Sun ONE S     前へ     目次     索引     次へ     
Sun ONE Portal Server, Secure Remote Access 6.0 管理者ガイド



第6章   証明書の操作


この章では、Secure Remote Access で提供される認証メカニズムと、必要な設定情報を説明します。

この章で扱う項目は次のとおりです。


証明書の管理

Secure Remote Access は、リモートユーザーに対して証明書に基づく認証を行います。 Secure Remote Access は SSL (Secure Sockets Layer) を使用して安全な通信を可能にします。 SSL プロトコルを使用すると、2 基のマシン間の通信が安全なものになります。

Secure Remote AccessはPDC (Personal Digital Certificates) によるクライアント認証をサポートします。 PDC は SSL クライアント認証を通じてユーザーを認証するメカニズムです。 SSL クライアント認証を使用して、SSL ハンドシェークがゲートウェイで終了します。 ゲートウェイはユーザーの PDC を抽出して、これを認証されたサーバーに渡します。 このサーバーは PDC を使用してユーザーを認証します。

認証局 (CA) が発行した証明書を使用するか、自己署名証明書を生成して使用します。


証明書ファイル

自己署名した証明書のインストールを選択している場合、Sun ONE Portal Server、Secure Remote Access をインストールすると、自己署名 SSL 証明書が作成されインストールされます。 自己署名証明書のインストールを選択していない場合、認証データベースのみが作成されます。 証明書関連のファイルは/etc/opt/SUNWps/cert/default 内にあります。 このディレクトリには、デフォルトで 5 つのファイルが格納されています。 表 6-1 にファイルとその説明を示します。


表 6-1    証明書ファイル 

ファイル名

タイプ

説明

cert7.dbkey3.dbsecmod.db

バイナリ

証明書、キー、暗号化モジュールのデータを収めています。

certadmin スクリプトを使用して操作できます。

Sun Web Server で使用するデータベースファイルと同じ形式で、InstallDir/netscape/server4/alias にあります。

必要に応じて、Sun ONE Portal Server サーバーとゲートウェイコンポーネントまたはゲートウェイプロキシ間でこれらのファイルを共有できます。

.jsspass  

非表示テキストファイル  

Sun ONE Portal Server ゲートウェイが現在使用している暗号化モジュールのパスワードを収めています。 デフォルトのモジュールは内部ソフトウェアモジュールです。  

.nickname  

非表示テキストファイル  

ゲートウェイが使用する必要のあるトークン名と証明書名を token_name:certificate_name の形式で格納します。

デフォルトのトークン(デフォルトの内部ソフトウェア暗号化モジュールのトークン)を使用している場合、トークン名を省略します。 ほとんどの場合、.nickname ファイルは証明書名のみを格納しています。

管理者はこのファイルの証明書名を修正できます。 指定する証明書は、ゲートウェイで使用されます。  


信頼属性

証明書の信頼属性は、次の情報を提供します。

  • 証明書が root 証明書ではなく、正規サーバー証明書 (ユーザー証明書) であるかどうか。

  • (root 証明書の場合の) 証明書をサーバーまたはクライアント証明書発行者として信頼できるかどうか。

各証明書について、 メSSL、電子メール、オブジェクト署名モ の順序で表される3つのトラストカテゴリがあります。 ゲートウェイコンポーネントの場合、最初のカテゴリのみが役に立ちます。 各カテゴリ位置で、ゼロ以上の信頼属性コードが使用されます。

カテゴリの属性コードはカンマ (,) で区切られ、1 セットの属性は引用符 (") で括られます。 例えば、ゲートウェイのインストール時に生成およびインストールされた自己署名証明書には、「u,u,u」が付きます。これは root CA 証明書ではなくサーバー証明書 (ユーザー証明書) であることを示します。

各値で指定される属性の値とその意味を、表 6-2 に示します。


表 6-2    証明書信頼属性 

属性

説明

p  

有効なピア  

P  

認証されたピア(pも含む)  

c  

有効なCA  

T  

クライアント証明書の発行が認証された CA (cも含む)  

C  

サーバー証明書の発行が認証された CA (cも含む)  

u  

認証または署名に証明書を使用できる  

w  

警告を送信 (そのコンテキストで証明書を使用する際、他の属性とともに使用して警告を追加する)  


認証局 (CA)

一般的な公開 CA のほとんどは、すでに認証データベースに含まれています。 次にデフォルトで含まれるすべての公開 CA とその信頼属性のリストを示します。 公開 CA の信頼属性の修正に関する詳細については、「証明書の信頼属性の修正」を参照してください。 表6-3 に、一般的な認証局と信頼属性を示します。


表 6-3    公開認証局 

認証局名

信頼属性

ABAecom (sub.、Am. Bankers Assn) ルート CA  

CG,C,C  

アメリカンエキスプレス CA  

C,C,  

アメリカンエキスプレスグローバル CA  

C,C,  

Baltimore CyberTrust コード署名ルート  

,,C  

Baltimore CyberTrust モバイルコマースルート  

CG,C,  

Baltimore CyberTrust ルート  

CG,C,  

BelSign オブジェクトパブリッシング CA  

,,C  

BelSign セキュアサーバー CA  

C,,  

ドイツテレコム AG ルート CA  

C,C,C  

Digital Signature Trust Co. グローバル CA 1  

CG,C,C  

Digital Signature Trust Co. グローバル CA 2  

CG,C,C  

Digital Signature Trust Co. グローバル CA 3  

CG,C,C  

Digital Signature Trust Co. グローバル CA 4  

CG,C,C  

E-Certify コマース ID  

C,,  

E-Certify インターネット ID  

,C,  

Entrust.net Premium 2048 セキュアサーバー CA  

C,C,C  

Entrust.net セキュアパーソナル CA  

C,C,C  

Entrust.net セキュアサーバー CA  

C,C,C  

Equifax プレミアム CA  

C,C,C  

Equifax セキュア CA  

C,C,C  

Equifax セキュアグローバルe-ビジネス CA  

C,C,C  

Equifax セキュア e- ビジネス CA 1  

C,C,C  

Equifax セキュア e- ビジネス CA 2  

C,C,C  

GTE CyberTrust グローバルルート  

CG,C,C  

GTE CyberTrust Japan ルート CA  

CG,C,C  

GTE CyberTrust Japan セキュアサーバー CA  

CG,C,C  

GTE CyberTrust ルート 2  

CG,C,C  

GTE CyberTrust ルート 3  

CG,C,C  

GTE CyberTrust ルート 4  

CG,C,C  

GTE CyberTrust ルート 5  

CG,C,C  

GTE CyberTrust ルート CA  

CG,C,C  

GlobalSign パートナ CA  

C,C,C  

GlobalSign プライマリクラス 1 CA  

C,C,C  

GlobalSign プライマリクラス 2 CA  

,C,  

GlobalSign プライマリクラス 3 CA  

,C,  

GlobalSign ルート CA  

C,C,C  

TC TrustCenter、ドイツ、クラス 0 CA  

Cw,C,C  

TC TrustCenter、ドイツ、クラス 1 CA  

,C,  

TC TrustCenter、ドイツ、クラス 2 CA  

C,C,C  

TC TrustCenter、ドイツ、クラス 3 CA  

C,C,C  

TC TrustCenter、ドイツ、クラス 4 CA  

C,C,C  

Thawte パーソナルベーシック CA  

,C,C  

Thawte パーソナルフリーメール CA  

,C,  

Thawte パーソナルプレミアム CA  

,C,C  

Thawte プレミアムサーバー CA  

CG,,C  

Thawte サーバー CA  

CG,,C  

Thawte ユニバーサル CA ルート  

CG,C,C  

ValiCert クラス 1 VA  

C,C,C  

ValiCert クラス 2 VA  

C,C,C  

ValiCert クラス 3 VA  

C,C,C  

ValiCert OCSP レスポンダ  

C,C,C  

VeriSign クラス 4 プライマリ CA  

CG,C,C  

Verisign クラス 1 パブリックプライマリ認証局  

,C,  

Verisign クラス 1 パブリックプライマリ認証局 - G2  

,C,  

Verisign クラス 1 パブリックプライマリ認証局 - G3  

,C,  

Verisign クラス 2 パブリックプライマリ認証局  

,C,C  

Verisign クラス 2 パブリックプライマリ認証局 - G2  

,C,C  

Verisign クラス 2 パブリックプライマリ認証局 - G3  

,C,C  

Verisign クラス 3 パブリックプライマリ認証局  

CG,C,C  

Verisign クラス 3 パブリックプライマリ認証局 - G2  

CG,C,C  

Verisign クラス 3 パブリックプライマリ認証局 - G3  

CG,C,C  

Verisign クラス 4 パブリックプライマリ認証局 - G2  

CG,C,C  

Verisign クラス 4 パブリックプライマリ認証局 - G3  

CG,C,C  

Verisign/RSA コマーシャル CA  

C,C,  

Verisign/RSA セキュアサーバー CA  

C,C,  


certadmin スクリプト

Sun ONE Portal Server、Secure Remote Access をインストールすると、自己署名 SSL 証明書が作成され、インストールされます。

certadmin スクリプトを使用して、次のような証明書管理を追加することができます。

gwcertutil

InstallDir/SUNWps/bin/ certadmin スクリプトは、gwcertutil コマンドを便宜上ラップするスクリプトです。 certadmin スクリプトを使用すると、証明書管理に関連した通常のタスクを実行しやすくなります。 追加機能については、直接 gwcertutil コマンドを使用します。 例えば、認証データベースから証明書を削除する場合に gwcertutil を使用します。コマンド gwcertutil -H で使用方法を表示できます。


自己署名 SSL 証明書の生成

詳細については、Sun ONE Portal Server、Secure Remote Access 6.0 インストールガイドの第4章「SSL 証明書のインストール」の「自己署名付き証明書の生成」を参照してください。


SSL 証明書の CA からの取得とインストール

Secure Remote Access ゲートウェイコンポーネントのインストール時に、デフォルトで自己署名証明書が作成されインストールされます。 インストール後はいつでも、正式な認証局 (CA) が指定するベンダまたは自社の CA が署名した SSL 証明書をインストールすることができます。

この作業は 3 段階で実行されます。

  1. 証明書署名要求 (CSR) の生成

  2. 証明書の CA からの取得

  3. 証明書の CA からのインストール

詳細については、Sun ONE Portal Server、Secure Remote Access 6.0 インストールガイドの第 4 章「SSL 証明書のインストール」の「認証局から取得した証明書のインストール」を参照してください。


ルート CA 証明書のリスト

ルート CA のリストを表示する手順

  1. root として certadmin スクリプトを実行します。

    # InstallDir/SUNWps/bin/certadmin -n profilename

ここで profilename はゲートウェイインスタンスの名前です。

「証明書管理 (Certificate Administration)」メニューが表示されます。

1) 自己署名証明書を生成
2) 証明書署名要求 (CSR) を生成
3) ルート CA 証明書を追加
4) 証明局 (CA) から証明書をインストール
5) 証明書の信頼属性を変更 (PDCを使用する場合など)
6) ルート CA 証明書一覧を表示
7) すべての証明書を表示
8) 終了

選択: [8] 6

  1. 「証明書管理 (certificate administration)」メニューのオプション 6 を選択します。


すべての証明書のリスト

すべての証明書およびその信頼属性は、証明書管理スクリプトを使用して表示することができます。

すべての証明書をリストする手順

  1. root として certadmin スクリプトを実行します。

    # InstallDir/SUNWps/bin/certadmin -n profilename

    ここで profilename はゲートウェイインスタンスの名前です。

    「証明書管理 (Certificate Administration)」メニューが表示されます。

    1) 自己署名証明書を生成
    2) 証明書署名要求 (CSR) を生成
    3) ルート CA 証明書を追加
    4) 証明局 (CA) から証明書をインストール
    5) 証明書の信頼属性を変更 (PDC を使用する場合など)
    6) ルート CA 証明書一覧を表示
    7) すべての証明書を表示
    8) 終了

    選択: [8] 7

  2. 「証明書管理 (certificate administration)」メニューのオプション 7 を選択します。


証明書の信頼属性の修正

証明書の信頼属性を修正する必要があるケースに、ゲートウェイにクライアント認証を使用している場合があります。 クライアント認証の例に PDC (Personal Digital Certificate) があります。 PDC を発行する CA はゲートウェイで認証される必要があります。例えば SSL については CA 証明書に「T」を付けます。

自己署名証明書を渡す HTTPS サイトとの通信用にゲートウェイコンポーネントが設定されている場合、ゲートウェイコンポーネントに未知の CA の認証を許可する設定をすると便利です。 ただし重要な配備では、このような方法を用いる場合、注意が必要です。

証明書の信頼属性を修正する手順

  1. root として certadmin スクリプトを実行します。

    # InstallDir/SUNWps/bin/certadmin -n profilename

    ここで profilename はゲートウェイインスタンスの名前です。

    「証明書管理 (Certificate Administration)」メニューが表示されます。

    1) 自己署名証明書を生成
    2) 証明書署名要求 (CSR) を生成
    3) ルート CA 証明書を追加
    4) 証明局 (CA) から証明書をインストール
    5) 証明書の信頼属性を変更 (PDC を使用する場合など)
    6) ルート CA 証明書一覧を表示
    7) すべての証明書を表示
    8) 終了

    選択: [8] 5

  2. 「証明書管理 (certificate administration)」メニューのオプション 5 を選択します。

  3. 証明書の名前を入力します。 例えば、Thawte Personal Freemail C などです。

    105: 証明書の名前を入力してください。
    Thawte Personal Freemail CA

  4. 証明書の信頼属性を入力します。

    106: 証明書の信頼属性を入力してください。
    [CT,CT,CT]

証明書の信頼属性が変更されます。


前へ     目次     索引     次へ     
Copyright 2002 Sun Microsystems, Inc. All rights reserved.

最終更新日 2002 年 9 月 26 日