「署名付き」パッチとは、デジタル署名の付いたパッチのことです。有効なデジタル署名付きのパッチは、署名が適用された以降はパッチの変更が行われていないことを保証します。署名付きパッチには、パッチをシステムに追加する前に確認できるデジタル署名が含まれています。このため、パッチのダウンロードやパッチの追加を安全に行うことができます。
Solaris 2.6、7、8、および 9 リリースのパッチには、デジタル署名が付属しています。デジタル署名のないパッチ (「署名なしパッチ」) もありますが、最終的にはすべてのパッチが「署名付きパッチ」になる予定です。 有効なデジタル署名は、署名が適用された以降にパッチの変更が行われていないことを保証します。
署名付きパッチは Java アーカイブ形式 (JAR) ファイルに格納され、SunSolve OnlineSM から入手できます。
デジタル署名付きのパッチアーカイブをダウンロードしたあと、Sun Microsystems から発行された認証済みデジタル証明書を使って、このパッチアーカイブが改ざんされていないことを検証できます。こうした証明書は、システムのキーストアにインポートされます。キーストアは、保護されたデータベースです。ここに、Sun のキーや証明書が格納されます。システムのキーストアに証明書をインポートするには、keytool コマンドを使用します。keytool コマンドの使用方法については、キーストアに Sun の証明書をインポートする方法を参照してください。
Sun の証明書をインポートするときに特別なパスワードを指定して、キーストアへのアクセスを保護できます。
SUNWcert パッケージには、パッチの署名を検証するために必要な Sun の証明書発行ソフトウェア (CA) が収められています。 SUNWcert パッケージの入手方法は次のとおりです。
Solaris 2.6、7、および 8 の場合 – SUNWcert パッケージは、Solaris 2.6、7、または 8 のパッチ管理ツールをダウンロードしてインストールするときに自動的にインストールされます。
Solaris 9 の場合 – SUNWcert パッケージは、Solaris 9 パッチ管理ツールをダウンロードしてインストールするときに自動的にインストールされます。
セキュリティ保護された、次のいずれかのサイトからダウンロードします。
SUNWcert パッケージ内の証明書が http://www.sun.com/pki/index.html の認証情報と一致していることを確認できます。
SunPKI (Sun Public Key Infrastructure) アーキテクチャは、ルート CA (Certificate Authority) と呼ばれる最高レベルの証明書と、Sun Microsystems が発行する下位 CA (Class B) 証明書で構成されています。署名付きパッチのデジタル署名の検証には、Sun Enterprise Services 発行の追加証明書 (パッチ管理証明書) が使用されます。
Sun のルート CA 証明書、Sun の Class B CA 証明書、およびパッチ署名証明書は、SUNWcert パッケージに収められています。
この 3 つの証明書により、Sun ルート CA 証明書から Class B CA 証明書、Class B CA 証明書からパッチ管理証明書にさかのぼってパッチの信頼性を検証する「認証チェーン」が構成されます。最終的に、Sun のルート CA は、GTE CyberTrust CA によって認証されます。
Sun の証明書は、先頃 GTE CyberTrust を買収した Baltimore Technologies によって発行されています。
証明書発行局は、パッチのデジタル署名の復号に使用される公開鍵と、こうした公開鍵の所有者の関係を認証します。
Sun CA プロセスには次のような意味があります。
Sun がデジタル証明書を発行し、認証する。
Sun 所有の秘密鍵で、証明書内の公開鍵のペアが作成される。
これらの証明書はもっぱらビジネスの目的で使用される。証明書ユーザーが Sun の証明書ポリシーに違反した場合、その証明書は廃棄されるか、一時的に無効になる。
Sun の証明書ポリシーの詳細については、http://www.sun.com/pki/cps.html を参照してください。
Sun のルート証明書または Class B 証明書が盗難などによって紛失した場合、http://www.sun.com/pki/ca/pkismica.crl.html に廃棄された証明書のリストが送信されます。
このサイトで、インポートされている証明書が有効であるかどうかを定期的に確認することをお勧めします。インポートされている証明書が廃棄された場合は、キーストアから削除し、新しい証明書をインポートしてください。
署名付きパッチ証明書が廃棄された場合、該当する署名付きパッチが SunSolve の Web サイトから削除され、代わりに新しいデジタル署名付きパッチが配置されます。