第 5 章 サーバ セキュリティ

この章では、データを保護し、侵入者のアクセスを防ぎ、サーバへのアクセス権を持つ人を指定するために設計された SSL (Secure Sockets Layer) プロトコルおよび他の機能を有効にする方法について説明します。相互運用性および整合性を最大限に高めるため、業界標準およびパブリック プロトコルに基づいて構築された iPlanet Web Server は、すべての Netscape/iPlanet サーバのセキュリティ アーキテクチャを統合します。

• iPlanet Web Server のセキュリティについて


• 新しいサーバ インスタンスの作成


• 証明書認証データベースの作成


• 証明書の要求


• 証明書と証明書リストのインストールと管理


• SSL (Secure Sockets Layer) の使用


• クライアント証明書の使用


• 承認データベース/キー ペア ファイル パスワードの変更


• Enterprise Server 3.x 証明書の移行


• サーバ セキュリティの検討事項

• 暗号化

• 証明書
• iPlanet Web Server を SSL 用に設定する

• FORTEZZA 符号化方式を使った SSL 接続
• FORTEZZA カード リーダを使った証明書およびキーの保存
• FORTEZZA 危殆化キー リスト (CKL) および破棄証明書リスト (CRL) のインポートおよび使用
• FORTEZZA 符号化方式であらかじめ暗号化されたファイルの提供

ノート iPlanet Web Server, Enterprise Edition 4.1 では、Windows NT、Solaris、および HPUX プラットフォーム用の FORTEZZA がサポートされています。

• FORTEZZA 暗号化規格。FORTEZZA モジュールにより、FORTEZZA 暗号化、認証、およびキー確認を Web サーバで使用することができます。
• SSL (Secure Sockets Layer)。FORTEZZA 接続では SSL バージョン 3 が使用されます。
• NSS ライブラリ。現在は NSS 2.72 が使用されています。Web サーバは NSS 関数を呼び出し、NSS 関数は FORTEZZA ライブラリを呼び出します。
• PKCS#11 Web サーバ インフラストラクチャ。FORTEZZA モジュールは、既存の PKCS#11 モジュール管理方法を使って追加および設定されます。
• NSAPI。FORTEZZA モジュールは NSAPI プラグインを使って、あらかじめ暗号化されたファイルを処理します。
• Modutil。secmod.db の更新と PKCS#11 モジュールの追加および削除を行うためのユーティリティ。

FORTEZZA 暗号化については、『Netscape Console によるサーバの管理』を参 照してください。

• 56 ビット暗号化の (FIPS) DES および SHA-1 メッセージ認証
• 168 ビット暗号化の (FIPS) トリプル DES と SHA-1 メッセージ認証

• サーバは、クライアント証明書内の CA が、Administration Server 内にリストされた認証済みの CAに一致するかどうかを確認します。これは、そのクライアントが、サーバが信頼する CA からの有効な証明書を持っていることを確認します (クライアントが Netscape Navigator または Netscape Communicator であり証明書の期限が切れている場合は、期限切れの証明書を送信する前に、クライアントはユーザに警告します。ほとんどの Netscape/iPlanet サーバはエラーを記録して証明書を拒否し、クライアントにメッセージを返します)。
• サーバにより、クライアント証明書からさらに情報が収集され、その情報が LDAP ディレクトリ内のユーザ エントリと照合されます。 このプロセスにより、クライアントの証明書が有効であり、またこのクライアントのエントリが LDAP ディレクトリ内にあることが確認されます。このプロセスは、クライアント証明書が LDAP ディレクトリ内にあるものと一致することを確認することもできます。

ノート クライアント証明書を使うには、Netscape/iPlanet サーバの SSL がオンになっている必要があり、Administration Server はクライアントに証明書を発行した CA を認証する必要があります。CA の認証方法については、証明書の管理を参照してください。

• 新しいサーバ インスタンスの作成

• 証明書認証データベースの作成
• 証明書の要求
• 証明書と証明書リストのインストールと管理
• SSL (Secure Sockets Layer) の使用

1. Administration Server にアクセスし、[Servers] タブを選択します。
2. [Add Server] リンク
3. をクリックします。
4. 指定されたフィールドに希望の情報を入力します。
5. サーバでの IP アドレスの解決方法に対応するラジオ ボタンをクリックします。
6. [OK] をクリックします。

server_root/alias/<serverid-hostname>-key3.db

1. Administration Server にアクセスし、[Security] タブを選択します。
2. [Database Password] にパスワードを入力します。
3. [Password] にパスワードを再度入力します。
4. [OK] をクリックします。

ノート 商用 CA に証明書を要求しても、必ず証明書が得られるとは限りません。ま た、多数の CA が、証明書を発行する前に ID の証明を要求します。証明書の 承認にかかる時間は、 1 日から2 ヶ月の間です。 CA に必要な情報をすべて迅 速に提供するのはユーザの責任です。

証明書を要求するには、CA が必要とする情報を確認し、次の手順を実行します。

1. Administration Server にアクセスし、[Security] タブを選択します。
2. [Request Certificate] リンクをクリックします。
3. iPlanet Web Server により表示されるフォームで、これが新しい証明書なのか、または更新であるのかを指定します。 多くの証明書は、6 ヶ月、1年といった設定された期間後に、有効期限が切れます。CA によっては、自動的に更新された証明書を送信するものもあります。
4. 次の手順を実行して、証明書のリクエストの提出方法を指定します。

1. CA が電子メールでのリクエスト受信を指定している場合は、[CA Email] をオンにし、電子メール アドレスを入力します。CA のリストが必要な場合は、[List of available certificate authorities] をクリックします。
2. Netscape Certificate Server を使っている内部 CA からの証明書を要求する場合は、[CA URL] をクリックし、証明書サーバの URL を入力します。この URL は、証明書リクエストを処理する証明書サーバのプログラムを指しているはずです。 URL の例は、 https://CA.mozilla.com:444/cms です。
5. ドロップダウンリストから、証明書を要求する際に使うキー ペア ファイルの暗号化モジュールを選択します。

暗号化モジュールを追加する方法については、PKCS#11モジュールの追 加または、「Install a New PKCS#11 Module」ページを参照してください。

6. キー ペア ファイルのパスワードを入力します。これは、 証明書認証データベースの作成で認証データベースを作成したときに指定したパスワードと同じです。サーバはこのパスワードを使って秘密キーを取得し、CA へのメッセージを暗号化します。 次にサーバは、 公開キーと暗号化されたメッセージの両方を CA に送信します。CA はその公開キーを使ってメッセージを解読します。
7. ID 情報を入力します。この情報のフォーマットは、CA により異なります。これらのフィールドの概要については、 必要なCA 情報を参照してください。 これらの情報のほとんどは、証明書の更新時には通常必要ありません。
8. ここまでの作業を再確認します。情報が正確であるほど、証明書が早く承認される確立が高くなります。
9. 情報が正確かどうかを確認したら、[OK] をクリックします。リクエストが証明書サーバに送信される場合は、リクエストが送信される前にフォームの情報を確認するように指示があります。 情報を確認してから、[OK] をクリックして証明書サーバにリクエストを送信します。

• Common Name は、DNS 照合で使われる完全修飾ホスト名である必要があります (たとえば、www.iPlanet.com など)。これはブラウザがユーザのサイトの接続に使う URL のホスト名です。 この 2 つの名前が同一であることは重要です。一致しないと、証明書名がサイト名と一致しないという通知がクライアントに行き、人々はユーザの証明書の認証に対し疑いを持つようになります。 しかし、CA によっては別の情報を要求する場合もあるため、CA に連絡することが重要です。Common Name には、ワイルドカードは使えません。
• 電子メール アドレスは、ユーザのビジネス上の電子メール アドレスです。このアドレスはユーザと CA の間の連絡に使われます。
• 組織は、ユーザの会社、教育機関、合名会社などの公式の法律上の名前です。ほとんどの CA は、この情報を法的文書 (ビジネス ライセンスの写しなど)で証明するように要求します。
• 組織単位は、会社内の組織を記述するオプションのフィールドです。このフィールドを非公式の会社名 (株式会社、コーポレーション などが付いていない) に使うこともできます。
• 地域性は、組織のある市、国などを説明するオプションのフィールドです。
• 都道府県名は、通常は必須フィールドですが、CA によってはオプションであることもあります。ほとんどの CA は省略形を受け付けません。いずれにしても、問い合わせて確認します。
• 国は、国名を 2 文字の省略形 (ISO 形式) で入力する必須フィールドです。 アメリカ合衆国の国コードは US です。

• 証明書のインストール

• 証明書の管理
• 証明書リストの管理

• クライアントに提示する、お使いのサーバの証明書
• 証明書チェーン内で使う CA の証明書

ノート 証明書チェーンで使う CA 証明書は、ユーザ自身の証明書をインストールする プロセスと同じプロセスでインストールします。 CA が自動的に証明書を送信 しない場合は、証明書を要求します。しかし、ほとんどの CA は、受取人の証 明書を電子メールで送信する際に一緒に送信します。この場合、証明書をイン ストールする際に、サーバにより両方の証明書がインストールされます。証明 書チェーンの詳細については、『Netscape Console によるサーバの管理』の付録 D「Introduction to Public-Key Cryptography」を参照してください。

証明書をインストールしてそれをエイリアスと関連付けるには、次の手順を実行します。

1. Administration Server にアクセスし、[Security] タブを選択します。
2. [Install Certificate] リンクをクリックします。
3. インストールする証明書のタイプをオンにします。

• [This Server] は、ユーザのサーバのみに関連付けられている証明書を 1 つインストールする場合にオンにします。
• [Server Certificate Chain] は、証明書チェーンに加える CA の証明書をインストールする場合にオンにします。
• [Trusted Certificate Authority (CA)] は、クライアント認証の認証済み CA として受け入れる CA の証明書をインストールする場合にオンにします。
4. 証明書がチェーン用の場合は、証明書に名前を付けます。iPlanet Web Server により、この名前は [Manage Certificates] リストに表示されます。この名前は証明書を説明するものにしてください。名前にスペースを挿入することもできます。たとえば、"United States Postal Service CA" はCA の名前で、"VeriSign Class 2 Primary CA" は CA と証明書のタイプの両方を説明します。 証明書がこのサーバ用の場合は、Administration Server により、"Server-Cert" という名前が使われます。
5. 保存した電子メールへの絶対パスを入力するか、[Message text (with headers)] というフィールドに電子メールのテキストを貼り付けます。テキストをコピーして貼り付ける場合は、"Begin Certificate" と "End Certificate" を最初と最後のハイフンと一緒に付け加えるのを忘れないようにします。また、ファイルかテキストのいずれかの該当するラジオ ボタンをオンにします。
6. [OK] をクリックします。
7. [Add] をクリックします。

証明書は、サーバの証明書データベースに保存されます。ファイル名は次 のような <alias>-cert.db の形式になります。

https-<serverid>-<hostname>-cert7.db

詳細については、「Install a Server Certificate」ページを参照してください。

1. Administration Server にアクセスし、[Security] タブを選択します。
2. [Manage Certificates] リンクをクリックします。

iPlanet Web Server により、「Manage Server Certificates」ページが表示されま す。

3. 証明書ファイルのエイリアスを選択し、[OK] をクリックします。

そのエイリアスに関連付けられたインストール済みのすべて証明書が、そ れぞれのタイプと有効期限と共に表示されます。リンク テキストは、証明 書がインストールされたときに証明書に与えられた名前です。Administration Server にはいくつかのデフォルトの証明書があり、それらはユーザによりイ ンストールされた証明書にリストされています。証明書はすべて server_root/alias ディレクトリに保存されます。

4. 証明書の詳細を表示するには、証明書のリンクをクリックします。その証明書に関する情報が表示されたウィンドウが表示されます。図 5.1 はサンプルです。



図 5.1    所有者と発行者の情報も含まれる証明書



5. CA を認証するには、 [Trust] をクリックします。CA が既に認証済みの場合は、[Do Not Trust] をクリックすることもできます。デフォルト設定では、CA は認証されていません。

証明書を削除するには [Delete Certificate] ボタンをクリックします。

ウィンドウを閉じるには [Quit] ボタンをクリックします。

• CRL または CKL の取得
• 認証データベースへの CRL または CKL の追加
• CRL の管理

1. ブラウザを使って CA の Web サイトに移動します。正確な URL については、CA 管理者に問い合わせてください。
2. CA の指示に従って、CRL または CKL をローカル ディレクトリにダウンロードします。

1. Administration Server にアクセスし、[Security] タブを選択します。
2. [Install CRL/CKLs] リンクをクリックします。

iPlanet Web Server により、「Install a Certificate Revocation List」ページが表示 されます。

3. [Certificate Revocation List] または [Compromised Key List] の [File contains] ラジオ ボタンをクリックします。
4. [The CRL/CKL is in this file] フィールドに、関連ファイルへの絶対パスを入力します。
5. [OK] をクリックします。データベース内にリストが既に存在する場合は、ここで指定したリストが既存のリストに置き換わります。

1. Administration Server にアクセスし、[Security] タブを選択します。
2. [Manage CRLs] リンクをクリックします。

iPlanet Web Server により、「Manage Certificate Revocation Lists」ページが表示 されます。インストール済みのすべての CRL がその有効期限と共にリス トされます。

3. 詳細とオプションを表示するには、希望の CRL をクリックします。
4. CRL をクリックして選択します。
5. 認証データベースに CRL を追加するには、[Add] をクリックします。

• SSL の有効化

• 符号化方式の指定
• セキュリティ(SSL) プリファレンスの設定
• PKCS#11モジュールの追加
• SSL コンフィグレーション ファイル ディレクティブの使用

https://<サーバ名.[ドメイン.[dom]]:[ポート番号]>

警告 [No Encryption, only MD5 message authentication] チェックボックスをオンにしな くてもかまいませんが、クライアント サイドで他の符号化方式を使用できな い場合、サーバによりこのオプションが使われ、暗号化は行われません。

特定の符号化方式については、『Netscape Console によるサーバの管理』を参照 してください。

セキュリティ(SSL) プリファレンスの設定
すべてのサーバ上で SSL 暗号化を使うようにプリファレンスを設定することができます。iPlanet Web Server の SSL プリファレンスを設定するには、暗号化のプリファレンスの設定を参照してください。

$SERVER_ROOT/alias/https-$SERVERID-$HOSTNAME-key3.db

$SERVER_ROOT/alias/https-$SERVERID-$HOSTNAME-cert7.db

/usr/local/netscape

/usr/local/netscape/alias/https-secure.example.com-secure- key3.db

/usr/local/netscape/alias/https-secure.example.com-secure- cert7.db

CERTDefaultNickname $TOKENNAME:Server-Cert

1. Administration Server にアクセスし、[Security] タブを選択します。
2. [Add PKCS#11 Module] リンクをクリックします。
3. [Path to Jar File] に .jar ファイルのパスを入力します。
4. [OK] をクリックします。

ノート このライブラリは、NSS ライブラリがこれを FORTEZZA 暗号化のデフォルト サービス プロバイダとして認識できるように、-ciphers FORTEZZA を使ってインストールする必要があります。

ノート クライアントとサーバの両方で FORTEZZA 符号化方式を有効した場合は、通信に共通の符号化方式を FORTEZZA にする必要があります。これは、クライアント上で [Page Info] を使って確認することができます。これ以外の場合、サーバの動作を変更する必要はありません。

SSL コンフィグレーション ファイル ディレクティブの使用
SSL が有効なサーバをインストールすると、magnus.conf ファイル(サーバのメインのコンフィグレーション ファイル)にディレクティブ エントリが作成されます。これらのディレクティブについて、後続の節で簡単に説明します。

value は、SSL (Secure Sockets Layer) がオンかオフかを指定します。SSL を有効にするには、値パラメータを on に、SSL を無効にするには off にします。

value は、SSL バージョン 2 が有効になっているか無効になっているかを指定します。値パラメータをon に設定して SSL 2 を有効にし、off に設定して SSL 2 を無効にします。 デフォルトでは、 security はオフになっています。

value は、SSL バージョン 3 が有効になっているか無効になっているかを指定します。値パラメータをon に設定して SSL 3を有効にし、off に設定して SSL 3を無効にします。 デフォルトでは、 security はオフになっています。

" +" は、符号化方式が有効であることを示し、 "-" は符号化方式が無効であることを示します。名前の一部に export がある符号化方式は、強度が 40 ビット以下です。

"+" は、符号化方式が有効であることを示し、 "-" は符号化方式が無効であることを示します。名前の一部に 40 がある符号化方式は 40 ビットです。

value は、常に証明書が必要かどうかを指定します。 値パラメータをon に設定すると証明書が必要であり、off に設定すると証明書は不要です。

seconds は、キャッシュされた SSL2 セッションが無効になるまでの秒数です。デフォルト値は 100 です。SSLSessionTimeout ディレクティブが指定される場合、秒数値は、5 から100 秒までの間に暗黙的に制限されます。

1. ユーザの証明書からのサブジェクト (ユーザの) DN が、LDAP ディレクトリの分岐ポイントにマッピングされます。
2. クライアント証明書のサブジェクト (エンドユーザ) に関する情報に一致するエントリがないか、LDAP ディレクトリ内が検索されます。
3. オプションで、クライアント証明書と、LDAP エントリ内で DN が対応している証明書を照合して確認します。

• LDAP ツリー内でサーバが検索を開始する場所
• LDAPディレクトリ内でエントリを検索する際にサーバが検索条件として使う証明書の属性
• サーバがさらに別の確認プロセスを行うかどうか

server_root/userdb/certmap.conf

certmap <name> <issuerDN>

<name>:<property> [<value>]

certmap moz1 ou=Mozilla Certificate Authority,o=Netscape,c=US
certmap moz2 ou=Mozilla Certificate Authority, o=Netscape, c=US

• DNComps は、ユーザの情報 (つまり、クライアント証明書の所有者) に一致するエントリを検索するため、LDAP ディレクトリ内のどこから検索を開始するかを決めるために使うカンマ区切りの属性リストです。サーバはクライアント証明書からこれらの属性の値を収集し、その値を使って LDAP DN を形成します。そしてこの LDAP DN が、LDAP ディレクトリ内でサーバが検索を開始する場所を決めます。たとえば、DN の o および c 属性を使うように DNComps を設定した場合、サーバは LDAP ディレクトリ内のo=<org>, c=<country> エントリから検索を開始します。LDAP ディレクトリ内では、<org> および <country> は証明書の DN からの値に置き換えられています。

次の状況に注意してください。

• マッピングに DNComps エントリがない場合、サーバは CmapLdapAttr 設定またはクライアント証明書内のサブジェクト DN 全体 (つまり、エンドユーザの情報) を使います。
• DNComps エントリが存在しても値がない場合、サーバはフィルタに一致するエントリを探して、LDAP ツリー全体を検索します。
• FilterComps とは、クライアント証明書内のユーザ DN から情報を収集することによってフィルタを作成するために使うカンマ区切りの属性リストです。 サーバはこれらの属性の値を使って、LDAP ディレクトリ内のエントリを照合するために使う検索条件を作成します。証明書から収集されたユーザ情報に一致するエントリが 1 つまたは複数の LDAP ディレクトリ内に見つかった場合、検索は成功であり、オプションとしてサーバが確認を行うこともあります。

たとえば、 FilterComps が電子メールおよびユーザ ID 属性を使うよう に設定されている場合 (FilterComps=e,uid)、サーバは、電子メールと uid の値が、クライアント証明書から収集されたエンド ユーザの情報と 一致するエントリをディレクトリ内で検索します。電子メールとユーザ ID は通常ディレクトリ内で固有のエントリであるため、フィルタとして は適切です。フィルタは、LDAP データベース内で唯一のエントリを探せ るように、正確でなければなりません。

x509v3 証明書属性のリストは、次の表を参照してください。

フィルタの属性名は、LDAP ディレクトリの属性名ではなく証明書の属性 名です。たとえば、証明書によってはユーザの電子メール アドレスの属 性が e の場合がありますが、LDAP ではこの属性は mail です。

• verifycert は、クライアントの証明書を LDAP ディレクトリにある証明書と比較するかどうかをサーバに告げます。値は、オンとオフの 2 つです。LDAP ディレクトリに証明書がある場合に限ってこのプロパティを使います。この機能は、エンドユーザが有効で、期限の切れていない証明書を所持していることを確認するときに便利です。
• CmapLdapAttr は、ユーザに属するすべての証明書から収集されたサブジェクト DN がある LDAP ディレクトリ内の属性の名前です。このプロパティのデフォルトは certSubjectDN です。この属性は標準の LDAP 属性ではないため、このプロパティを使うには、LDAP スキーマを拡張する必要があります。詳細については、『Managing Servers with Netscape Console』を参照してください。

このプロパティが certmap.conf ファイル内に存在する場合、サーバは、 名前にこのプロパティが付いた属性が、証明書から取得したサブジェクト の完全な DN に一致するエントリを探して、LDAP ディレクトリ内全体を検 索します。一致するエントリが見つからない場合、サーバは DNComps およ び FilterComps マッピングを使って再度検索します。

証明書を LDAP エントリと照合する方法は、DNComps および FilterComps を使ってエントリを照合するのが難しい場合に便利です。

• Library は、値が共有ライブラリまたは DLL へのパス名であるプロパティです。このプロパティは、証明書 API を使ってユーザ自身のプロパティを作成する場合に限り使います。詳細については、『NSAPI Programmer's Guide for iPlanet Web』を参照してください。
• InitFn は、値がカスタム ライブラリからの初期化関数の名前であるプロパティです。このプロパティは、証明書 API を使ってユーザ自身のプロパティを作成する場合に限り使います。

<name>:library <path_to_shared_library>
<name>:InitFn <name_of_init_function>

certmap default1 o=Netscape Communications, c=US
default1:library /usr/netscape/enterprise/userdb/ plugin.so
default1:InitFn plugin_init_fn
default1:DNComps ou o c
default1:FilterComps l
default1:verifycert on

この例は、"デフォルト" マッピングが 1 つだけある certmap.conf ファイルを示しています。

certmap default default
default:DNComps ou, o, c
default:FilterComps e, uid
default:verifycert on

次のファイル例には、 デフォルトと US Postal Service 用の 2 つのマッピング ファイルがあります。

certmap default default
default:DNComps
default:FilterComps e, uid

certmap usps ou=United States Postal Service, o=usps, c=US
usps:DNComps ou,o,c
usps:FilterComps e
usps:verifycert on

警告 証明書内の発行者 DN (CA の情報) は、マッピングの最初の行にリストされている発行者 DN と同一です。前の例では、o=United States Postal Service,c=US の発行者 DN からの証明書は、o と c 属性の間にスペースがないので一致しません。

次の例では、CmapLdapAttr プロパティを使い、LDAP データベース内で、クライアント証明書から取得されたサブジェクト DN 全体に完全に一致する値を持つ certSubjectDN という属性を検索します。

certmap myco ou=My Company Inc, o=myco, c=US
myco:CmapLdapAttr certSubjectDN
myco:DNComps o, c
myco:FilterComps mail, uid
myco:verifycert on

uid=Walt Whitman, o=Leaves0fGrass Inc, c=US

certSubjectDN=uid=Walt Whitman, o=Leaves0fGrass Inc, c=US

ノート この例では、LDAP ディレクトリに属性 certSubjectDN のエントリがあると仮定しています。

1. Administration Server にアクセスし、[Security] タブを選択します。
2. [Change Password] リンクをクリックします。
3. 必要な情報を入力し、[OK] をクリックします。

• 物理的なアクセスの制限


• 管理アクセスの制限


• 良いパスワードの選択


• キー ペア ファイルの保護


• サーバ上の他のアプリケーションの制限


• クライアントが SSL ファイルをキャッシュするのを防ぐ


• ポートの制限


• サーバの限界


• 保護されていないサーバの保護手段

• パスワードを 6〜14 文字の長さにする。
• Mac パスワードは 8 文字を超えてはならない。
• 「*」、「"」、のような不正文字やスペースを使わない。
• 辞書用語を使わない (何語でも)。
• 辞書用語内で一般的な文字の代用を使わない (3 を E に、1 を L になど)。
• 次のクラスからできるだけ多くの文字を混ぜる。

• 大文字
• 小文字


• 数字


• 記号

Windows NT
他のマシンと共有するドライブやディレクトリを考慮します。また、どのユー ザがアカウントや Guest 権限を持っているかを考慮します。

同様に、自分または他の人がサーバに追加するプログラムに注意します。 他の人のプログラムにセキュリティ ホールがある可能性があります。また最悪のケースでは、セキュリティを壊滅させるように特別に設計されたプログラムを誰かがアップロードする可能性があります。サーバへのインストールを許可する前に、必ずプログラムを注意して調べるようにしてください。

<meta http-equiv="pragma" content="no-cache">

• 適切なポート番号を割り当てます。保護されているサーバと保護されていないサーバに別の ポート番号が割り当てられるようにします。登録済みのデフォルト ポート番号は、保護されているサーバ用が 443 で、保護されていないサーバ用が 80 です。
• Unix/Linux では、文書ルート ディレクトリの chroot 機能を有効にします。保護されていないサーバの文書ルートは、chroot を使ってリダイレクトするようにします。

Chroot ディレクトリ構造の例

magnus.conf ファイルへの chroot の実装方法については、 『NSAPI Programmer's Guide for iPlanet Web Server』を参照してください。