|
| |
| Sun Java System Portal Server Secure Remote Access 6 2005Q4 管理ガイド | |
第 7 章
証明書この章では、証明書の管理、および自己署名証明書または認証局からの証明書をインストールする方法について説明します。
この章で説明する内容は次のとおりです。
SSL 証明書の概要Sun JavaTM System Portal Server Secure Remote Access ソフトウェアは、証明書ベースのリモートユーザー認証を提供します。SRA では、通信の安全を確保するために SSL (Secure Sockets Layer) を使用します。SSL プロトコルを使用することで、2 つのマシン間の通信がセキュリティー保護されます。
SSL 証明書は、公開鍵と秘密鍵のペアを使用した暗号化と複合化の機能を提供します。
証明書には、次の 2 種類があります。
ゲートウェイのインストール時に、デフォルトでは自己署名証明書が生成およびインストールされます。
証明書は、インストール後にいつでも生成、取得、または交換することができます。
SRA は PDC (Personal Digital Certificates) によるクライアント認証をサポートします。PDC は SSL クライアント認証を通じてユーザーを認証するメカニズムです。SSL クライアント認証を使用して、SSL ハンドシェークがゲートウェイで終了します。ゲートウェイはユーザーの PDC を抽出し、認証されたサーバーにこれを渡します。このサーバーは、この PDC を使用してユーザーを認証します。認証連鎖における PDC の設定については、「認証連鎖の使用」を参照してください。
SRA には、SSL 証明書を管理するための certadmin というツールが用意されています。「certadmin スクリプト」を参照してください。
証明書ファイル証明書関連のファイルは /etc/opt/SUNWps/cert/gateway-profile-name 内にあります。このディレクトリには、デフォルトで 5 つのファイルが格納されています。
表 7-1 は、これらのファイルの説明を示しています。
証明書の信頼属性証明書の信頼属性が示す情報は、次のとおりです。
各証明書について、「SSL,電子メール,オブジェクト署名」の順序で表される 3 つの信頼カテゴリがあります。ゲートウェイコンポーネントの場合、最初のカテゴリだけが使用されます。各カテゴリの位置に、信頼属性コードが設定されます (カテゴリにコードが設定されない場合もある)。
カテゴリの属性コードはカンマ (,) で区切られ、属性のセット全体は引用符 (") で囲まれます。たとえば、ゲートウェイのインストール時に生成、インストールされた自己署名証明書には、"u,u,u" が設定されます。これは、証明書がルート CA 証明書ではなくサーバー証明書 (ユーザー証明書) であることを示します。
表 7-2 は、属性値のリストとそれぞれの意味を示しています。
CA の信頼属性公開されている既知の CA のほとんどは、すでに認証データベースに含まれています。公開 CA の信頼属性の変更については、「証明書の信頼属性の変更」を参照してください。
表 7-3 は、代表的な認証局とその信頼属性を示しています。
certadmin スクリプトcertadmin スクリプトを使用して、次のような証明書管理タスクを実行できます。
自己署名証明書の生成各サーバーとゲートウェイの間で SSL 通信を行うには、証明書を生成する必要があります。
インストール後に自己署名証明書を生成するには
- 証明書を生成するゲートウェイマシンで、root として certadmin スクリプトを実行します。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 1
- 証明書管理メニューのオプション 1 を選択します。
既存のデータベースファイルを維持するかどうかを確認するメッセージが表示されます。
- 組織に固有の情報、トークン名、証明書名を入力します。
トークン名 (デフォルトトークンの場合は指定されない) と証明書名は、/etc/opt/SUNWps/cert/gateway-profile-name の .nickname ファイルに格納されます。
- ゲートウェイを再起動して証明書を適用します。
gateway-install-root/SUNWps/bin/gateway -n new gateway-profile-name start
証明書署名要求 (CSR) の生成CA に証明書を要求する前に、その CA が要求する情報を含む証明書署名要求 (CSR) を生成する必要があります。
CSR を生成するには
- root として certadmin スクリプトを実行します。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 2
- 証明書管理メニューのオプション 2 を選択します。
組織に固有の情報、トークン名、Web マスターの電子メールアドレスと電話番号を要求するプロンプトが表示されます。
ホスト名は、完全修飾 DNS 名で指定する必要があります。
このホストの完全修飾 DNS 名を指定してください [snape.sesta.com]
組織 (企業など) の名前を指定してください []
組織単位 (部門など) の名前を指定してください []
所在地の都市名を指定してください []
所在地の都道府県を指定してください []
2 桁の国コードを指定してください []
トークン名は、デフォルトの内部 (ソフトウェア) 暗号化モジュールを使用しない場 合 (暗号化カードを使用する場合など) にだけ必要です。トークン名は、modutil -dbdir /etc/opt/SUNWps/cert/default -list を実行してリスト表示できま す。必要がない場合は、次でリターンキーを押します。
トークン名を入力してください []
次に、証明書の生成の対象であるコンピュータの Web マスターへの連絡先情報を入力 します。
このサーバーの管理者または Web マスターの電子メールアドレスを指定してください []
このサーバーの管理者または Web マスターの電話番号を指定してください []
- 要求されるすべての情報を入力します。
CSR が生成され、portal-server-install-root/SUNWps/bin/csr.hostname.datetimestamp ファイルに格納されます。CSR は画面にも出力されます。CA に証明書を要求するときは、CSR をコピーして直接貼り付けることができます。
ルート CA 証明書の追加ゲートウェイの証明書データベースに登録されていない CA が署名した証明書をクライアントサイトが提示した場合、SSL ハンドシェークは失敗します。
これを防ぐには、証明書データベースにルート CA 証明書を追加する必要があります。これにより、ゲートウェイはその CA を認識できるようになります。
ブラウザで CA の Web サイトにアクセスし、その CA のルート証明書を取得します。certadmin スクリプトを使用するときは、ルート CA 証明書のファイル名とパスを指定します。
ルート CA 証明書を追加するには
- root として certadmin スクリプトを実行します。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 3
- 証明書管理メニューのオプション 3 を選択します。
- ルート証明書を格納したファイルの名前と証明書名を入力します。
証明書データベースにルート CA 証明書を追加します。
証明書認証局から届いた SSL 証明書のインストールゲートウェイのインストール時に、自己署名証明書がデフォルトで作成およびインストールされます。インストール後はいつでも、正式な認証局 (CA) が指定するベンダまたは自社の CA が署名した SSL 証明書をインストールすることができます。
この作業は、次の 3 段階で実行されます。
CA への証明書の要求
証明書署名要求 (CSR) を生成したら、その CSR を使用して CA に証明書を要求します。
CA に証明書を要求するには
CA から届いた証明書のインストール
certadmin スクリプトを使用して、CA から届いた証明書を /etc/opt/SUNWps/cert/gateway-profile-name 内のローカルデータベースファイルにインストールできます。
CA から届いた証明書をインストールするには
- root として certadmin スクリプトを実行します。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 4
- 証明書管理メニューのオプション 4 を選択します。
証明書ファイル名、証明書名、トークン名の入力を求められます。
- 要求されるすべての情報を入力します。
証明書が /etc/opt/SUNWps/cert/gateway-profile-name にインストールされ、画面はプロンプトに戻ります。
- ゲートウェイを再起動して証明書を適用します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
証明書の削除証明書管理スクリプトを使用して、証明書を削除することができます。
証明書を削除するには
- root として certadmin スクリプトを実行します。
gateway-profile-name は、ゲートウェイのインスタンス名です。
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 5
- 証明書管理メニューのオプション 5 を選択します。
- 削除する証明書の名前を入力します。
証明書の信頼属性の変更証明書の信頼属性の変更が必要となる理由の 1 つに、ゲートウェイでのクライアント認証の使用が挙げられます。クライアント認証には、PDC (Personal Digital Certificate) などがあります。ゲートウェイは、PDC を発行する CA を信頼する必要があり、証明書の信頼属性は、SSL 用に「T」に設定する必要があります。
ゲートウェイが HTTPS サイトとの通信を設定されている場合、ゲートウェイは、HTTPS サイトのサーバー証明書を発行する CA を信頼する必要があり、証明書の信頼属性は SSL 用に「C」に設定する必要があります。
証明書の信頼属性を変更するには
- root として certadmin スクリプトを実行します。
gateway-profile-name は、ゲートウェイのインスタンス名です。
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 6
- 証明書管理メニューのオプション 6 を選択します。
- 出力する証明書の名前を入力します。たとえば、Thawte Personal Freemail C などです。
- 証明書の信頼属性を入力します。
証明書の信頼属性が変更されます。
ルート CA 証明書のリスト表示証明書管理スクリプトを使用して、すべての CA 証明書をリスト表示することができます。
ルート CA 証明書をリスト表示するには
- root として certadmin スクリプトを実行します。
gateway-profile-name は、ゲートウェイのインスタンス名です。
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 7
- 証明書管理メニューのオプション 7 を選択します。
すべてのルート CA 証明書が表示されます。
すべての証明書のリスト表示証明書管理スクリプトを使用して、すべての証明書とその信頼属性を表示することができます。
すべての証明書をリスト表示するには
- root として certadmin スクリプトを実行します。
gateway-profile-name は、ゲートウェイのインスタンス名です。
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 8
- 証明書管理メニューのオプション 8 を選択します。
すべての CA 証明書が表示されます。
証明書の出力証明書管理スクリプトを使用して、証明書を出力することができます。
証明書を出力するには
- root として certadmin スクリプトを実行します。
gateway-profile-name は、ゲートウェイのインスタンス名です。
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 9
- 証明書管理メニューのオプション 9 を選択します。
- 出力する証明書の名前を入力します。