![]() |
iPlanet Directory Server 5.1 管理者ガイド |
第 11 章 SSL の管理
iPlanet Directory Server には、ネットワーク上でセキュリティ保護された通信を行うため、LDAPS 通信プロトコルが用意されています。LDAPS は標準の LDAP プロトコルのうち、SSL (Secure Sokets Layer) の最上位レベルで実行されるものです。この章では、Directory Server での SSL の使い方について、次の項目ごとに説明します。
Directory Server への SSL の導入
Directory Server への SSL の導入
SSL を使用すると、LDAP クライアントと Directory Server の通信、レプリケーションアグリーメントによってバインドされた複数の Directory Server 間の通信、およびデータベースリンクとリモートデータベースとの通信の安全性を確保することができます。SSL で使用できる認証の種類には、簡易認証 (バインド DN およびパスワード) と証明書に基づく認証があります。簡易認証による SSL を使用すると、機密性とデータの整合性が保証されます。さらに、簡易認証で使用されるバインド DN やパスワードの代わりに、Directory Server での認証に証明書を使用すると、次のような効果が得られます。
効率の向上
Directory Server では、SSL による通信と SSL を使用しない通信を同時に実行できます。これは、Directory Server で SSL による通信と SSL を使用しない通信のどちらかだけを選択する必要はなく、2 つを同時に使用できることを意味します。
セキュリティの向上
- 使用しているアプリケーションで、証明書データベースへのパスワード入力が 1 回だけ必要な場合、以降のバインド処理や認証処理などで証明書が必要になっても、バインド DN やパスワードの情報が以降の処理に継承されます。
- 証明書に基づく認証は、証明書を使用しないバインド処理と比較して、より安全確実にセキュリティが保護されています。これは、証明書に基づく認証が公開鍵暗号方式を使用するためです。この結果、バインドに必要な情報は、ネットワーク上で傍受できなくなります。
注 Directory Server を UNIX プラットフォーム上で実行している場合は、SSL を有効にすると、StartTLS 拡張処理も有効になります。StartTLS 拡張処理によって、通常の LDAP 接続のセキュリティが提供されます。
SSL の有効化 : 手順の概要
LDAPS を使用するには、次の手順を実行します。
Directory Server で使用する証明書を入手してインストールし、証明機関 (CA) の証明書を信頼するように Directory Server を構成します。
SSL、インターネットセキュリティ、および証明書については、『Managing Servers with iPlanet Console』を参照してください。
ディレクトリで、SSL を有効にします。
- 詳細は、「サーバ証明書の入手とインストール」を参照してください。
SSL 対応の Directory Server に接続するように Administration Server を設定します。
- 詳細は、「SSL の有効化」を参照してください。
SSL を使用して認証を行うすべてのクライアント用に、Directory Server の各ユーザが個人の証明書を入手してインストールするように設定します (省略可能)。
- 詳細は、『Managing Servers with iPlanet Console』を参照してください。
- 詳細は、「LDAP クライアントで SSL を使用するための構成」を参照してください。
サーバ証明書の入手とインストール
ここでは、証明書データベースの作成、Directory Server で使用する証明書の入手とインストール、および証明機関 (CA) の証明書を信頼して Directory Server を構成するそれぞれのプロセスについて説明します。このプロセスは、各 Directory Server で SSL を有効にする前に必要となる最初のステップです。次に説明する作業をすでに完了している場合は、「SSL の有効化」を参照してください。
証明書を入手およびインストールするには、次の手順を実行します。
ステップ 1 : 証明書要求の作成
証明書要求ウィザードを使用して、証明書要求を作成し (ステップ 1)、CA にその要求を送ります (ステップ 2)。次に、証明書インストールウィザードを使用して、証明書をインストールし (ステップ 3)、CA の証明書を信頼するように設定します (ステップ 4)。これらのウィザードは、証明書データベースの作成および鍵のペアのインストール処理を自動的に行います。
ステップ 1 : 証明書要求の作成
証明書要求を作成して CA に送るには、次の手順を実行します。
Directory Server Console で、「タスク」タブを選択し、「証明書の管理」をクリックします。
証明書要求を作成したら、CA に要求を送ることができます。
「サーバ証明書」タブを選択し、「要求」ボタンをクリックします。
- 「証明書の管理」ウィンドウが表示されます。
「次」をクリックします。
- 証明書要求ウィザードが表示されます。
空白のテキストフィールドに要求者の情報を入力し、「次」をクリックします。
非公開鍵を保護するために使用されるパスワードを入力し、「次」をクリックします。
- 次の情報を絶対パスで入力します。
- サーバ名 :DNS 検索で使用される、Directory Server の完全修飾でホスト名を入力します。
例 : dir.siroe.com
- 組織 : 企業または組織の正式名称を入力します。CA の多くは、ここに入力された情報を、営業許可証の複写などの法的文書で確認することを要求します。
- 組織単位 (省略可能) :部署名を入力します。
- 所在地 (省略可能) : 会社の所在地 (市町村名) を入力します。
- 都道府県名 : 会社の所在地 (都道府県名) を完全名で入力します。(省略形は不可)
- 国 : 国名を表す 2 文字の略号 (ISO 形式) を選択します。日本の国コードは「JP」です。ISO の完全な国コードリストは、『iPlanet Directory Server スキーマリファレンス』に記載されています。
「クリップボードにコピー」または「ファイルに保存」を選択し、CA に送る必要のある証明書要求情報を保存します。
- パスワードを入力するまで、「次」フィールドはグレー表示されています。「次」をクリックすると、「要求の送信」ダイアログボックスが表示されます。
ステップ 2 : 証明書要求の送信
証明書情報を CA に送るには、次の手順を実行します。
電子メールプログラムを使用して、新しい電子メールメッセージを作成します。
証明書要求を電子メールで送ったら、証明書に関する CA からの回答を待つ必要があります。要求に対する回答が届くまでの時間は、状況によって異なります。たとえば、CA が社内にある場合は、要求に対する回答は 1 〜 2 日しかかからないこともありますが、CA が社外にある場合は、数週間かかることもあります。クリップボードまたは保存されたファイルからメッセージの本文に証明書要求情報をコピーします。
このメッセージを電子メールで CA に送ります。
- メッセージの内容は、次の例のようになります。
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBrjCCARcCAQAwbjELMAkGA1UEBhMCVXMxEzARBgNVBAgTCkNBTElGT1JOSUExLD
AqBgVBAoTI25ldHNjYXBlIGNvbW11bmljYXRpb25zIGNvcnBvcmF0aW9uMRwwGgYDV
QQDExNtZWxsb24ubmV0c2NhcGUuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQK
BgQCwAbskGh6SKYOgHy+UCSLnm3ok3X3u83Us7ug0EfgSLR0f+K41eNqqWRftGR83e
mqPLDOf0ZLTLjVGJaH4Jn4l1gG+JDf/n/zMyahxtV7+mT8GOFFigFfuxJaxMjr2j7I
vELlxQ4IfZgWwqCm4qQecv3G+N9YdbjveMVXW0v4XwIDAQABoAAwDQYJKoZIhvcNAQ
EEBQADgYEAZyZAm8UmP9PQYwNy4Pmypk79t2nvzKbwKVb97G+MT/gw1pLRsI1uBoKi
nMfLgKp1Q38K5Py2VGW1E47K7/rhm3yVQrIiwV+Z8Lcc=
-----END NEW CERTIFICATE REQUEST-----
CA から回答が届いたら、その情報をテキストファイルに確実に保存してください。証明書のインストール時にこのデータが必要となります。
また、証明書データのバックアップを安全な場所に置く必要もあります。これにより、システムに保存された証明書データが失われても、バックアップファイルから証明書を再インストールすることができます。
証明書を受け取ると、サーバの証明書データベースに証明書をインストールすることができます。
ステップ 3 : 証明書のインストール
サーバの証明書をインストールするには、次の手順を実行します。
Directory Server Console で、「タスク」タブを選択し、「証明書の管理」をクリックします。
これで、サーバの証明書のインストールは終了しました。次に、サーバの証明書の入手元の CA を信頼してサーバを構成する必要があります。
「サーバ証明書」タブを選択し、「インストール」をクリックします。
- 「証明書の管理」ウィンドウが表示されます。
証明書の場所として次のオプションから 1 つ選択し、「次」をクリックします。
- 証明書インストールウィザードが表示されます。
表示された証明書情報が正しいことを確認し、「次」をクリックします。
- このファイル内 : 証明書の絶対パスをこのフィールドに入力します。
- 次の符号化されたテキストブロック内 : CA からの電子メールまたは作成したテキストファイルからテキストをコピーし、このフィールドに貼り付けます。たとえば、次のようにします。
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
非公開鍵を保護するパスワードを入力して、証明書を検証します。
- このパスワードは、「ステップ 1 : 証明書要求の作成」で入力したものと同じです。
ステップ 4 : CA の信頼
CA を信頼して Directory Server を構成することには、CA の証明書の入手および証明書データベースへのサーバのインストールが含まれます。このプロセスは、使用する CA によって異なります。商用 CA の中には、証明書を自動的にダウンロードできる Web サイトを提供するものもあります。それ以外の CA からは、要求に応じて電子メールで証明書が送られます。CA の証明書を入手したら、証明書インストールウィザードによって、CA を信頼して Directory Server を構成できます。
Directory Server Console で、「タスク」タブを選択し、「証明書の管理」をクリックします。
サーバの証明書をインストールし CA の証明書を信頼すると、SSL を有効にすることができます。ただし、証明書が正しくインストールされていることをまず確認する必要があります。
「CA 証明書」タブを選択し、「インストール」をクリックします。
- 「証明書の管理」ウィンドウが表示されます。
CA 発行の証明書をファイルに保存した場合は、ファイルのパスを該当のフィールドに入力します。CA の証明書を電子メールで受け取った場合は、ヘッダを含む証明書をコピーし、与えられたテキストフィールドに貼り付けます。「次」をクリックします。
- 証明書インストールウィザードが表示されます。
表示された証明書情報が正しいことを確認し、「次」をクリックします。
CA の信頼目的を次の中から選択します (両方を選択することも可能)。
「完了」をクリックして、ウィザードを終了します。
- クライアントからの接続を受け入れる (クライアント認証) :サーバはクライアントの証明書が信頼された CA によって発行されたものであることを確認します。
- 他のサーバへの接続を受け入れる (サーバ認証) : サーバは、(たとえば、レプリケーション更新のために) 接続している Directory Server に、信頼された CA によって発行された証明書があることを確認します。
Directory Server Console で、「タスク」タブを選択し、「証明書の管理」をクリックします。
「サーバ証明書」タブを選択します。
- 「証明書の管理」ウィンドウが表示されます。
リストをスクロールします。インストールした証明書が表示されていることを確認します。
- 該当するサーバについてインストール済み証明書のリストが表示されます。
- これで、サーバで SSL を有効にする準備が整いました。
SSL の有効化
通常、サーバは SSL を有効にした状態で動作させます。SSL を一時的に無効にする場合は、機密性、認証、またはデータの整合性を必要とするトランザクションを処理する前に、SSL を必ず有効にしてください。SSL を有効にする前に、「サーバ証明書の入手とインストール」の説明に従って、証明書データベースを作成し、サーバの証明書を入手およびインストールして、CA の証明書を信頼する必要があります。
SSL 通信にサーバで使用したいセキュリティ保護されたポートを設定します。詳細は、「Directory Server のポート番号の変更」を参照してください。
Directory Server Console で「構成」タブを選択し、左側の区画のナビゲーションツリーで一番上にあるエントリを選択します。
- 指定する暗号化されたポート番号は、通常の LDAP 通信に使用するポート番号とは異なる必要があります。デフォルトでは、標準のポート番号は 389 で、セキュリティ保護されたポート番号は 636 です。
「このサーバの SSL を有効にする」チェックボックスを選択して、暗号化を有効にするよう指定します。
- このタブには、サーバの現在の暗号化設定が表示されます。
「この暗号ファミリを使用する」チェックボックスを選択します。
使用する暗号の横にあるチェックボックスを選択し、「OK」をクリックして、「暗号の設定」ダイアログボックスを閉じます。
- 「暗号の設定」ダイアログボックスが表示されます。
クライアント認証を設定します。
- 特定の暗号については、「セキュリティの設定」を参照してください。
Directory Server との通信に SSL を使用するよう iPlanet Consoleを設定する場合は、「iPlanet Console で SSL を使用する」を選択します。
- クライアント認証を許可しない : このオプションを選択すると、クライアントの証明書が無視されます。これは、バインドが失敗するという意味ではありません。
- クライアント認証を許可する : これはデフォルトの設定です。このオプションを選択すると、クライアントの要求に対して認証が実行されます。証明書に基づく認証については、「証明書に基づく認証の使用」を参照してください。
- クライアント認証を要求する : このオプションを選択すると、クライアントからの認証が要求されます。
注 証明書に基づく認証をレプリケーションに使用する場合は、クライアント認証を許可するか、または要求するようにコンシューマサーバを構成する必要があります。
- 詳細は、「SSL が有効になった状態でのサーバの起動」を参照してください。
セキュリティの設定
SSL 通信に使用する暗号のタイプを選択できます。暗号とは、暗号化に使用するアルゴリズムのことです。一部の暗号は、ほかの方式と比べて、安全でしかも強力です。一般に、暗号化に使用するビット数の多い暗号ほど、鍵の復号化は難しくなります。各種アルゴリズムとその特性については、『Managing Servers with iPlanet Console』を参照してください。クライアントがサーバとの SSL 接続を開始すると、クライアントは情報の暗号化にどの暗号を使用するかをサーバに通知します。双方向の暗号化プロセスでは、サーバとクライアントで同じ暗号を使用する必要があります。使用可能な暗号は多数ありますが、サーバに接続されているクライアント側のアプリケーションで使用する暗号をサーバで使用できるようにする必要があります。
iPlanet Directory Server が提供する SSL 3.0 暗号は、次のとおりです。
40 ビットの暗号化と MD5 メッセージ認証を使用する RC4 暗号
サーバで使用する暗号を選択するには、次の手順を実行します。40 ビットの暗号化と MD5 メッセージ認証を使用する RC2 暗号
56 ビットの暗号化と SHA メッセージ認証を使用する DES
128 ビットの暗号化と MD5 メッセージ認証を使用する RC4 暗号
168 ビットの暗号化と SHA メッセージ認証を使用するトリプル DES
56 ビットの暗号化と SHA メッセージ認証を使用した FIPS DES。この暗号は、暗号化モジュールの実装用 FIPS 140-1 米国政府規格に準拠する
168 ビットの暗号化と SHA メッセージ認証を使用した FIPS トリプル DES。この暗号は、暗号化モジュールの実装用 FIPS 140-1 米国政府規格に準拠する
SSL がサーバで有効になっていることを確認します。
iPlanet Console で常に SSL を使用するには、次の暗号の中から少なくとも 1 つの暗号を選択する必要があります。
Directory Server Console で「構成」タブを選択し、左側の区画のナビゲーションツリーで一番上にあるエントリを選択します。
- 詳細は、「SSL の有効化」を参照してください。
「暗号の設定」をクリックします。
- このタブには、サーバの現在の暗号化設定が表示されます。
「暗号の設定」ダイアログボックスで、サーバで使用する暗号をリストから選択し、「OK」をクリックします。
- 「暗号の設定」ダイアログボックスが表示されます。
「暗号化」タブで「保存」をクリックします。
- セキュリティ上の理由で特定の暗号を使用できない場合を除き、none,MD5 以外のすべての暗号を選択します。
none,MD5 は選択しないでください。これは、クライアントで使用可能な暗号がほかにない場合に、サーバによってこのオプションが使用されるためです。この方式は暗号化が行われないため、セキュリティ保護されません。
40 ビットの暗号化と MD5 メッセージ認証を使用する RC4 暗号
56 ビットの暗号化と SHA メッセージ認証を使用する DES
証明書に基づく認証の使用
Directory Server では、コマンド行ツール (LDAP クライアント) やレプリケーションの通信に、証明書に基づく認証を使用できます。証明書に基づく認証は、次のクライアントとサーバの間で使用できます。
Directory Server に接続している LDAP クライアント
別の Directory Server (レプリケーション (replication) または連鎖 (chaining)) に接続している Directory Server
証明書に基づく認証の設定
証明書に基づく認証を設定するには、次の手順を実行します。
クライアントとサーバ用、または複製元と複製先の 2 つのサーバ用に証明書データベースを作成します。
証明書を入手し、クライアントとサーバの両方、または複製元と複製先の 2 つのサーバにインストールします。
- Directory Server に証明書をインストールすると、証明書データベースが自動的に作成されます。クライアント用の証明書データベースの作成については、「LDAP クライアントで SSL を使用するための構成」を参照してください。
クライアントからアクセスされるサーバまたは複製元と複製先の 2 つのサーバで、SSL を有効にします。
証明書の識別名をディレクトリが認識できる識別名に割り当てます。
- SSL の有効化については、「SSL の有効化」を参照してください。
注 iPlanet Console から SSL を経由して Directory Server に接続する場合は、「クライアント認証を要求する」を選択すると、通信が無効になります。これは、iPlanet Console が SSL をサポートしているにもかかわらず、クライアント認証に使用する証明書を持たないためです。
- これにより、証明書を使用してバインドするときに、クライアントに対するアクセス制御を設定できます。このマッピングプロセスについては、『Managing Servers with iPlanet Console』を参照してください。
クライアント認証の許可と要求
SSL を使用して Directory Server に接続するよう iPlanet Console を構成済みで、さらに Directory Server がクライアント認証を要求する場合は、iPlanet Console を使用して iPlanet サーバを管理することができなくなります。その代わりに、該当するコマンド行ユーティリティを使用する必要があります。ただし、iPlanet Console を使用できるように、クライアント認証を要求するのではなく許可するようにあとからディレクトリ構成を変更することもできます。次の手順を実行します。
Directory Server を停止します。
cn=encryption,cn=config エントリの nsSSLClientAuth 属性値を required から allowed に修正します。
- コマンド行を使用したサーバの停止および起動については、「コマンド行からのサーバの起動と停止」を参照してください。
Directory Server を起動します。
- コマンド行を使用したエントリの修正については、第 2 章「ディレクトリエントリの作成」を参照してください。
- これで、iPlanet Console を起動できるようになりました。
LDAP クライアントで SSL を使用するための構成
LDAP クライアントアプリケーションを使用して接続するときに、Directory Server のユーザ全員に SSL または証明書に基づく認証を使用してほしい場合は、そのユーザ全員に次の手順を必ず実行してもらう必要があります。LDAP クライアントでサーバの証明書を認識するには、これらの操作で十分です。ただし、LDAP クライアントで独自の証明書を使用して Directory Server の認証を行う場合は、Directory Server のユーザ全員に個人の証明書を入手してインストールしてもらう必要があります。
次に、Netscape Communicator 4.7 を使用してこれらの処理を実行する方法を説明します。
証明書を作成するには、Netscape Communicator 4.7 を起動するだけです。
これらの手順で十分に、クライアントアプリケーションは Directory Server との接続を受け入れるようになります。これは、Directory Server の証明書が信頼された CA 発行のものであることをクライアントが識別するためです。
Communicator を使用して CA に接続します。
- 証明書データベースが存在していない場合は、作成されます。
CA を信頼します。
- 内部に導入された iPlanet Certificate Server を使用している場合は、次の URL にアクセスします。
- https://hostname:444
- CA には、CA の証明書をダウンロードできるリンクを提供しているところもあります。
- この処理は、使用する CA によって異なります。iPlanet Certificate Server に接続している場合などは、Communicator から CA を信頼するかどうかを確認するプロンプトが自動的に表示されます。
ただし、Directory Server でクライアントの証明書を使用してクライアントを認証する場合は、以降の追加手順を実行する必要があります。
クライアントシステム上で、CA からクライアント証明書を入手します。
これで、LDAP クライアントで SSL を使用できるようになりました。ldapmodify、ldapdelete、および ldapsearch で SSL を使用する方法については、『iPlanet Directory Server 構成、コマンド、およびファイルのリファレンス』を参照してください。クライアントシステム上に、クライアント証明書をインストールします。
クライアント証明書は、certutil ユーティリティを使用してバイナリ形式に変換する必要があります。証明書を変換するには、次の手順を実行します。
- 証明書の入手方法 (電子メールまたは Web ページから) にかかわらず、証明書をインストールするためのリンクが提供されます。そのリンクをクリックして、Communicator によって表示されるダイアログボックスの指示に従って処理を行います。
- 受け取った証明書情報は、必ずファイルに記録するようにしてください。特に証明書のサブジェクト DN を憶えておいてください。これは、サブジェクト DN をディレクトリのエントリに割り当てるよう、サーバを構成する必要があるためです。クライアント証明書の内容は、次の例のようになります
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
http://www.iplanet.com から certutil ユーティリティをダウンロードします。
サーバで certmap.conf ファイルを編集して、入手した証明書のサブジェクト DN を適切なディレクトリエントリに割り当てます。
certutil を次の構文で実行します。
- iPlanet のホームページで、certutil を検索します。最新の PKCS パッケージをダウンロードします。このパッケージには、certutil ユーティリティが含まれています。
- certutil -L -d cert7.db_path -n user_cert_name -r > user_cert.bin
- ここで cert7.db_path は証明書データベースの場所を表し、user_cert_name は証明書のインストール時に指定した証明書の名前を表します。また、user_cert.bin はバイナリ形式の証明書データを含む出力ファイルの名前で、必ず指定する必要があります。
Directory Server で、クライアント証明書を所有するユーザのディレクトリエントリを修正し、userCertificate 属性を追加する必要があります。
- この手順については、『Managing Servers with iPlanet Console』を参照してください。certmap.conf ファイルで、verifyCert パラメタに on が設定されていることを確認します。
注 このパラメタに on が設定されていない場合、Directory Server は certmap.conf ファイルの情報に一致するディレクトリ内のエントリを検索するだけです。検索処理が成功すると Directory Server は、userCertificate 属性の値を実際に検査することなくアクセス権を与えます。
「ディレクトリ」タブを選択し、ユーザエントリに移動します。
ユーザエントリをダブルクリックし、「属性エディタ」を使用して binary サブタイプを持つ userCertificate 属性を追加します。
「値の設定」をクリックします。
- この属性を追加すると、編集可能なフィールドの代わりに、「値の設定」ボタンが表示されます。
- ファイルセレクタが表示されます。セレクタを使用して、手順 6 で作成したバイナリファイルを選択します。
- Directory Server Console を使用したエントリの編集については、「ディレクトリエントリの変更」を参照してください。
前へ 目次 索引 DocHome 次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2000 Netscape Communications Corp. All rights reserved.
Last Updated February 26, 2002