前へ     目次     索引     DocHome     次へ     
iPlanet Directory Server 5.1 管理者ガイド



第 11 章   SSL の管理


iPlanet Directory Server には、ネットワーク上でセキュリティ保護された通信を行うため、LDAPS 通信プロトコルが用意されています。LDAPS は標準の LDAP プロトコルのうち、SSL (Secure Sokets Layer) の最上位レベルで実行されるものです。

この章では、Directory Server での SSL の使い方について、次の項目ごとに説明します。



Directory Server への SSL の導入

SSL を使用すると、LDAP クライアントと Directory Server の通信、レプリケーションアグリーメントによってバインドされた複数の Directory Server 間の通信、およびデータベースリンクとリモートデータベースとの通信の安全性を確保することができます。SSL で使用できる認証の種類には、簡易認証 (バインド DN およびパスワード) と証明書に基づく認証があります。

簡易認証による SSL を使用すると、機密性とデータの整合性が保証されます。さらに、簡易認証で使用されるバインド DN やパスワードの代わりに、Directory Server での認証に証明書を使用すると、次のような効果が得られます。

  • 効率の向上

    使用しているアプリケーションで、証明書データベースへのパスワード入力が 1 回だけ必要な場合、以降のバインド処理や認証処理などで証明書が必要になっても、バインド DN やパスワードの情報が以降の処理に継承されます。

  • セキュリティの向上

    証明書に基づく認証は、証明書を使用しないバインド処理と比較して、より安全確実にセキュリティが保護されています。これは、証明書に基づく認証が公開鍵暗号方式を使用するためです。この結果、バインドに必要な情報は、ネットワーク上で傍受できなくなります。

Directory Server では、SSL による通信と SSL を使用しない通信を同時に実行できます。これは、Directory Server で SSL による通信と SSL を使用しない通信のどちらかだけを選択する必要はなく、2 つを同時に使用できることを意味します。



 

Directory Server を UNIX プラットフォーム上で実行している場合は、SSL を有効にすると、StartTLS 拡張処理も有効になります。StartTLS 拡張処理によって、通常の LDAP 接続のセキュリティが提供されます。  




SSL の有効化 : 手順の概要

LDAPS を使用するには、次の手順を実行します。

  1. Directory Server で使用する証明書を入手してインストールし、証明機関 (CA) の証明書を信頼するように Directory Server を構成します。

    詳細は、「サーバ証明書の入手とインストール」を参照してください。

  2. ディレクトリで、SSL を有効にします。

    詳細は、「SSL の有効化」を参照してください。

  3. SSL 対応の Directory Server に接続するように Administration Server を設定します。

    詳細は、『Managing Servers with iPlanet Console』を参照してください。

  4. SSL を使用して認証を行うすべてのクライアント用に、Directory Server の各ユーザが個人の証明書を入手してインストールするように設定します (省略可能)。

    詳細は、「LDAP クライアントで SSL を使用するための構成」を参照してください。

SSL、インターネットセキュリティ、および証明書については、『Managing Servers with iPlanet Console』を参照してください。



サーバ証明書の入手とインストール



ここでは、証明書データベースの作成、Directory Server で使用する証明書の入手とインストール、および証明機関 (CA) の証明書を信頼して Directory Server を構成するそれぞれのプロセスについて説明します。

このプロセスは、各 Directory Server で SSL を有効にする前に必要となる最初のステップです。次に説明する作業をすでに完了している場合は、「SSL の有効化」を参照してください。

証明書を入手およびインストールするには、次の手順を実行します。

証明書要求ウィザードを使用して、証明書要求を作成し (ステップ 1)、CA にその要求を送ります (ステップ 2)。次に、証明書インストールウィザードを使用して、証明書をインストールし (ステップ 3)、CA の証明書を信頼するように設定します (ステップ 4)。

これらのウィザードは、証明書データベースの作成および鍵のペアのインストール処理を自動的に行います。


ステップ 1 : 証明書要求の作成

証明書要求を作成して CA に送るには、次の手順を実行します。

  1. Directory Server Console で、「タスク」タブを選択し、「証明書の管理」をクリックします。

    「証明書の管理」ウィンドウが表示されます。

  2. 「サーバ証明書」タブを選択し、「要求」ボタンをクリックします。

    証明書要求ウィザードが表示されます。

  3. 「次」をクリックします。

  4. 空白のテキストフィールドに要求者の情報を入力し、「次」をクリックします。

    次の情報を絶対パスで入力します。

    サーバ名 :DNS 検索で使用される、Directory Server の完全修飾でホスト名を入力します。
    例 : dir.siroe.com

    組織 : 企業または組織の正式名称を入力します。CA の多くは、ここに入力された情報を、営業許可証の複写などの法的文書で確認することを要求します。

    組織単位 (省略可能) :部署名を入力します。

    所在地 (省略可能) : 会社の所在地 (市町村名) を入力します。

    都道府県名 : 会社の所在地 (都道府県名) を完全名で入力します。(省略形は不可)

    国 : 国名を表す 2 文字の略号 (ISO 形式) を選択します。日本の国コードは「JP」です。ISO の完全な国コードリストは、『iPlanet Directory Server スキーマリファレンス』に記載されています。

  5. 非公開鍵を保護するために使用されるパスワードを入力し、「次」をクリックします。

    パスワードを入力するまで、「次」フィールドはグレー表示されています。「次」をクリックすると、「要求の送信」ダイアログボックスが表示されます。

  6. 「クリップボードにコピー」または「ファイルに保存」を選択し、CA に送る必要のある証明書要求情報を保存します。

  7. 「完了」をクリックして、証明書要求ウィザードを終了します。

証明書要求を作成したら、CA に要求を送ることができます。


ステップ 2 : 証明書要求の送信

証明書情報を CA に送るには、次の手順を実行します。

  1. 電子メールプログラムを使用して、新しい電子メールメッセージを作成します。

  2. クリップボードまたは保存されたファイルからメッセージの本文に証明書要求情報をコピーします。

    メッセージの内容は、次の例のようになります。

    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIBrjCCARcCAQAwbjELMAkGA1UEBhMCVXMxEzARBgNVBAgTCkNBTElGT1JOSUExLD
    AqBgVBAoTI25ldHNjYXBlIGNvbW11bmljYXRpb25zIGNvcnBvcmF0aW9uMRwwGgYDV
    QQDExNtZWxsb24ubmV0c2NhcGUuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQK
    BgQCwAbskGh6SKYOgHy+UCSLnm3ok3X3u83Us7ug0EfgSLR0f+K41eNqqWRftGR83e
    mqPLDOf0ZLTLjVGJaH4Jn4l1gG+JDf/n/zMyahxtV7+mT8GOFFigFfuxJaxMjr2j7I
    vELlxQ4IfZgWwqCm4qQecv3G+N9YdbjveMVXW0v4XwIDAQABoAAwDQYJKoZIhvcNAQ
    EEBQADgYEAZyZAm8UmP9PQYwNy4Pmypk79t2nvzKbwKVb97G+MT/gw1pLRsI1uBoKi
    nMfLgKp1Q38K5Py2VGW1E47K7/rhm3yVQrIiwV+Z8Lcc=
    -----END NEW CERTIFICATE REQUEST-----

  3. このメッセージを電子メールで CA に送ります。

証明書要求を電子メールで送ったら、証明書に関する CA からの回答を待つ必要があります。要求に対する回答が届くまでの時間は、状況によって異なります。たとえば、CA が社内にある場合は、要求に対する回答は 1 〜 2 日しかかからないこともありますが、CA が社外にある場合は、数週間かかることもあります。

CA から回答が届いたら、その情報をテキストファイルに確実に保存してください。証明書のインストール時にこのデータが必要となります。

また、証明書データのバックアップを安全な場所に置く必要もあります。これにより、システムに保存された証明書データが失われても、バックアップファイルから証明書を再インストールすることができます。

証明書を受け取ると、サーバの証明書データベースに証明書をインストールすることができます。


ステップ 3 : 証明書のインストール

サーバの証明書をインストールするには、次の手順を実行します。

  1. Directory Server Console で、「タスク」タブを選択し、「証明書の管理」をクリックします。

    「証明書の管理」ウィンドウが表示されます。

  2. 「サーバ証明書」タブを選択し、「インストール」をクリックします。

    証明書インストールウィザードが表示されます。

  3. 証明書の場所として次のオプションから 1 つ選択し、「次」をクリックします。

    このファイル内 : 証明書の絶対パスをこのフィールドに入力します。

    次の符号化されたテキストブロック内 : CA からの電子メールまたは作成したテキストファイルからテキストをコピーし、このフィールドに貼り付けます。たとえば、次のようにします。

    -----BEGIN CERTIFICATE-----
    MIICMjCCAZugAwIBAgICCEEwDQYJKoZIhvcNAQEFBQAwfDELMAkGA1UEBhMCVVMx
    IzAhBgNVBAoTGlBhbG9va2FWaWxsZSBXaWRnZXRzLCBJbmMuMR0wGwYDVQQLExRX
    aWRnZXQgTWFrZXJzICdSJyBVczEpMCcGA1UEAxMgVGVzdCBUZXN0IFRlc3QgVGVz
    dCBUZXN0IFRlc3QgQ0EwHhcNOTgwMzEyMDIzMzU3WhcNOTgwMzI2MDIzMzU3WjBP
    MQswCQYDVQQGEwJVUzEoMCYGA1UEChMfTmV0c2NhcGUgRGlyZWN0b3J5IFB1Ymxp
    Y2F0aW9uczEWMBQGA1UEAxMNZHVgh49dq2itLmNvbTBaMA0GCSqGSIb3DQEBAQUA
    A0kAMEYCQQCksMR/aLGdfp4m0OiGcgijG5KgOsyRNvwGYW7kfW+8mmijDtZRjYNj
    jcgpF3VnlsbxbclX9LVjjNLC57u37XZdAgEDozYwNDARBglghkgBhvhCAQEEBAMC
    APAwHwYDVR0jBBgwFoAU67URjwCaGqZuUpSpdLxlzweJKiMwDQYJKoZIhvcNAQEF
    BQADgYEAJ+BVem3vBOP/BveNdLGfjlb9hucgmaMcQa98A/db8qimKT/ue9UGOJqL
    bwbMKBBopsD56p2yV3PLJIsBgrcuSoBCuFFnxBnqSiTS/7YiYgCWqWaUAExJFmD6
    6hBLseqkSWulk+hXHN7L/NrViO+7zNtKcaZLlFPf7d7j2MgX4Bo=
    -----END CERTIFICATE-----

  4. 表示された証明書情報が正しいことを確認し、「次」をクリックします。

  5. 証明書の名前を指定し、「次」をクリックします。

  6. 非公開鍵を保護するパスワードを入力して、証明書を検証します。

    このパスワードは、「ステップ 1 : 証明書要求の作成」で入力したものと同じです。

これで、サーバの証明書のインストールは終了しました。次に、サーバの証明書の入手元の CA を信頼してサーバを構成する必要があります。


ステップ 4 : CA の信頼

CA を信頼して Directory Server を構成することには、CA の証明書の入手および証明書データベースへのサーバのインストールが含まれます。このプロセスは、使用する CA によって異なります。商用 CA の中には、証明書を自動的にダウンロードできる Web サイトを提供するものもあります。それ以外の CA からは、要求に応じて電子メールで証明書が送られます。

CA の証明書を入手したら、証明書インストールウィザードによって、CA を信頼して Directory Server を構成できます。

  1. Directory Server Console で、「タスク」タブを選択し、「証明書の管理」をクリックします。

    「証明書の管理」ウィンドウが表示されます。

  2. 「CA 証明書」タブを選択し、「インストール」をクリックします。

    証明書インストールウィザードが表示されます。

  3. CA 発行の証明書をファイルに保存した場合は、ファイルのパスを該当のフィールドに入力します。CA の証明書を電子メールで受け取った場合は、ヘッダを含む証明書をコピーし、与えられたテキストフィールドに貼り付けます。「次」をクリックします。

  4. 表示された証明書情報が正しいことを確認し、「次」をクリックします。

  5. 証明書の名前を指定し、「次」をクリックします。

  6. CA の信頼目的を次の中から選択します (両方を選択することも可能)。

    クライアントからの接続を受け入れる (クライアント認証) :サーバはクライアントの証明書が信頼された CA によって発行されたものであることを確認します。

    他のサーバへの接続を受け入れる (サーバ認証) : サーバは、(たとえば、レプリケーション更新のために) 接続している Directory Server に、信頼された CA によって発行された証明書があることを確認します。

  7. 「完了」をクリックして、ウィザードを終了します。

サーバの証明書をインストールし CA の証明書を信頼すると、SSL を有効にすることができます。ただし、証明書が正しくインストールされていることをまず確認する必要があります。


ステップ 5 : 新しい証明書のインストールの確認

  1. Directory Server Console で、「タスク」タブを選択し、「証明書の管理」をクリックします。

    「証明書の管理」ウィンドウが表示されます。

  2. 「サーバ証明書」タブを選択します。

    該当するサーバについてインストール済み証明書のリストが表示されます。

  3. リストをスクロールします。インストールした証明書が表示されていることを確認します。

    これで、サーバで SSL を有効にする準備が整いました。



SSL の有効化

通常、サーバは SSL を有効にした状態で動作させます。SSL を一時的に無効にする場合は、機密性、認証、またはデータの整合性を必要とするトランザクションを処理する前に、SSL を必ず有効にしてください。

SSL を有効にする前に、「サーバ証明書の入手とインストール」の説明に従って、証明書データベースを作成し、サーバの証明書を入手およびインストールして、CA の証明書を信頼する必要があります。

SSL による通信を有効にするには、次の手順を実行します。

  1. SSL 通信にサーバで使用したいセキュリティ保護されたポートを設定します。詳細は、「Directory Server のポート番号の変更」を参照してください。

    指定する暗号化されたポート番号は、通常の LDAP 通信に使用するポート番号とは異なる必要があります。デフォルトでは、標準のポート番号は 389 で、セキュリティ保護されたポート番号は 636 です。

  2. Directory Server Console で「構成」タブを選択し、左側の区画のナビゲーションツリーで一番上にあるエントリを選択します。

  3. 右側の区画で「暗号化」タブを選択します。

    このタブには、サーバの現在の暗号化設定が表示されます。

  4. 「このサーバの SSL を有効にする」チェックボックスを選択して、暗号化を有効にするよう指定します。

  5. 「この暗号ファミリを使用する」チェックボックスを選択します。

  6. ドロップダウンメニューから使用する証明書を選択します。

  7. 「暗号の設定」をクリックします。

    「暗号の設定」ダイアログボックスが表示されます。

  8. 使用する暗号の横にあるチェックボックスを選択し、「OK」をクリックして、「暗号の設定」ダイアログボックスを閉じます。

    特定の暗号については、「セキュリティの設定」を参照してください。

  9. クライアント認証を設定します。

    クライアント認証を許可しない : このオプションを選択すると、クライアントの証明書が無視されます。これは、バインドが失敗するという意味ではありません。

    クライアント認証を許可する : これはデフォルトの設定です。このオプションを選択すると、クライアントの要求に対して認証が実行されます。証明書に基づく認証については、「証明書に基づく認証の使用」を参照してください。

    クライアント認証を要求する : このオプションを選択すると、クライアントからの認証が要求されます。



     

    証明書に基づく認証をレプリケーションに使用する場合は、クライアント認証を許可するか、または要求するようにコンシューマサーバを構成する必要があります。  



  10. Directory Server との通信に SSL を使用するよう iPlanet Consoleを設定する場合は、「iPlanet Console で SSL を使用する」を選択します。

  11. 「保存」をクリックします。

  12. Directory Server を再起動します。

    詳細は、「SSL が有効になった状態でのサーバの起動」を参照してください。



セキュリティの設定

SSL 通信に使用する暗号のタイプを選択できます。暗号とは、暗号化に使用するアルゴリズムのことです。一部の暗号は、ほかの方式と比べて、安全でしかも強力です。一般に、暗号化に使用するビット数の多い暗号ほど、鍵の復号化は難しくなります。各種アルゴリズムとその特性については、『Managing Servers with iPlanet Console』を参照してください。

クライアントがサーバとの SSL 接続を開始すると、クライアントは情報の暗号化にどの暗号を使用するかをサーバに通知します。双方向の暗号化プロセスでは、サーバとクライアントで同じ暗号を使用する必要があります。使用可能な暗号は多数ありますが、サーバに接続されているクライアント側のアプリケーションで使用する暗号をサーバで使用できるようにする必要があります。

iPlanet Directory Server が提供する SSL 3.0 暗号は、次のとおりです。

  • 40 ビットの暗号化と MD5 メッセージ認証を使用する RC4 暗号

  • 40 ビットの暗号化と MD5 メッセージ認証を使用する RC2 暗号

  • 暗号化なし。MD5 メッセージ認証のみ

  • 56 ビットの暗号化と SHA メッセージ認証を使用する DES

  • 128 ビットの暗号化と MD5 メッセージ認証を使用する RC4 暗号

  • 168 ビットの暗号化と SHA メッセージ認証を使用するトリプル DES

  • 56 ビットの暗号化と SHA メッセージ認証を使用した FIPS DES。この暗号は、暗号化モジュールの実装用 FIPS 140-1 米国政府規格に準拠する

  • 168 ビットの暗号化と SHA メッセージ認証を使用した FIPS トリプル DES。この暗号は、暗号化モジュールの実装用 FIPS 140-1 米国政府規格に準拠する

サーバで使用する暗号を選択するには、次の手順を実行します。

  1. SSL がサーバで有効になっていることを確認します。

    詳細は、「SSL の有効化」を参照してください。

  2. Directory Server Console で「構成」タブを選択し、左側の区画のナビゲーションツリーで一番上にあるエントリを選択します。

  3. 右側の区画で「暗号化」タブを選択します。

    このタブには、サーバの現在の暗号化設定が表示されます。

  4. 「暗号の設定」をクリックします。

    「暗号の設定」ダイアログボックスが表示されます。

  5. 「暗号の設定」ダイアログボックスで、サーバで使用する暗号をリストから選択し、「OK」をクリックします。

    セキュリティ上の理由で特定の暗号を使用できない場合を除き、none,MD5 以外のすべての暗号を選択します。

  6. 「暗号化」タブで「保存」をクリックします。



    警告  

    none,MD5 は選択しないでください。これは、クライアントで使用可能な暗号がほかにない場合に、サーバによってこのオプションが使用されるためです。この方式は暗号化が行われないため、セキュリティ保護されません。  



iPlanet Console で常に SSL を使用するには、次の暗号の中から少なくとも 1 つの暗号を選択する必要があります。

  • 40 ビットの暗号化と MD5 メッセージ認証を使用する RC4 暗号

  • 暗号化なし。MD5 メッセージ認証のみ

  • 56 ビットの暗号化と SHA メッセージ認証を使用する DES

  • 128 ビットの暗号化と MD5 メッセージ認証を使用する RC4 暗号

  • 168 ビットの暗号化と SHA メッセージ認証を使用するトリプル DES



証明書に基づく認証の使用

Directory Server では、コマンド行ツール (LDAP クライアント) やレプリケーションの通信に、証明書に基づく認証を使用できます。証明書に基づく認証は、次のクライアントとサーバの間で使用できます。


証明書に基づく認証の設定

証明書に基づく認証を設定するには、次の手順を実行します。

  1. クライアントとサーバ用、または複製元と複製先の 2 つのサーバ用に証明書データベースを作成します。

    Directory Server に証明書をインストールすると、証明書データベースが自動的に作成されます。クライアント用の証明書データベースの作成については、「LDAP クライアントで SSL を使用するための構成」を参照してください。

  2. 証明書を入手し、クライアントとサーバの両方、または複製元と複製先の 2 つのサーバにインストールします。

  3. クライアントからアクセスされるサーバまたは複製元と複製先の 2 つのサーバで、SSL を有効にします。

    SSL の有効化については、「SSL の有効化」を参照してください。



     

    iPlanet Console から SSL を経由して Directory Server に接続する場合は、「クライアント認証を要求する」を選択すると、通信が無効になります。これは、iPlanet Console が SSL をサポートしているにもかかわらず、クライアント認証に使用する証明書を持たないためです。  



  4. 証明書の識別名をディレクトリが認識できる識別名に割り当てます。

    これにより、証明書を使用してバインドするときに、クライアントに対するアクセス制御を設定できます。このマッピングプロセスについては、『Managing Servers with iPlanet Console』を参照してください。


クライアント認証の許可と要求

SSL を使用して Directory Server に接続するよう iPlanet Console を構成済みで、さらに Directory Server がクライアント認証を要求する場合は、iPlanet Console を使用して iPlanet サーバを管理することができなくなります。その代わりに、該当するコマンド行ユーティリティを使用する必要があります。

ただし、iPlanet Console を使用できるように、クライアント認証を要求するのではなく許可するようにあとからディレクトリ構成を変更することもできます。次の手順を実行します。

  1. Directory Server を停止します。

    コマンド行を使用したサーバの停止および起動については、「コマンド行からのサーバの起動と停止」を参照してください。

  2. cn=encryption,cn=config エントリの nsSSLClientAuth 属性値を required から allowed に修正します。

    コマンド行を使用したエントリの修正については、第 2 章「ディレクトリエントリの作成」を参照してください。

  3. Directory Server を起動します。

    これで、iPlanet Console を起動できるようになりました。



LDAP クライアントで SSL を使用するための構成

LDAP クライアントアプリケーションを使用して接続するときに、Directory Server のユーザ全員に SSL または証明書に基づく認証を使用してほしい場合は、そのユーザ全員に次の手順を必ず実行してもらう必要があります。

  • 証明書データベースの作成

  • サーバ証明書を発行する CA の信頼

LDAP クライアントでサーバの証明書を認識するには、これらの操作で十分です。ただし、LDAP クライアントで独自の証明書を使用して Directory Server の認証を行う場合は、Directory Server のユーザ全員に個人の証明書を入手してインストールしてもらう必要があります。



 

クライアントアプリケーションによっては、信頼された証明書がサーバにあるかどうかを検証しません。  



次に、Netscape Communicator 4.7 を使用してこれらの処理を実行する方法を説明します。

  1. 証明書を作成するには、Netscape Communicator 4.7 を起動するだけです。

    証明書データベースが存在していない場合は、作成されます。

  2. Communicator を使用して CA に接続します。

    内部に導入された iPlanet Certificate Server を使用している場合は、次の URL にアクセスします。

    https://hostname:444

    CA には、CA の証明書をダウンロードできるリンクを提供しているところもあります。

  3. CA を信頼します。

    この処理は、使用する CA によって異なります。iPlanet Certificate Server に接続している場合などは、Communicator から CA を信頼するかどうかを確認するプロンプトが自動的に表示されます。

これらの手順で十分に、クライアントアプリケーションは Directory Server との接続を受け入れるようになります。これは、Directory Server の証明書が信頼された CA 発行のものであることをクライアントが識別するためです。

ただし、Directory Server でクライアントの証明書を使用してクライアントを認証する場合は、以降の追加手順を実行する必要があります。

  1. クライアントシステム上で、CA からクライアント証明書を入手します。

  2. クライアントシステム上に、クライアント証明書をインストールします。

    証明書の入手方法 (電子メールまたは Web ページから) にかかわらず、証明書をインストールするためのリンクが提供されます。そのリンクをクリックして、Communicator によって表示されるダイアログボックスの指示に従って処理を行います。

    受け取った証明書情報は、必ずファイルに記録するようにしてください。特に証明書のサブジェクト DN を憶えておいてください。これは、サブジェクト DN をディレクトリのエントリに割り当てるよう、サーバを構成する必要があるためです。クライアント証明書の内容は、次の例のようになります

    -----BEGIN CERTIFICATE-----
    MIICMjCCAZugAwIBAgICCEEwDQYJKoZIhvcNAQEFBQAwfDELMAkGA1UEBhMCVVMx
    IzAhBgNVBAoTGlBhbG9va2FWaWxsZSBXaWRnZXRzLCBJbmMuMR0wGwYDVQQLExRX
    aWRnZXQgTWFrZXJzICdSJyBVczEpMCcGA1UEAxMgVGVzdCBUZXN0IFRlc3QgVGVz
    dCBUZXN0IFRlc3QgQ0EwHhcNOTgwMzEyMDIzMzU3WhcNOTgwMzI2MDIzMzU3WjBP
    MQswCQYDVQQGEwJVUzEoMCYGA1UEChMfTmV0c2NhcGUgRGlyZWN0b3J5IFB1Ymxp
    Y2F0aW9uczEWMBQGA1UEAxMNZHVgh49dq2itLmNvbTBaMA0GCSqGSIb3DQEBAQUA
    A0kAMEYCQQCksMR/aLGdfp4m0OiGcgijG5KgOsyRNvwGYW7kfW+8mmijDtZRjYNj
    jcgpF3VnlsbxbclX9LVjjNLC57u37XZdAgEDozYwNDARBglghkgBhvhCAQEEBAMC
    APAwHwYDVR0jBBgwFoAU67URjwCaGqZuUpSpdLxlzweJKiMwDQYJKoZIhvcNAQEF
    BQADgYEAJ+BVem3vBOP/BveNdLGfjlb9hucgmaMcQa98A/db8qimKT/ue9UGOJqL
    bwbMKBBopsD56p2yV3PLJIsBgrcuSoBCuFFnxBnqSiTS/7YiYgCWqWaUAExJFmD6
    6hBLseqkSWulk+hXHN7L/NrViO+7zNtKcaZLlFPf7d7j2MgX4Bo=
    -----END CERTIFICATE-----

  3. クライアント証明書は、certutil ユーティリティを使用してバイナリ形式に変換する必要があります。証明書を変換するには、次の手順を実行します。

    1. http://www.iplanet.com から certutil ユーティリティをダウンロードします。

      iPlanet のホームページで、certutil を検索します。最新の PKCS パッケージをダウンロードします。このパッケージには、certutil ユーティリティが含まれています。

    2. certutil を次の構文で実行します。

      certutil -L -d cert7.db_path -n user_cert_name -r > user_cert.bin

      ここで cert7.db_path は証明書データベースの場所を表し、user_cert_name は証明書のインストール時に指定した証明書の名前を表します。また、user_cert.bin はバイナリ形式の証明書データを含む出力ファイルの名前で、必ず指定する必要があります。

  4. サーバで certmap.conf ファイルを編集して、入手した証明書のサブジェクト DN を適切なディレクトリエントリに割り当てます。

    この手順については、『Managing Servers with iPlanet Console』を参照してください。certmap.conf ファイルで、verifyCert パラメタに on が設定されていることを確認します。



     

    このパラメタに on が設定されていない場合、Directory Server は certmap.conf ファイルの情報に一致するディレクトリ内のエントリを検索するだけです。検索処理が成功すると Directory Server は、userCertificate 属性の値を実際に検査することなくアクセス権を与えます。  



  5. Directory Server で、クライアント証明書を所有するユーザのディレクトリエントリを修正し、userCertificate 属性を追加する必要があります。

    1. 「ディレクトリ」タブを選択し、ユーザエントリに移動します。

    2. ユーザエントリをダブルクリックし、「属性エディタ」を使用して binary サブタイプを持つ userCertificate 属性を追加します。

      この属性を追加すると、編集可能なフィールドの代わりに、「値の設定」ボタンが表示されます。

    3. 「値の設定」をクリックします。

      ファイルセレクタが表示されます。セレクタを使用して、手順 6 で作成したバイナリファイルを選択します。

    Directory Server Console を使用したエントリの編集については、「ディレクトリエントリの変更」を参照してください。

これで、LDAP クライアントで SSL を使用できるようになりました。ldapmodifyldapdelete、および ldapsearch で SSL を使用する方法については、『iPlanet Directory Server 構成、コマンド、およびファイルのリファレンス』を参照してください。


前へ     目次     索引     DocHome     次へ     
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2000 Netscape Communications Corp. All rights reserved.

Last Updated February 26, 2002