```
  これらのユーティリティーは、次のディレクトリに格納されています。
```
/opt/SUNWics5/cal/lib
```
  または、最新バージョンを Web サイトからダウンロードしてください。
ライブラリパス変数 — Mozilla ツールを使用するには、事前に LD_LIBRARY_PATH 変数を適切に設定する必要があります。次に例を示します。
```
setenv LD_LIBRARY_PATH /opt/SUNWics5/cal/lib
```
例で使用するファイルとディレクトリ — この章で紹介する例は、次のファイルとディレクトリを使用します。
- alias は、証明書データベースを格納したディレクトリです。次のディレクトリの中に alias ディレクトリを作成します。
```
/var/opt/SUNWics5
```
  また、alias ディレクトリは定期的にバックアップしてください。
- sslPasswordFile は、証明書データベースのパスワードを記録したテキストファイルです。これは certutil ユーティリティーが使用するファイルで、Calendar Server は使用しません。次のディレクトリに sslPasswordFile を作成します。
```
/etc/opt/SUNWics5/config
```
- /etc/passwd には、乱数生成用のエントロピーが用意されています。つまり、このディレクトリは、乱数生成機能が真にランダムな結果を確実に生成するのに役立つ、有効で一意なシードを生成するために使用されます。

手順

スーパーユーザー (root) としてログインするか、スーパーユーザーになります。

/etc/opt/SUNWics5/config/sslPasswordFile に certutil の証明書データベースパスワードを指定します。次に例を示します。
# echo "password" /etc/opt/SUNWics5/config/sslPasswordFile
password には実際のパスワードを指定します。

証明書データベースの alias ディレクトリを作成します。次に例を示します。
# cd /var/opt/SUNWics5 # mkdir alias

bin ディレクトリに移動し、証明書データベース (cert8.db) と鍵データベース (key3.db) を生成します。次に例を示します。
# cd /opt/SUNWics5/cal/bin # ./certutil -N -d /var/opt/SUNWics5/alias -f /etc/opt/SUNWics5/config/sslPasswordFile
注 –
certutil ユーティリティーを実行する必要がある場合は、例に従って実行するか、または certutil のヘルプページを参照して構文を理解してください。

たとえばこの場合、-d /ファイル情報を指定せずに -N オプションを付けてユーティリティーを実行することは避けてください。

デフォルトの自己署名ルート CA (証明書発行局) 証明書を生成します。次に例を示します。

# ./certutil -S -n SampleRootCA -x -t "CTu,CTu,CTu"
 -s "CN=My Sample Root CA, O=sesta.com" -m 25000
 -o /var/opt/SUNWics5/alias/SampleRootCA.crt
 -d /var/opt/SUNWics5/alias
 -f /etc/opt/SUNWics5/config/sslPasswordFile -z
 /etc/passwd

ホスト用の証明書を生成します。次に例を示します。

# ./certutil -S -n SampleSSLServerCert -c SampleRootCA 
 -t "u,u,u"
 -s "CN=hostname.sesta.com, O=sesta.com" -m 25001
 -o /var/opt/SUNWics5/alias/SampleSSLServer.crt
 -d /var/opt/SUNWics5/alias 
 -f /etc/opt/SUNWics5/config/sslPasswordFile
 -z /etc/passwd

hostname.sesta.com はサーバーホスト名です。

証明書を検証します。次に例を示します。

# ./certutil -V -u V -n SampleRootCA  
    -d /var/opt/SUNWics5/alias
 # ./certutil -V -u V -n SampleSSLServerCert 
   -d /var/opt/SUNWics5/alias

証明書をリスト表示します。次に例を示します。

# ./certutil -L -d /var/opt/SUNWics5/alias
 # ./certutil -L -n SampleSSLServerCert 
   -d /var/opt/SUNWics5/alias

modutil を使用して、使用できるセキュリティーモジュール (secmod.db) をリスト表示します。次に例を示します。
# ./modutil -list -dbdir /var/opt/SUNWics5/alias

alias ファイルの所有者を icsuser と icsgroup (または Calendar Server を実行するそれ以外のユーザーとグループの ID) に変更します。次に例を示します。
# find /var/opt/SUNWics5/alias -exec chown icsuser {}; # find /var/opt/SUNWics5/alias -exec chgrp icsgroup {};

ルート CA (証明書発行局) に証明書を要求し、証明書をインポートするには

次の手順で、証明書要求の生成、PKI (Public Key Infrastructure) の Web サイトへの要求の送信、証明書のインポートを行う方法について説明します。

手順

スーパーユーザー (root) としてログインするか、スーパーユーザーになります。

bin ディレクトリに移動します。
# cd /opt/SUNWics5/cal/bin

certutil を使用して、証明書発行局または PKI (Public Key Infrastructure) の Web サイトに適した証明書要求を作成します。次に例を示します。

# ./certutil -R -s "CN=hostname.sesta.com, 
OU=hostname/ SSL Web Server, O=Sesta, 
C=US" -p "408-555-1234" -o hostnameCert.req 
-g 1024  -d /var/opt/SUNWics5/alias 
-f /etc/opt/SUNWics5/config/sslPasswordFile  -z /etc/passwd -a

ここで、“hostname.sesta.com” はサーバーホスト名です。

SSL Web サーバー用のテスト証明書を CA (証明書発行局) または PKI (Public Key Infrastructure) の Web サイトに要求します。hostnameCert.req ファイルの内容をコピーして証明書要求に貼り付けます。

証明書への署名が完了し、準備が整った時点で通知が送信されてきます。

証明書発行局証明書チェーンと SSL サーバー証明書をテキストファイルにコピーします。

証明書認証局証明書チェーンを証明書データベースにインポートし、認証チェーンを確立します。次に例を示します。

# ./certutil -A -n "GTE CyberTrust Root"
    -t "TCu,TCu,TCuw" 
    -d /var/opt/SUNWics5/alias 
    -a 
    -i /export/wspace/Certificates/CA_Certificate_1.txt
    -f /etc/opt/SUNWics5/config/sslPasswordFile
# ./certutil -A -n "Sesta TEST Root CA" 
    -t "TCu,TCu,TCuw" 
    -d /var/opt/SUNWics5/alias 
    -a 
    -i /export/wspace/Certificates/CA_Certificate_2.txt
    -f /etc/opt/SUNWics5/config/sslPasswordFile

署名された SSL サーバー証明書をインポートします。

# ./certutil -A -n "hostname SSL Server Test Cert"
    -t "u,u,u" -d /var/opt/SUNWics5/alias 
    -a 
    -i /export/wspace/Certificates/SSL_Server_Certificate.txt
    -f /etc/opt/SUNWics5/config/sslPasswordFile

証明書データベース内の証明書をリスト表示します。
# ./certutil -L -d /var/opt/SUNWics5/alias

ics.conf ファイルで、署名された SSL サーバー証明書の SSL サーバーニックネームを設定します。例: “hostname SSL Server Test Cert”

注: ics.conf ファイルの service.http.calendarhostname パラメータと service.http.ssl.sourceurl パラメータのホスト名は、SSL 証明書のホスト名と一致する必要があります (システムに複数のエイリアスがある場合)。例: calendar.sesta.com

ics.conf ファイルの SSL パラメータを設定するには

Calendar Server に SSL を実装するには、ics.conf ファイルの特定のパラメータを設定する必要があります。次の表に示されているパラメータのいずれかが ics.conf ファイルにない場合、指定した値とともにファイルに追加します。システムの起動時 (start-cal の実行時) は ics.conf が読み取り専用であるため、新しい値は Calendar Server が再起動されるまで反映されません。これらの SSL パラメータについては、「SSL の設定」を参照してください。

手順

設定を変更する権限を持つ管理者としてログインします。

/etc/opt/SUNWics5/cal/config ディレクトリに移動します。

古い ics.conf ファイルをコピーして名前を変更し、保存します。

次の表に示すパラメータを 1 つ以上編集します。

パラメータ	値
`encryption.rsa.nssslactivation`	`“on”`
`encryption.rsa.nssslpersonalityssl`	`“SampleSSLServerCert”`
`encryption.rsa.nsssltoken`	`“internal”`
`service.http.tmpdir`	`“/var/opt/SUNWics5/tmp”`
`service.http.uidir.path`	`“html”`
`service.http.ssl.cachedir`	`“.”`
`service.http.ssl.cachesize`	`“10000”`
`service.http.ssl.certdb.password`	`" "` (適切なパスワードを入力)
`service.http.ssl.certdb.path`	`“/var/opt/SUNWics5/alias”`
`service.http.ssl.port.enable`	`“yes”`
`service.http.ssl.port`	`"443"` (デフォルトの SSL ポート) 注 – HTTP のデフォルトポートであるポート `"80"` ではありません。
`service.http.securesession`	`"yes"` (セッション全体を暗号化する)
`service.http.ssl.sourceurl`	`“https”//localhost:port”` (ローカルホスト名、および `service.http.ssl.port` の値を入力)
`service.http.ssl.ssl2.ciphers`	`““`
`service.http.ssl.ssl2.sessiontimeout`	`“0”`
`service.http.ssl.ssl3.ciphers`	`"rsa_red_40_md5,` `rsa_rc2_40_md5,` `rsa_des_sha,` `rsa_rc4_128_md5,` `rsa_3des_sha"`
`service.http.ssl.ssl3.sessiontimeout`	`“0”`
`service.http.sslusessl`	`“yes”`

ファイルを ics.conf として保存します。

変更を適用するために Calendar Server を再起動します。

cal_svr_base/SUNWics5/cal/sbin/start-cal

SSL のトラブルシューティング

まず、復元不可能な問題の発生に備え、証明書データベースを必ず定期的にバックアップしてください。SSL に問題があるときは、次の項目を調べます。

cshttpd プロセスのチェック

SSL が機能するには、Calendar Server の cshttpd プロセスが稼動している必要があります。cshttpd が稼動しているかどうかを確認するには、次のコマンドを実行します。

# ps -ef | grep cshttpd

証明書の検証

証明書データベースに格納されている証明書の一覧を表示し、その有効期限を確認するには、次のコマンドを実行します。

# ./certutil -L -d /var/opt/SUNWics5/alias

Calendar Server ログファイルの確認

SSL エラーについて、Calendar Server ログファイルを確認します。詳細は、「Calendar Server ログファイルの使用」を参照してください。

SSL ポートへの接続

ブラウザに次の URL を指定し、SSL ポートに接続します。

https://server-name:ssl-port-number

それぞれの意味は次のとおりです。

server-name は Calendar Server が稼動しているサーバーの名前です。

ssl-port-number は、ics.conf ファイルの service.http.ssl.port パラメータに指定されている SSL ポート番号です。デフォルトは 443 です。

cshttpd の標準 HTTP ポートでの待機を停止する方法

HTTP と HTTPS は別々のポート (SSL は 443、HTTP は 80) で待機するため、両方が同じポートで待機することはありません。現在、標準の HTTP ポートでの待機を停止するよう cshttpd に通知するための手段はありません。ただし、管理者が service.http.port を非公開の番号に変更することはできます。

注意 –

cshttpd が HTTP で待機しないようにするために service.http.enable ="no" を設定することは避けてください。その設定を行うと、HTTPS も失敗する可能性があります。SSL を適切に設定するには、service.http.enable と service.http.ssl.port.enable の両方を "yes" に設定する必要があります。