test

Sun WebServer のインストール

ルート CA の設定

root 証明書 (CA) は、ネットワーク上の Web サイトの鍵パッケージおよび証明書を作成するために必要です。ルート CA ユーザーおよびルート CA マシンの役割が不明の場合は、「SSL の条件の概要」を参照してください。

ルート CA マシンを設定してから、次に Web サイトの資格を作成することができるルート CA を作成してください。

ルート CA のマシンを設定するには

  1. 資格を作成するための所定のパッケージがマシンにインストールされていることを確認します。

    SUNWhttp

    ルート CA を動作させるためのツールおよびスクリプトが格納されている

    SUNWfns

    最新のフェデレーテッドネーミングサービスファイル

    SUNWski

    SKI ライブラリ

    SUNWskica

    鍵パッケージおよび証明書を作成するための暗号化ソフトウェア

    SUNWskicw

    ルート CA のライセンスソフトウェア

    SUNWskimc

    SKI 1.0 ソフトウェア (CA マニュアルページパッケージ)

    SUNWskimu

    SKI 1.0 ソフトウェア (CA ユーザーマニュアルページパッケージ)

    SUNWssl

    SSL 1.0 ソフトウェア (グローバルバージョンライブラリ)

    SUNWskild

    SKI 1.0 ソフトウェアパッケージ (米国およびカナダのライブラリ)

    SUNWssld

    SSL 1.0 ソフトウェア (米国およびカナダのライブラリ)

    SSL のインストールを選択すると、これらのパッケージは Sun WebServer と一緒にインストールされます。

  2. Sun WebServer のインストール中に、セキュリティ鍵および証明書の作成に必要なプロセスが開始します。以下のプロセスが動作中であることを確認します。

    • /usr/lib/security/skiserv

    • /usr/lib/security/cryptorand

  3. ルート CA ユーザーとなるユーザーを選択または作成します。

    注 -

    このドキュメントではルート CA ユーザーを rootca としていますが、実際には /etc/passwd から任意の UNIX ユーザー名を選択することができます。

  4. rootca が所有しており資格の格納が可能なディレクトリを作成します。

    このディレクトリは、第三者による読み取りが可能であってはなりません。例 : 


    # mkdir /var/SSL_CERTS
# chmod 700 /var/SSL_CERTS
# chown rootca /var/SSL_CERTS
ルート CA を作成するには

  1. ルート CA の識別名 (DN) エントリを決定します。

    詳細は、「ルート CA ユーザー」を参照してください。DNの例 : cn=rootca, o=A.net, st=California, c=US

  2. ルート CA マシンにルート CA ユーザーとしてログインします。

  3. create_rootcaを実行します。

    create_rootca/usr/bin で使用できない場合、このマシンには SUNWski パッケージがインストールされていません。

  4. ルート CA の DN を入力します。


    Enter Distinguished Name (e.g. "o=SUN, c=US") or q[uit]: 
cn=rootca, o=A.net, st=California, c=US

  5. 資格を格納するディレクトリ名を入力します。


    Enter directory pathname under which the key package and certificate 
will be stored, or q[uit].  Directory name ? /var/SSL_CERTS

    スクリプトは、ルート CA の公開鍵と非公開鍵を作成します。すべての鍵パッケージは、無断使用を防止するためにパスワード保護されます。

  6. ルート CA および鍵パッケージのパスワードを入力します。


    keypkg: Enter your NEW key package password:
keypkg: Reenter your NEW key package password:

  7. 鍵パッケージをネーミングサービスにおいて使用可能にすることもできます。鍵パッケージをネーミングサービスに格納するには、マシンのルートパスワードが必要です。

    鍵パッケージは、必ずファイルに格納されます。鍵パッケージをネーミングサービスにおいて使用可能にすると、他のセキュリティツールは絶対パス名がなくても鍵を見つけることができます。

    これでルート CA が設定されました。次に、ルート CA で Web サイトの鍵パッケージおよび証明書を作成します。

    次の設定手順 「資格の作成」に進みます。

  8. 手順 7 を実行しない場合は、資格を FNS に保存し、その資格を手作業で格納します。


    # skistore -d dirname

    dirname は、手順 5 で指定したとおりです。