Proxy Server は、スマートカードやトークンリングなどの外部の暗号化モジュールとして、次の方法をサポートしています。
PKCS #11
FIPS-140
FIPS-140 暗号化標準を有効化する前に、PKCS #11 モジュールを追加しておく必要があります。
ここでは、次の内容について説明します。
Proxy Server は、Public Key Cryptography Standard (PKCS) #11 をサポートします。この標準は、SSL と PKCS #11 モジュール間の通信に使用されるインタフェースを定 義します。PKCS #11 モジュールは、SSL ハードウェアアクセラレータへの標準ベースの接続に使用されます。外部のハードウェアアクセラレータにインポートされた証明書と鍵は、secmod.db ファイルに格納されます。このファイルは、PKCS #11 モジュー ルをインストールしたときに生成されます。このファイルは、server-root/alias ディレクトリに置かれます。
PKCS #11 モジュールを、modutil ツールを使用して .jar ファイルまたはオブジェクトファイルの形式でインストールできます。
管理サーバーを含むすべてのサーバーが停止していることを確認します。
データベースが置かれている server-root/alias ディレクトリに移動します。
PATH に server-root/bin/proxy/admin/bin を追加します。
server-root /bin/proxy/admin/bin で modutil を見つけます。
環境を設定します。
UNIX の場合: setenv
LD_LIBRARY_PATH server-root/bin/proxy/lib:${LD_LIBRARY_PATH}
Windows の場合: PATH に次を追加します
LD_LIBRARY_PATH server-root/bin/proxy/bin
使用しているコンピュータの PATH は、次で確認できます。server-root/proxy-admserv/start
端末ウィンドウに「modutil」と入力します。
オプションの一覧が表示されます。
必要な操作を行います。
たとえば、UNIX に PCKS #11 モジュールを追加する場合には、次のように入力します。
modutil -add (PKCS#11 ファイルの名前) -libfile (PKCS #11 用の libfile) -nocertdb -dbdir (db ディレクトリ)
pk12util を使用して、内部データベースから証明書と鍵をエクスポートしたり、内部または外部の PKCS #11 モジュールにこれらをインポートしたりすることができます。証明書と鍵は内部データベースにいつでもエクスポートできますが、ほとんどの外部トークンでは証明書と鍵のエクスポートは許可されません。デフォルトでは、pk12util は、cert8.db と key3.db という名前の証明書と鍵データベースを使用します。
データベースが置かれている server-root/alias ディレクトリに移動します。
PATH に server-root/bin/proxy/admin/bin を追加します。
server-root /bin/proxy/admin/bin で pk12util を見つけます。
環境を設定します。
UNIX の場合:
setenv LD_LIBRARY_PATH/ server-root/bin/proxy/lib:${LD_LIBRARY_PATH}
Windows の場合: PATH に次を追加します
LD_LIBRARY_PATH server-root/bin/proxy/bin
使用しているコンピュータの PATH は、次で確認できます。 server-root/proxy-admserv/start
端末ウィンドウに「pk12util」と入力します。
オプションの一覧が表示されます。
必要な操作を行います。
たとえば、UNIX では次のように入力します。
pk12util -o certpk12 -n Server-Cert [-d /server/alias] [-P https-test-host]
データベースパスワードを入力します。
pkcs12 パスワードを入力します。
データベースが置かれている server-root/alias ディレクトリに移動します。
PATH に server-root/bin/proxy/admin/bin を追加します。
server-root /bin/proxy/admin/bin で pk12util を見つけます。
環境を設定します。
次に例を示します。
端末ウィンドウに「pk12util」と入力します。
オプションの一覧が表示されます。
必要な操作を行います。
たとえば、UNIX では次のように入力します。
pk12util -i pk12_sunspot [-d certdir][-h “nCipher”][-P https-jones.redplanet.com-jones-]
-P は -h のあとに、最後の引数として使用します。
引用符記号の中の大文字と空白文字を含む、正確なトークン名を入力します。
データベースパスワードを入力します。
pkcs12 パスワードを入力します。
たとえば、ハードウェアアクセラレータなど、外部 PKCS #11 モジュールにサーバーの証明書をインストールする場合には、server.xml ファイルを編集するか、または次に説明するように、証明書名を指定するまで、サーバーはその証明書の使用を開始できません。
サーバーは常に、Server-Cert という名前の証明書を使用して起動しようとします。しかし、外部 PKCS #11 モジュール内の証明書には、識別子内にモジュールのトークン名のうちの 1 つが含まれています。たとえば、smartcard0 と呼ばれる外部スマートカードリーダー上にインストールされているサーバー証明書の名前が、smartcard0:Server-Cert となるなどです。
外部モジュールにインストールされている証明書を使用してサーバーを起動するには、稼動する待機ソケットの証明書名を指定する必要があります。
待機ソケットのセキュリティー機能が有効になっていない場合は、証明書情報は表示されません。待機ソケットの証明書名を選択するには、まず、その待機ソケットでセキュリティー機能が有効になっていることを確認する必要があります。詳細は、「待機ソケットのセキュリティーの有効化」を参照してください。
管理サーバーまたはサーバーマネージャーにアクセスし、「Preferences」タブをクリックします。
「Edit Listen Sockets」リンクをクリックします。
証明書と関連付ける待機ソケットのリンクをクリックします。
「Server Certificate Name」ドロップダウンリストから待機ソケットのサーバー証明書を選択して、「了解」をクリックします。
このリストには、インストールされているすべての内部および外部の証明書が記載されています。
手動で server.xml ファイルを編集することにより、代わりにそのサーバー証明書を使用して起動することをサーバーに指示することもできます。SSLPARAMS の servercertnickname 属性を次のように変更します。
$TOKENNAME:Server-Cert
$TOKENNAME に使用する値を知るには、サーバーの「Security」タブに移動して、「Manage Certificates」リンクを選択します。Server-Cert の格納されている外部モジュールにログインすると、$TOKENNAME:$NICKNAME フォームのリストにその証明書が表示されます。
信頼データベースを作成していない場合には、外部 PKCS #11 モジュールの証明書を要求するかまたはインストールすると、信頼データベースが 1 つ作成されます。作成されるデフォルトのデータベースには、パスワードがないためアクセスできません。外部モジュールは動作しますが、サーバー証明書を要求してインストールすることはできません。パスワードのないデフォルトのデータベースが作成された場合には、「Security」タブの「Create Database」ページを使用してパスワードを設定してください。
PKCS #11 API を使用すれば、暗号化操作を実行するソフトウェアまたはハードウェアモジュールとの通信が可能です。PKCS #11 を Proxy Server にインストールすると、 FIPS-140 に準拠するよう、Proxy Server を設定できます。FIPS は Federal Information Processing Standards の略です。これらのライブラリは、SSL 3.0 にのみ含まれています。
FIPS-140 の指示に従ってプラグインをインストールします。
管理サーバーまたはサーバーマネージャーにアクセスし、「Preferences」タブをクリックします。
「Edit Listen Sockets」リンクをクリックします。
待機ソケットがセキュリティー保護されている場合は、「Edit Listen Sockets」ページに使用可能なセキュリティー設定が表示されます。
FIPS-140 を使用するには、選択している待機ソケットでセキュリティーが有効になっている必要があります。詳細は、「待機ソケットのセキュリティーの有効化」を参照してください。
「Enabled」が選択されていない場合は、「SSL Version 3」ドロップダウンリストから選択します。
次のうち、適切な FIPS-140 暗号化方式のセットを選択して、「了解」をクリックします。