Sun Java System Identity Server 2004Q2 管理ガイド |
第 3 章
Identity Server を SSL モードに設定するSSL (Secure Socket Layer) を単純な認証で使用することで、機密性とデータの整合性とが保証されます。Identity Server を SSL モードにするには、通常は次のようにします。
次の節でこれらの手順を説明します。
セキュリティ保護された Sun Java System Web Server で Identity Server を設定するSun Java System Web Server で実行する Identity Server を SSL モードに設定するには、次の手順を参照してください。
手順 2 〜手順 25 は Sun Java System Web Server について説明します。
- Web Server コンソールにログオンします。デフォルトのポート番号は、58888 です。
- Identity Server を実行している Web Server インスタンスを選択し、「Manage」をクリックします。
設定が変更されたことを知らせるポップアップウィンドウが表示されます。「OK」をクリックします。
- 画面の右上部にある「Apply」ボタンをクリックします。
- 「Apply Settings」をクリックします。
Web Server が自動的に再起動されます。「OK」をクリックして先に進みます。
- 選択した Web Server インスタンスを停止します。
- 「Security」タブをクリックします。
- 「Create Database」をクリックします。
- 新しいデータベースのパスワードを入力し、「OK」をクリックします。
後で使用するために、このデータベースパスワードを書き留めておくようにしてください。
- 証明書データベースが作成されたら、「Request a Certificate」をクリックします。
- 画面に表示されるフィールドにデータを入力します。
「Key Pair Field Password」フィールドは、手順 9 で入力した値と同じ値にします。場所のフィールドには、場所を完全名で入力する必要があります。「CA」などの省略形では動作しません。すべてのフィールドを定義する必要があります。「Common Name」フィールドには、使用している Web Server のホスト名を入力します。
- フォームを送信すると、次のようなメッセージが表示されます。
--BEGIN CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END CERTIFICATE REQUEST--
- このテキストをコピーし、証明書要求として送信します。
ルート CA 証明書を取得するようにしてください。
- 証明書の含まれた証明書応答が返されます。たとえば次のようになります。
--BEGIN CERTIFICATE---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END CERTIFICATE---
- このテキストをクリップボードにコピーするか、ファイルに保存します。
- Web Server コンソールで、「Install Certificate」をクリックします。
- 「Certificate for this Server」をクリックします。
- 「鍵ペアファイルパスワード」フィールドに、証明書データベースのパスワードを入力します。
- 証明書を表示されたテキストフィールドに貼り付けます。またはラジオボタンをクリックし、テキストボックスにファイル名を入力します。「Submit」をクリックします。
ブラウザに証明書と、証明書を追加するボタンが表示されます。
- 「Install Certificate」をクリックします。
- 「Certificate for Trusted Certificate Authority」をクリックします。
- 両方の証明書をインストールしたら、Web Server コンソールで「Preferences」タブをクリックします。
- 別のポートで SSL を有効にしたい場合は、「Add Listen Socket」を選択します。次に、「Edit Listen Socket」を選択します。
- セキュリティ状態を「Disabled」から「Enabled」に変更し、「OK」をクリックして変更を実行します。
手順 26 〜手順 28 は、Identity Server について説明します。
- AMConfig.properties ファイルを開きます。このファイルの場所は、デフォルトで /opt/SUNWam/lib です。
- プロトコルで http:// が出現する箇所をすべて https:// に変更します。ただし Web Server インスタンスディレクトリの箇所は除きます。これは AMConfig.properties でも指定していますが、そのままにしておきます。
- AMConfig.properties ファイルを保存します。
- Web Server コンソールで、Web Server インスタンスをホスティングする Identity Server の「オン/オフ」ボタンをクリックします。
Web Server で「起動/停止」ページにテキストボックスが表示されます。
- このテキストフィールドに、証明書データベースのパスワードを入力し、「開始」を選択します。
セキュリティ保護された Sun Java System Application Server で Identity Server を設定するSSL が有効になっている Sun Java System Application Server 上で Identity Server を実行するには、次の 2 つの手順で設定します。まず、インストールされた Identity Server に対して Application Server をセキュリティで保護します。次に、Identity Server 自体を設定します。
Application Server を SSL で設定する
Application Server インスタンスをセキュリティで保護するには、次の手順を実行します。
- ブラウザに次のアドレスを入力して、Sun Java System Application Server コンソールに管理者としてログインします。
http://fullservername:port
デフォルトのポート番号は、4848 です。
- インストール時に入力したユーザー名とパスワードを入力します。
- Identity Server をインストールした (または、これからインストールする) Application Server インスタンスを選択します。設定が変更されたことが、右側のフレームに表示されます。
- 「変更の適用」をクリックします。
- 「再起動」をクリックします。Application Server が自動的に再起動されます。
- 左側のフレームで、「セキュリティ」をクリックします。
- 「データベースの管理」タブをクリックします。
- 「データベースを作成」が選択されていない場合は、それをクリックします。
- 新しいデータベースのパスワードを入力し、確認のパスワードを入力してから、「OK」をクリックします。後で使用するために、このデータベースパスワードを書き留めておくようにしてください。
- 証明書データベースが作成されたら、「証明書管理」タブをクリックします。
- 「要求」リンクが選択されていない場合は、それをクリックします。
- 証明書要求のデータを次のように入力します。
- 新規の証明書か、証明書の書き換えかを選択します。証明書の多くは、一定の期間が過ぎると期限切れになります。書き換え通知を自動的に送信する認証局 (CA) もあります。
- 証明書要求を送信する方法を指定します。
要求を電子メールメッセージで受け取る CA の場合は、「CA 電子メールアドレス」を選択し、CA の電子メールアドレスを入力します。CA の一覧を表示するには、「List of Available Certificate Authorities」をクリックします。
Sun Java System Certificate Server を使用している内部 CA に証明書を要求する場合は、「証明書発行局 URL」をクリックし、Certificate Server の URL を入力します。この URL は、Certificate Server で証明書要求を処理するプログラムを指している必要があります。
- 鍵ペアファイルのパスワードを入力します。これは、手順 9 で指定したパスワードです。
- 次の識別情報を入力します。
「共通名」: ポート番号も含む完全なサーバー名。
「リクエスタ名」: 要求者の名前。
「電話番号」: 要求者の電話番号。
「共通名」: デジタル証明書のインストール先となる Sun Java System Application Server の完全修飾名。
「電子メールアドレス」: 管理者の電子メールアドレス
「組織名」: 組織の名前。認証局によっては、この属性に入力されたホスト名が、この組織に登録済みのドメインに属していることが必要になります。
「組織単位名」: 部課名など、組織の運営単位の名前。
「地域」: 市区町村の名前。
「州または都道府県名」: 組織がアメリカ合衆国またはカナダで運営されている場合は、その州の名前。省略形は使用しないでください。
「国名」: 国を表す 2 文字の ISO コード。たとえば、アメリカ合衆国のコードは US です。
- 「OK」ボタンをクリックします。次のようなメッセージが表示されます。
--BEGIN NEW CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END NEW CERTIFICATE REQUEST--
- このテキスト全体をファイルにコピーし、「OK」をクリックします。ルート CA 証明書を取得するようにしてください。
- CA を選択し、その CA の Web サイトにある指示に従ってデジタル証明書を取得します。証明書は CMS、Verisign、または Entrust.net から取得できます。
- 認証局からデジタル証明書を受け取ったら、そのテキストをクリップボードにコピーするか、ファイルに保存します。
- Sun Java System Application Server コンソールに移動し、「インストール」リンクをクリックします。
- 「証明書」の「このサーバー」を選択します。
- 「鍵ペアファイルパスワード」フィールドに、証明書データベースのパスワードを入力します。これは、手順 9 で入力したパスワードです。
- 「メッセージ」テキストフィールドに、証明書をヘッダーも含めて貼り付けるか、ファイル名を入力します。適切なラジオボタンをクリックします。
- 「OK」ボタンをクリックします。ブラウザに証明書と、証明書を追加するボタンが表示されます。
- 「サーバー証明書を追加」をクリックします。
- 両方の証明書をインストールしたら、左側のフレームで「HTTP サーバー」ノードを展開します。
- 「HTTP サーバー」の下にある「HTTP リスナー」を選択します。
- http-listener-1 を選択します。ソケットの情報がブラウザに表示されます。
- http-listener-1 で使用するポートの値を、Application Server のインストール時に入力した値から、より適切な値 (443 など) に変更します。
- 「SSL/TLS を有効」を選択します。
- 「証明書のニックネーム」を選択します。
- 「戻すサーバー名」を指定します。手順 12 で指定した「共通名」と同じにする必要があります。
- 「保存」をクリックします。
- Sun Java System Identity Server ソフトウェアをインストールする Application Server インスタンスを選択します。設定が変更されたことが、右側のフレームに表示されます。
- 「変更の適用」をクリックします。
- 「再起動」をクリックします。Application Server が自動的に再起動されます。
Identity Server を SSL モードに設定する
Identity Server を SSL モードに設定する
- Identity Server コンソールで、サービス設定モジュールに移動し、「プラットフォーム」サービスを選択します。「サーバーリスト」属性で、同じ URL を HTTPS プロトコルで追加し、SSL が有効になっているポート番号を追加します。「保存」をクリックします。
注
Identity Server の 1 つのインスタンスが、2 つのポート (Http と Https) で待機しているとき、未処理のまま蓄積されたクッキーを使って Identity Server にアクセスしようとすると、Identity Server は応答しなくなります。この設定はサポートされていません。
- AMConfig.properties ファイルを開きます。デフォルトでは次の場所にあります。
/etc/opt/SUNWam/config
- プロトコルで http:// が出現する箇所をすべて https:// に変更します。また、ポート番号を、SSL が有効になっているポート番号に変更します。
- AMConfig.properties ファイルを保存します。
- Application Server を再起動します。
Identity Server を SSL モードの Directiry Server に設定するネットワーク上でセキュリティ保護された通信を確保するため、Identity Server には LDAPS 通信プロトコルが含まれています。LDAPS は LDAP の標準プロトコルで、SSL (Secure Socket Layer) 上で実行されます。SSL 接続を有効にするためには、まず Directory Server を SSL モードにして、次に Identity Server を Directory Server に接続します。基本的な手順は次のとおりです。
Identity Server を SSL モードに設定する
Directory Server を SSL モードに設定するには、サーバー証明書を入手してインストールし、CA からの証明書を信頼するように Directory Server を設定し、SSL をオンにしなければなりません。これらの作業をどのように行うかについての詳細は、『Directory Server 管理ガイド』の中の第 11 章「認証と暗号化の管理」を参照してください。このマニュアルは、次の場所にあります。
また、PDF 形式のマニュアルを次の場所からダウンロードできます。
http://docs.sun.com/coll/DirectoryServer_04q2
Directory Server の SSL がすでに有効になっている場合は次の節に進んでください。そこで Identity Server を Directory Server に接続する方法の詳細について説明します。
SSL が有効化された Directory Server に Identity Server を接続する
Directory Server が SSL モードに設定されたら、Identity Server をセキュリティ保護された状態で Directory Server に接続する必要があります。そのためには、次の手順を実行します。