以前のバージョンからの証明書の移行

Sun ONE Web Proxy Server 3.6 (iPlanet Web Proxy Server とも呼ばれる) から Sun Java System Web Proxy Server 4 へ移行するときは、信頼データベースや証明書データベースを始めとするファイルが自動的に更新されます。

Proxy Server 4 管理サーバーに、以前の 3.x データベースファイルに対する読み取り許可があることを確認します。これらのファイルは、alias-cert.db と alias-key.db で、3.x-server-root/alias ディレクトリにあります。

サーバーでセキュリティーが有効になっている場合だけ、鍵ペアファイルと証明書が移行されます。管理サーバーとサーバーマネージャーの「Security」タブにある「Migrate 3.x Certificates」オプションを使用して、鍵と証明書だけを移行させることもできます。特定の設定については、オンラインヘルプを参照してください。

以前のバージョンでは、証明書と鍵ペアファイルは、複数のサーバーインスタンスによって使用される可能性のあるエイリアスによって参照されていました。管理サーバーは、すべてのエイリアスとそれらの構成要素である証明書を管理していました。Sun Java System Web Proxy Server 4 では、管理サーバーと各サーバーインスタンスに独自の証明書と鍵ペアファイルがあり、エイリアスではなく信頼データベースとして参照されます。

管理サーバー自体については、信頼データベースとその構成要素である証明書の管理は管理サーバーで行い、サーバーインスタンスについては、サーバーマネージャーで行います。証明書および鍵ぺアデータベースファイルは、それらを使用するサーバーインスタンス名をとって、名付けられます。以前のバージョンで複数のサーバーインスタンスが同じエイリアスを共用していた場合は、移行されると、証明書と鍵ペアファイルは新しいサーバーインスタンスの名前をとって名前変更されます。

サーバーインスタンスに関連のある信頼データベース全体が移行されます。以前のデータベースにリストされている CA はすべて、Proxy Server 4 データベースに移行されます。CA が重複している場合には、有効期限が切れるまで以前の CA を使用します。重複している CA は削除しないでください。

Proxy Server 3.x 証明書は、サポートされている Network Security Services (NSS) のフォーマットに移行されます。証明書は、Proxy Server ページのアクセス元、つまり、管理サーバーの「Security」タブか、サーバーマネージャーの「Security」タブに応じて名前が付けられます。

証明書を移行するには

1. ローカルコンピュータから管理サーバーまたはサーバーマネージャーにアクセスし、「Security」タブを選択します。

2. 「Migrate 3.x Certificates」リンクをクリックします。

3. 3.6 サーバーがインストールされているルートディレクトリを指定します。

4. このコンピュータのエイリアスを指定します。

5. 管理者のパスワードを入力し、「了解」をクリックします。

組み込みルート証明書モジュールの使用

動的に読み込み可能なルート証明書モジュールが、Proxy Server に含まれており、VeriSign を含む多数の CA のルート証明書が格納されています。ルート証明書モジュールを使用すると、より簡単な方法でルート証明書を新しいバージョンにアップグレードできます。以前のバージョンでは、古いルート証明書を 1 つずつ削除し、その後新しいルート証明書を 1 つずつインストールする必要がありました。現在は、ルート証明書モジュールファイルを Proxy Server の新しいバージョンへ更新するだけで、一般的な CA 証明書をインストールできます。この証明書モジュールファイルは将来の Proxy Server のバージョンでも継続して使用できます。

ルート証明書は PKCS #11 暗号化モジュールとして実装されているため、モジュールに含まれているルート証明書を削除することはできません。削除のオプションは、ルート証明書を管理するときには表示されません。サーバーインスタンスからルート証明書を削除する場合は、サーバーの alias ディレクトリ内で次のエントリを削除すれば、ルート証明書モジュールを無効にできます。

• libnssckbi.so (ほとんどの UNIX プラットフォーム)

• nssckbi.dll (Windows)

ルート証明書モジュールを復元する場合は、server-root/bin/proxy/lib (UNIX) または server-root\\ bin\\proxy\\bin (Windows) から、該当する拡張子を持つファイルを alias サブディレクトリにコピーできます。

ルート証明書の信頼情報は変更できます。信頼情報は、編集されるサーバーインスタンスの証明書データベースに書き込まれ、ルート証明書モジュールそのものには戻されません。