前へ 目次 DocHome 索引 次へ
Identrus システムへの iPlanet Portal Server Plug-in インストール、管理、およびユーザガイド



第 1 章   インストール


Identrus システムへの iPlanet Portal Server Plug-in をインストールするには、Portal Server が完全にインストールされていることが前提条件になります。 この章では、まずインストールの手順について、次に Identrus のユーザが NetMail Lite を使用するための手順について説明します。 この章には、次の項目があります。


必要要件

Identrus システムへの iPlanet Portal Server Plug-in をインストールするには、次のソフトウェアとハードウェアの周辺機器があらかじめインストールされている必要があります。

  • iPlanet Portal Server 3.0 SP2 および付属の電子メールアプリケーションである NetMail Lite (http://www.iplanet.com/downloads/patches/2012.html)

  • iPlanet Certificate Management Server (オプション) (http://www.iplanet.com/downloads/download/2042.html などを参照)

  • スマートカード (クレジットカードなど)。サードパーティのベンダーによって発行されます。 必ず Identrus 対応のスマートカードを使用してください。Identrus Network V2.0 への iPlanet Portal Server Plug-in には、現在 GemPlus SmartCards GemSAFE IS 16000 との互換性があります。詳細は、http://www.gemplus.com/app/banking/gemsafe_is_mkt.htm を参照してください。

  • ブラウザのプラグインを含むスマートカードリーダ。サードパーティのベンダーによって発行されます。 必ず Identrus 対応のスマートカードリーダを使用してください。Identrus Network V2.0 への iPlanet Portal Server Plug-in には、現在 GemPlus Card Reader GemPC430 および GemPC410 との互換性があります。詳細は、http://www.gemplus.com/products/hardware/index.htm を参照してください。

  • GEMSafe Enterprise Workstation 1.0。このソフトウェアには、 Identrus Network V2.0 への iPlanet Portal Server Plug-in との互換性があります。詳細は、http://www.gemplus.com/products/software/gemsafe/index.html を参照してください。

  • Netscape Navigator v4.7x 以降。 Internet Explorer 4.0 および Internet Explorer 5.0。 これらのブラウザは、スマートカードとスマートカードリーダに付属のソフトウェアによって自動的に構成されます。

  • クライアントのブラウザ。これらのブラウザは、GemPlus SmartCard および Portal Server Plug-in と互換性があることが必要です。サポートされているオペレーティングシステムは、 Windows NT 4.0 Service Pack 5 (http://www.microsoft.com/ntserver/nts/downloads/recommended/sp5/allsp5.asp を参照) および Windows 98
    ( http://www.microsoft.com/Windows98/ を参照) です。

  • 暗号処理の強化と鍵の安全な保存を保証するハードウェアセキュリティモジュール、CAFast (http://www.ncipher.com を参照)。 これは Identrus メンバー銀行の管理者が必要とするもので、ユーザには必要ありません。 CAFast は、nFast と呼ばれることもあります。

  • Identrus システムへの iPlanet Portal Server Plug-in を使用するには、OCSP レスポンダとしての役割を果たすことのできる銀行または機関と関係を持っていること、あるいは Identrus ネットワークに接続していることが必要です。

  • Solaris オペレーティング環境用の Java 2 Standard Edition (1.2.2_06 各国語対応版)。 Web サーバとゲートウェイで構成される iPlanet Portal Server V3.0 (http://docs.iplanet.com/source/816-6129-10/overview.htm を参照)。 ゲートウェイと Web サーバは、通常別々のマシンに常駐します。 ゲートウェイは、Web サーバへのアクセスを制限します。 ゲートウェイと Web サーバを別々のマシンに配置するだけで、これらが確実に別々の VM で動作するようになります。一般的なセットアップとしては、 (1) Web サーバを認識できるのはゲートウェイのみ、 (2) ゲートウェイがアクセスできるのは Web サーバのみであり、Web サーバと同じ範囲を認識することはできない、 (3) クライアントが Web サーバによって提供されている機能にアクセスするには、ゲートウェイを通さなくてはならない、 (4) クライアントは Web サーバにはアクセスできない、などのようになります。 ゲートウェイとサーバを別々のマシンに配置する場合は、インストールおよび構成の際にすべての必要要件が満たされるため、特に必要要件を考慮する必要はありません。 ゲートウェイとサーバを同じマシンに配置する場合 (テストや開発などの場合) は、次の手順に従ってください。 (1) http://www.sun.com/software/solaris/java/download.html から Java をダウンロードします。(2) これを同じマシンの独立した 2 つのエリアに別々にインストールします。 これを反映するように、ipsgateway スクリプトおよび ipsserver スクリプト内の JAVA_HOME を編集します。この例については、第 4 章、「アプリケーションを導入する」を参照してください。

  • Oracle 8.0.5 と Oracle 8.1.5 用の JDBC (http://www.oracle.com/java/jdbc/html/jdbc.html)


インストールの手順

『iPlanet Portal Server 3.0 インストールガイド』に説明されているガイドラインに従ってください。 Identrus システムへの iPlanet Portal Server Plug-in をインストールする前に、Portal Server を新しくインストールする必要があります。 また、後でスクリプトを実行する際に必要になるので、このインストール場所を書きとめておくことをお勧めします。

  • ルートとしてログインし、シェルプロンプトで次のように入力します。
    domainname

  • 上記のコマンドを入力しても何も返されない場合は、「domainname <domain_name>」の形式で、実際のドメイン名を入力します。次に例を示します。
    domainname uk.sun.com

  • インストール CD-ROM のルートディレクトリに移動します。次に例を示します。
    cd /dev/cdrom

  • Portal Server が稼動している必要があります (詳細は iPlanet Portal Server のマニュアルを参照)。

  • 次のコマンドを入力して、インストールスクリプトを実行します。
    ./ipspininstall

  • Portal Server をデフォルトの場所 (/opt) にインストールした場合は、Identrus システムへの iPlanet Portal Server Plug-in のインストールにもデフォルトを使用できます。 別の場所にインストールした場合は、Portal Server および iPlanet Web Server のインストール場所を指定します。

  • 次の図に、一般的なインストール例を示します。

図 1-1 インストールスクリプトの例

  • 前述の「必要要件」に示したように、Oracle JDBC ドライバ (通常は oracle-jdbc-815.zip) を入手する必要があります。 このファイルを次の場所に置きます。
    <Portal_install_directory>/SUNWips/lib

  • ファイルを編集することによって、Portal Web Server のディレクトリ内のクラスパスに Oracle のファイル名 (oracle-jdbc-815.zip) を反映させます。
    /opt/netscape/server4/https-hailstorm/config/jvm12.conf

  • ログイン ID と構成を書きとめて、データベースにアクセスできるようにします。 次に、Portal Server Plug-in で要求されるテーブルを設定するために、SQL スクリプトを実行します。
    <Portal_install_directory>/SUNWpin/sql/OracleCertStore.sql

  • また、スクリプトを使用してテーブルやデータを削除することもできます。
    <Portal_install_directory>/SUNWpin/sql/Drop_OracleCertStore.sql

  • これで Identrus システムへの iPlanet Portal Server Plug-in のインストールが完了しました。 Portal Server の起動と停止については、「インストール後の手順」を参照してください。

  • インストールを確認するには、ブラウザでサンプルの CSC プログラムを実行します。 詳細は、「サンプルプログラムを実行する」を参照してください。

  • HSM の構成方法については、次節「HSM の構成」を参照してください。


HSM の構成

HSM へは、HSM のベンダーによって提供される PKCS#11 ライブラリを通じてアクセスします。 HSM を使用するには、まず HSM を PKCS#11 を使う操作のために適切に構成し、次に iPlanet Portal Server Plug-in を HSM を認識するように構成します。


HSM を構成する

HSM を構成する際は、ベンダーの指示に従う必要があります。 ここでは、nCipher HSM を使用する場合の手順について簡単に説明し、ベンダーが提供しているマニュアルの参照先を示します。


nCipher HSM を構成する

  • 用語の定義、およびセキュリティワールドとオペレーターカードセットについては、nCipher のマニュアルを参照してください。 特に、http://active.ncipher.com/documentation/PKCS11/solaris-4.01/nforce.pdf の第 6 章と 7 章が参考になります。

  • 通常、nCipher PKCS #11 ライブラリは次の場所にインストールします。
    /opt/nfast

  • iPlanet Portal Server Plug-in を使用するには、オペレーターカードセットのうち 1 つが PKCS#11 モードで nCipher HSM を使用している必要があります。 また、HSM の各モジュールに対して、それぞれ 1 つのオペレーターカードが必要です。 nCipher のマニュアルに示される手順に従って、オペレーターカードセットを作成します。 使用するパスワードは、Identrus システムへの iPlanet Portal Server Plug-in で構成したものと同じパスワードにします (「管理者のログイン手順」を参照)。

  • nCipher ソフトウェアをインストールしたディレクトリ (通常は /opt/nfast) に新しいテキストファイル cknfastrc を作成し、次の行を追加します。
    CKNFAST_NO_UNWRAP=1
    CKNFAST_LOADSHARING=1
    CKNFAST_NO_ACCELERATOR_SLOTS=1

    export CKNFAST_NO_UNWRAP CKNFAST_LOADSHARING\ CKNFAST_NO_ACCELERATOR_SLOTS

  • 次のコマンドを使用して、インストールをチェックします。
    /opt/nfast/bin/ckcheckinst

  • このマニュアルでは、ベンダーの PKCS#11 ライブラリについて言及することがあります。PKCS#11 ライブラリとは、次のファイルのことです。
    /opt/nfast/gcc/lib/libcknfast.so

  • また、秘密鍵を生成および保存する PKCS#11 トークンの名前は、nCipher PKCS#11 インタフェース用に作成するオペレーターカードセットの名前です。


iPlanet Portal Server Plug-in を構成する

iPlanet Portal Server Plug-in の構成は、次の 2 段階に分けて行います。

  • Plug-in PKCS#11 暗号化サービスの HSM ベンダーの PKCS#11 ライブラリを識別する

  • 鍵の保管に使用する HSM ベースの PKCS#11 トークン用に iPlanet Portal Server Plug-in を構成する (この作業はインストール作業の一部として行うこともできるが、インストール後でも HSM をインストールできるように、ここでは手作業による操作手順を記載)


ベンダーの PKCS#11 ライブラリを識別する

  • ディレクトリを次のディレクトリに変更します。 .netscape ディレクトリが存在しない場合は、作成します。
    <Portal_install_directory>/https-<servername>/config/.netscape

  • .netscape ディレクトリに secmod.db ファイルが存在しない場合は、次のように作成します。
    <Portal_install_directory>/bin/https/admin/bin/modutil
      -dbdir . -nocertdb -create

  • modutil により、secmod.db ではなく secmodule.db が作成された場合は、このファイルを移動します。
    mv secmodule.db secmod.db

  • 適切なモジュール名 (nCipher nFast モジュールの場合は nFast) を使用して、ベンダーの PKCS#11 ライブラリを PKCS#11 モジュールのデータベースに追加します。
    <Portal_install_directory>/bin/https/admin/bin/modutil
      -dbdir . -nocertdb
      -add <moduleName>
      -libfile <vendorPKCS#11Library>
      -mechanisms RSA:DSA

  • 次のコマンドを使用して、モジュールがインストールされたことを確認します。
    <Portal_install_directory>/bin/https/admin/bin/modutil
      -dbdir . -nocertdb -list

  • 出力は次のようになります。
    Using database directory ....
    Listing of PKCS #11 Modules
    Listing of PKCS #11 Modules
    -----------------------------------------------------------
    1.<moduleName>
    library name: <vendorPKCS#11Library>
    slots: # slots attached
    status: loaded
    slot: ####-####-####-#
    token: <tokenName>
    slot: ####-####-####-#
    token: <anotherTokenName>
    ...
    2. Netscape Internal PKCS #11 Module
    slots: 2 slots attached
    status: loaded
    slot: Communicator Internal Cryptographic Services Version 4.0
    token: Communicator Generic Crypto Svcs
    slot: Communicator User Private Key and Certificate Services
    token: Communicator Certificate DB
    ----------------------------------------------------------


PKCS#11 トークンを使用するために iPlanet Portal Server Plug-in を構成する

  • iPlanet Portal Server Plug-in のインストール時に PKCS#11 トークンを使用するように指定した場合、適切なトークン名を選択してあれば、特に作業を行う必要はありません。Portal Server Plug-in により、HSM を使用して鍵の生成と保存が行われます。

  • iPlanet Portal Server Plug-in のインストール時に特定の PKCS#11 トークンを使用するように指定しなかった場合、または指定したトークン名が誤っている場合は、次の手順に従います。

  • 次のディレクトリに移動します。
    cd <Portal_install_directory>/lib

  • jssconfig という名前の既存のディレクトリをすべて削除します。
    rm -rf jssconfig

  • jssconfig.tar アーカイブを解凍します。
    tar xvf jssconfig.tar

  • 次のファイルを編集します。
    <Portal_install_directory>/lib/jssconfig/trustbase/security/jsstokenke ystore

  • このファイル内の key.token プロパティ行を、次のように変更します。
    key.token=<tokenName>

  • ほかの行はそのままで、ファイルを保存します。

  • iPlanet Portal Server を再起動します。これで、鍵の生成と保存用に、指定した PKCS#11 トークンが使用されるようになります。


インストール後の手順

インストールと HSM の構成が完了したら、Portal Server をいったん終了して、再起動します。 Portal Server の起動と停止には、必ず次に示す専用のプラグインスクリプトを使用します。
<Portal_install_directory>/SUNWips/bin/SUNWpinStart
<Portal_install_directory>/SUNWips/bin/SUNWpinStop


このスクリプトでは、ゲートウェイは起動しません。 ゲートウェイを起動するには、次のコマンドを使用します。


<Portal_install_directory>/SUNWips/bin/ipsgateway start
<Portal_install_directory>/SUNWips/bin/ipsgateway stop

ただし、Portal ゲートウェイの起動と停止については、Portal Server のマニュアルを参照してください。
http://docs.iplanet.com/source/816-6129-10/server_i.htm


ソフトウェアのアンインストール


Portal Server はインストールしたまま、Identrus システムへの iPlanet Portal Server Plug-in を削除するには、次の手順に従います。

  • Portal Server が稼動していることを確認します。

  • ルートとしてログインします。

  • 次のコマンドを実行します。
    pkgrm SUNWpinsdskss

  • Portal Server を停止して、再起動します。 方法については、Portal Server のマニュアルを参照してください。

iPlanet Portal Server を削除する方法については、次のサイトを参照してください。
http://docs.iplanet.com/source/816-6129-10


前へ 目次 DocHome 索引 次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2001 Netscape Communications Corp. All rights reserved.

最終更新日 2001 年 3 月 14 日