PKCS #11 モジュールのインストール
Proxy Server は、Public Key Cryptography Standard (PKCS) #11 をサポートします。この標準は、SSL と PKCS #11 モジュール間の通信に使用されるインタフェースを定 義します。PKCS #11 モジュールは、SSL ハードウェアアクセラレータへの標準ベースの接続に使用されます。外部のハードウェアアクセラレータにインポートされた証明書と鍵は、secmod.db ファイルに格納されます。このファイルは、PKCS #11 モジュー ルをインストールしたときに生成されます。このファイルは、server-root/alias ディレクトリに置かれます。
ツール modutil による PKCS #11 モジュールのインストール
PKCS #11 モジュールを、modutil ツールを使用して .jar ファイルまたはオブジェクトファイルの形式でインストールできます。
ツール modutil を使用して PKCS #11 モジュールをインストールするには
-
管理サーバーを含むすべてのサーバーが停止していることを確認します。
-
データベースが置かれている server-root/alias ディレクトリに移動します。
-
PATH に server-root/bin/proxy/admin/bin を追加します。
-
server-root /bin/proxy/admin/bin で modutil を見つけます。
-
環境を設定します。
-
UNIX の場合: setenv
LD_LIBRARY_PATH server-root/bin/proxy/lib:${LD_LIBRARY_PATH}
-
Windows の場合: PATH に次を追加します
LD_LIBRARY_PATH server-root/bin/proxy/bin
使用しているコンピュータの PATH は、次で確認できます。server-root/proxy-admserv/start
-
-
端末ウィンドウに「modutil」と入力します。
オプションの一覧が表示されます。
-
必要な操作を行います。
たとえば、UNIX に PCKS #11 モジュールを追加する場合には、次のように入力します。
modutil -add (PKCS#11 ファイルの名前) -libfile (PKCS #11 用の libfile) -nocertdb -dbdir (db ディレクトリ)
ツール pk12util によるエクスポート
pk12util を使用して、内部データベースから証明書と鍵をエクスポートしたり、内部または外部の PKCS #11 モジュールにこれらをインポートしたりすることができます。証明書と鍵は内部データベースにいつでもエクスポートできますが、ほとんどの外部トークンでは証明書と鍵のエクスポートは許可されません。デフォルトでは、pk12util は、cert8.db と key3.db という名前の証明書と鍵データベースを使用します。
内部データベースから証明書と鍵をエクスポートするには
-
データベースが置かれている server-root/alias ディレクトリに移動します。
-
PATH に server-root/bin/proxy/admin/bin を追加します。
-
server-root /bin/proxy/admin/bin で pk12util を見つけます。
-
環境を設定します。
-
UNIX の場合:
setenv LD_LIBRARY_PATH/ server-root/bin/proxy/lib:${LD_LIBRARY_PATH}
-
Windows の場合: PATH に次を追加します
LD_LIBRARY_PATH server-root/bin/proxy/bin
使用しているコンピュータの PATH は、次で確認できます。 server-root/proxy-admserv/start
-
-
端末ウィンドウに「pk12util」と入力します。
オプションの一覧が表示されます。
-
必要な操作を行います。
たとえば、UNIX では次のように入力します。
pk12util -o certpk12 -n Server-Cert [-d /server/alias] [-P https-test-host]
-
データベースパスワードを入力します。
-
pkcs12 パスワードを入力します。
内部または外部の PKCS #11 モジュールに証明書と鍵をインポートするには
-
データベースが置かれている server-root/alias ディレクトリに移動します。
-
PATH に server-root/bin/proxy/admin/bin を追加します。
-
server-root /bin/proxy/admin/bin で pk12util を見つけます。
-
環境を設定します。
次に例を示します。
-
端末ウィンドウに「pk12util」と入力します。
オプションの一覧が表示されます。
-
必要な操作を行います。
たとえば、UNIX では次のように入力します。
pk12util -i pk12_sunspot [-d certdir][-h “nCipher”][-P https-jones.redplanet.com-jones-]
-P は -h のあとに、最後の引数として使用します。
引用符記号の中の大文字と空白文字を含む、正確なトークン名を入力します。
-
データベースパスワードを入力します。
-
pkcs12 パスワードを入力します。
外部証明書を使用したサーバーの起動
たとえば、ハードウェアアクセラレータなど、外部 PKCS #11 モジュールにサーバーの証明書をインストールする場合には、server.xml ファイルを編集するか、または次に説明するように、証明書名を指定するまで、サーバーはその証明書の使用を開始できません。
サーバーは常に、Server-Cert という名前の証明書を使用して起動しようとします。しかし、外部 PKCS #11 モジュール内の証明書には、識別子内にモジュールのトークン名のうちの 1 つが含まれています。たとえば、smartcard0 と呼ばれる外部スマートカードリーダー上にインストールされているサーバー証明書の名前が、smartcard0:Server-Cert となるなどです。
外部モジュールにインストールされている証明書を使用してサーバーを起動するには、稼動する待機ソケットの証明書名を指定する必要があります。
待機ソケットの証明書を選択するには
待機ソケットのセキュリティー機能が有効になっていない場合は、証明書情報は表示されません。待機ソケットの証明書名を選択するには、まず、その待機ソケットでセキュリティー機能が有効になっていることを確認する必要があります。詳細は、「待機ソケットのセキュリティーの有効化」を参照してください。
-
管理サーバーまたはサーバーマネージャーにアクセスし、「Preferences」タブをクリックします。
-
「Edit Listen Sockets」リンクをクリックします。
-
証明書と関連付ける待機ソケットのリンクをクリックします。
-
「Server Certificate Name」ドロップダウンリストから待機ソケットのサーバー証明書を選択して、「了解」をクリックします。
このリストには、インストールされているすべての内部および外部の証明書が記載されています。
手動で server.xml ファイルを編集することにより、代わりにそのサーバー証明書を使用して起動することをサーバーに指示することもできます。SSLPARAMS の servercertnickname 属性を次のように変更します。
$TOKENNAME:Server-Cert
$TOKENNAME に使用する値を知るには、サーバーの「Security」タブに移動して、「Manage Certificates」リンクを選択します。Server-Cert の格納されている外部モジュールにログインすると、$TOKENNAME:$NICKNAME フォームのリストにその証明書が表示されます。
信頼データベースを作成していない場合には、外部 PKCS #11 モジュールの証明書を要求するかまたはインストールすると、信頼データベースが 1 つ作成されます。作成されるデフォルトのデータベースには、パスワードがないためアクセスできません。外部モジュールは動作しますが、サーバー証明書を要求してインストールすることはできません。パスワードのないデフォルトのデータベースが作成された場合には、「Security」タブの「Create Database」ページを使用してパスワードを設定してください。
- © 2010, Oracle Corporation and/or its affiliates