重要な SSL の概念の概要

ここでは、Directory Server マルチマスターレプリケーションでの SSL の使用に関する問題のトラブルシューティングに役立つ概念について説明します。SSL の問題は、常にサプライヤ側で発生します。エラーログにセキュリティー関連のメッセージが記録されます。たとえば、「SSL init failed. (SSL の初期化に失敗しました)」や「Certificate not accepted. (証明書が受け入れられません)」などです。

SSL 接続には常に次の二者が関与します。

• SSL クライアント。LDAP 要求を送信する LDAP クライアント、またはレプリケーション更新を送信する Directory Server (サプライヤ)。

• SSL サーバー。LDAP 要求を受け入れる Directory Server (コンシューマ)。

SSL クライアントは要求を開始し、SSL サーバーは常に要求を受信します。この交換の際、SSL サーバーが資格を提供する必要があります。SSL サーバーは、SSL クライアントから送信される資格を検証する必要があります。この検証を行うためには、ピアの証明書データベースに、他方のピアから送信された証明書の CA 証明書が含まれている必要があります。

レプリケーションでは、SSL 以外の操作のみを受け入れるマスターレプリカも含むすべてのレプリカで、SSL が有効である必要があります。たとえば、マスターサーバーは、SSL を使用してハブサーバーと通信します。ハブは SSL ポート上で待機する必要があります。マスターは SSL クライアントであるため、SSL ポート上で待機する必要はありません。ただし、その場合でも SSL ポートを定義する必要があります。定義しないと、Directory Server は、ホストサーバーとの通信で SSL 証明書の交換を開始することができません。

デフォルトでは、SSL はすべての Directory Server 6.x インスタンス上で有効になります。SSL の機能の詳しい説明については、『Sun Java System Directory Server Enterprise Edition 6.3 Reference』の「Secure Sockets Layer (SSL)」を参照してください。