前へ 目次 DocHome 索引 次へ
iPlanet Trustbase Transaction Manager 2.2.1 設定ガイド



第 1 章   インストールワークシート


この章は、iPlanet Trustbase Transaction Manager をインストールする際に、すべての主な機能の必要要件を確認するためのインストールワークシートです。このワークシートでは、付属のソフトウェア、付属していないソフトウェア、およびダウンロードの必要なソフトウェアをリストし、各ソフトウェアをインストールおよび構成する方法について説明します。


インストールの概要


インストールの手順は次のとおりです。

  • ソフトウェアの必要要件を確認し、これらの要件が満たされるようにします。

  • iPlanet Trustbase Transaction Manager に付属していないソフトウェアをダウンロードします。

  • iPlanet Web Server v4.1 をインストールします。

  • iPlanet Application Server v6.0 をインストールします。

  • iPlanet Trustbase Transaction Manager v2.2 と Identrus 拡張機能をインストールします。

  • nFast ハードウェアを設定し、nFast を使用できるように iPlanet Trustbase Transaction Manager を構成します。

  • Oracle 8i データベーススキーマを設定します。

  • サイト固有の Identrus 設定を指定します。

  • iPlanet Trustbase Transaction Manager を起動します。

  • CertManager を使用して、Identrus の証明書と鍵を獲得します。


ソフトウェアの必要要件

iPlanet Trustbase Transaction Manager を実行するには、次のソフトウェアがインストールされている必要があります。

図 1-1 サードパーティによるライブラリの jar ファイル


必要要件


付属のパッケージ

iPlanet Trustbase Transaction Manager には、次のパッケージが含まれています。


付属していないパッケージ

インストールの前に、次のソフトウェアをダウンロードする必要があります。


証明書の必要要件

iPlanet Trustbase Transaction Manager をインストールする前に、PEM 形式でエンコードされた level 1 Certificate Authority の CA 証明書の場所を確認してください。この証明書は、これ以降「L1CA 証明書」と記述します。


すべてのサードパーティ製のソフトウェアは、図 1-1 に示すように、lib3p/10 に配置します。



システムリソース

  • ホスト名を決定します。
    hostname
    domainname

  • ディスク容量が 1G バイトより大きいことを確認します。
    df -k

  • 最低限のメモリ (256M バイト) があることを確認します。推奨のメモリ容量は 1G バイトです。
    prtconf | grep Mem

  • Solaris のバージョンが 8 であることを確認します。
    uname -a

  • Java のバージョンが 1.2 であることを確認します。
    java -version


Solaris のインストール

iPlanet Trustbase Transaction Manager をインストールするには、稼動中の Web サーバおよびアプリケーションサーバが必要です。


iPlanet Web Server v4.1 のインストール

  • ルートとしてログオンし、「setup」スクリプトを探します。このスクリプトの場所は、システムの分散状況によって異なります。

  • 「setup」スクリプトを使って、インストールを始めます。

  • Web Server をインストールするディレクトリ (<インストールディレクトリ>) を選択します。このディレクトリは、後で iPlanet Application Server をインストールするのと同じディレクトリであることが必要です。
    # cd /cdrom/cdrom0
    # cd iWS
    #./setup

  • Web Server のすべての要素をインストールし、所有者/グループを「nobody」に変更するオプションを選択します。Web Server を「root」として実行するオプションを選択します。既存のディレクトリサービスは使用しないでください。Web Server のドキュメントディレクトリには、指定したインストール場所の docs サブディレクトリを選択します。プロンプトでは自分の JDK を指定しないでください。

図 1-2 iPlanet Web Server のインストール
Would you like to continue with installation?[Yes]:Yes
Do you agree to the license terms?[Yes]:Yes
Choose an installation type [2]: 2
Install location [/usr/netscape/server4]: /app/iws41
Specify the components you wish to install [A] A
Specify the components to install [1, 2, 3, 4, 5, 6, 8]: 1,2,3,4,5,6,8
Computer name [rainstorm.jcp.co.uk]: rainstorm.jcp.co.uk
System User [nobody]: nobody
System Group [nobody]: nobody
Run iWS Administration Server as [root]: root
IWS Admin Server User Name [admin]: admin
IWS Admin Server Password:
IWS Admin Server Password (again):
IWS Admin Server Port [8888]: 8888
Web Server Port [80]: 80
Do you want to register this with an existing Directory Server [No]:No
Web Server Content Root [/app/iws41/docs]:
Do you want to use your own JDK [No]:No


これらの設定はメモしておくことをお勧めします。特に、ポート番号は後で必要になる場合があります。


  • 次の出力が表示されます。

図 1-3 iPlanet Web Server のインストール完了
Sun Netscape Alliance
iPlanet Web Server Installation/Uninstallation
------------------------------------------------------------------


Extracting Server Core...
Extracting Java Runtime Environment...
Extracting Java Support...
Extracting SSJS Support...
Extracting SSJS Database Support...
Extracting Web Publishing Support...
Extracting SNMP Support...
Extracting Upgrade Files...


Server Core installed successfully.
Java Runtime Environment installed successfully.
Java Support installed successfully.
SSJS Support installed successfully.
SSJS Database Support installed successfully.
Web Publishing Support installed successfully.
SNMP Support installed successfully.

Press Return to continue...

Go to /app/iws41 and type startconsole to begin
Managing your servers.


詳細は、『iPlanet Web Server Installation Guide』を参照してください。<Return> キーを押すと、デフォルトの設定が適用されます。



iPlanet Web Server 4.1 の起動

Web Server のインスタンスのあるディレクトリに移動して、「start」スクリプトを実行します。このディレクトリの形式は、「https-<マシン名>.ドメイン」です。

次に例を示します。
cd /app/iws41/https-whelk.jcp.co.uk
./start


詳細は、『iPlanet Web Server Configuration Guide』の第 1 章を参照してください。



iPlanet Web Server 4.1 の確認

ブラウザで「http://localhost」を開き、iPlanet Web Server が動作していることを確認します。動作している場合は、次のようなメインページが表示されます。

図 1-4 iPlanet Web Server, Enterprise Edition 4.1

または、Administration Server のコンソールから確認することもできます。

図 1-5 iPlanet Web Server Administration Server


iPlanet Application Server v6.0 のインストール

  • この作業を始める前に、iPlanet Web Server が動作していることを確認してください。

  • ルートとしてログオンし、「setup」スクリプトを見つけます。このスクリプトの場所は、システムの分散状況によって異なります。tar ファイルを解凍すると、「setup」ファイルは最上位のディレクトリに配置されます。
    # cd /cdrom/cdrom0
    # cd iAS
    # ./setup

  • 「setup」スクリプトを使って、インストールを始めます。画面に表示される質問に次のように答えて、作業を進めます。

図 1-6 iPlanet Application Server のスクリプトの例
Would you like to continue with installation?[Yes]:Yes
Do you agree to the license terms? [No]:Yes
Select the component you want to install [1]: 1
Choose an installation type [2]: 2
Install location [/usr/iplanet/ias6]: /app/ias6
iPlanet Server Products components: Specify the components to install [All]: All
iPlanet Server Family Core: Specify the components to install [1, 2, 3]: 1,2,3
iPlanet Directory Suite components: Specify the components to install [1, 2]: 1,2
Administration Services components: Specify the components to install [1, 2]: 1,2
iPlanet Application Server Suite components: Specify the components you wish to install [1, 2, 3, 4]: 1,2,3,4
Computer name [rainstorm.jcp.co.uk]: rainstorm.jcp.co.uk
System User [nobody]: nobody
System Group [nobody]: nobody
Netscape configuration directory server? [No]:No
Do you want to use another directory to store your data? [No]:No
Directory server network port [389]: 389
Directory server identifier [rainstorm]: rainstorm
administrator ID [admin]: admin
Password:
Password (again):
Suffix [o=co.uk]: o=iplanet.com
Directory Manager DN [cn=Directory Manager]: cn=Directory Manager
Password:
Password (again):
Admin Domain [iplanet.com]: iplanet.com
Administration port [12816]: 12816
Run Administration Server as [root]: root
Product Key: 1111111111-3333333333
Enter the location of your webserver: /app/iws41/https rainstorm.jcp.co.uk
Do you want to enable the user to access the registry and plugin libraries? [y] y
Do you want to continue with the iAS installation? [y] y
Username [admin]: admin
Password:
Password (again):
Do you want to enable I18N support for iAS? [No]:No
Username does not match [No]:Yes


詳細は、『iPlanet Application Server インストール ガイド』を参照してください。また、これらの設定は後で必要になる場合があるので、メモしておくことをお勧めします。<Return> キーを押すと、デフォルトの設定が適用されます。



iPlanet Web Server と iPlanet Application Server のインストール後の手順

  • Application Server が正常にインストールされたことを確認するには、ブラウザで 「http://マシン名/GXApp」を開きます。
    「Java Fortune」アプリケーションを選択します。サーブレットによる「ようこそ」のメッセージが表示されたら、Web Server と Application Server は適切に機能しています。『iPlanet Application Server Installation Guide』も参照してください。次に図を示します。

図 1-7 iPlanet Application Server の確認

  • インストールを完了したら、すべてのプロセスを停止します。

  • ルートとしてログオンします。

  • Application Server を停止します。<インストールディレクトリ>/ias/bin/KIVAes.sh stop
    # cd /app/ias6/ias/bin
    # ./KIVAes.sh stop
    # ps -ef | grep k.s


    インストール直後にこのスクリプトが機能しない場合は、「ps -ef | grep k.s」を使って iPlanet Application Server のプロセスすべてを表示し、「kill -9 <pid>」ですべてのプロセスを停止します。


  • Directory Server を停止します。<インストールディレクトリ>/slapd-<マシン名>/stop-slapd
    # cd /app/ias6/slapd-<hostname>
    # ./stop-slapd
    # ps -ef | grep slap

  • Web Server を停止します。

    • <インストールディレクトリ>/https-<マシン名>/stop

    • および <インストールディレクトリ>/https-admserv/stop
      # ./app/iws41/https-<machine_name>/stop
      # ./app/iws41/https-admserv/stop

  • 上記のスクリプトをすべて実行したら、「ps -ef | grep <インストールディレクトリ>」を使って、すべてのプロセスが停止したことを確認します。実行中のプロセスがある場合は、「kill -9 <pid>」を使って停止します。


SSL 接続ログの有効化

iPlanet Trustbase Transaction Manager で SSL 接続の完全なログをとるには、次の手順に従います。

  • kregedit を起動します。
    ..../ias6/ias/bin/kregedit

  • 次のノードを選択します。
    SOFTWARE\iPlanet\Application Server\6.0\CCS0\HTTPAPI\INPUTNSAPI

  • 「編集」メニューの「値を追加」を使って、次の属性に値を追加します。大文字と小文字が区別されるので注意してください。
    Name=HTTP_PROXYCONNECTIONIDENTIFIER
    Value=1
    Type=String

図 1-8 Kregedit と ConnectionId

  • kregedit を終了します。

  • この変更は、iPlanet Web Server と iPlanet Application Server を再び起動するまでは適用されません。このインストール手順に従って作業を進めている場合、再起動は 「再起動の手順」で行います。


iPlanet Trustbase Transaction Manager のインストール手順

iPlanet Web Server と iPlanet Application Server のインストールが完了したら、iPlanet Trustbase Transaction Manager のインストールに進みます。

インストールには、圧縮された tar ファイルを使います。このインストールプログラムは、Unix Solaris 8 用に設計されています。現在 iPlanet Trustbase Transaction Manager を適切に動作させるには、使用するコンピュータに JDK 1.2 がインストールされていることが必要です。iPlanet Trustbase Transaction Manager を確実にインストールするために、iPlanet Trustbase Transaction Manager の前に JDK 1.2 をインストールすることをお勧めします。JDK 1.2 と iPlanet Trustbase Transaction Manager には、100M バイトのディスク容量が必要です。

  • ルートとしてログオンします。

  • iPlanet Trustbase Transaction Manager の階層を作成するディレクトリに移動します。

  • tar ファイルを現在のディレクトリに解凍します。
    zcat iTTM-2.2.tar.Z | tar -xvpf -
    cd Trustbase/scripts

図 1-9 「install」スクリプトの検索

  • Trustbase をインストールする前に、iPlanet Application Server のディレクトリサーバが動作していることを確認します。次に例を示します。
    cd /app/ias6/slapd-<マシン名>
    ./start-slapd

  • 「install」を実行し、画面の指示に従って作業を進めます。上の例では、「/app/Trustbase/scripts」にこのスクリプトファイルがあります。iPlanet Application Server の場所をたずねられたら、前述の <インストールディレクトリ> を指定します。
    ./install

図 1-10 に、iPlanet Trustbase Transaction Manager のインストール方法を示します。

図 1-10 iPlanet Trustbase Transaction Manager のインストール
zcat iTTM-2.2.tar.Z | tar -xvpf -'
cd Trustbase/scripts
./install

Copyright (C) 2000 Sun Microsystems, Inc. All rights reserved. Use of this product is subject to license terms. Federal Acquisitions: Commercial Software
--- Goverment Users Subject to Standard License Terms and Conditions.

Sun Microsystems, The Sun Logo, iPlanet Trustbase and Java are trademarks or registered trademarks of Sun Microsystems, Inc. In The United States and other countries.

Running Installation on sunstorm should I install Trustbase TTM [y/n] y
Trustbase Transaction Manager V2.2 installation script.
Where is your iPlanet Application Server 6.0 installation located?
/app/ias6
Where is your iPlanet Web Server 4.1 documents directory?
/app/iws41/docs
What is the Database User Name which will be used by Trustbase?
tbase
What is the Database Password which will be used by Trustbase?
tbase
On what host is your database stored? sunstorm.jcp.co.uk
On what port is your database running? 1521
On what SID is your database? orcl
What Cryptographic provider do you want to use: NCIPHER or JCP? JCP
On what URL is your local OCSP responder? http://windstorm.jcp.co.uk:8080
What is the AIA of this TC? https://windstorm.jcp.co.uk


プロクシを別のマシンにインストールする場合、この TC の AIA は、TC ではなくプロクシのホスト名をポイントするようにします。「SSL プロクシを別に構成」 も参照してください。


  • これで iPlanet Trustbase Transaction Manager のインストールが完了しました。次に、ローカル設定と Identrus 設定を構成する作業を行う必要があります。次の各項を参照してください。


    <Enter> キーを押すと、デフォルトの設定が適用されます。また、これらの設定は後で必要になる場合があるので、メモしておくことをお勧めします。



インストールの構造

インストールを完了すると、次のディレクトリ構造とサポートファイルが作成されます。

  • iPlanet Trustbase Transaction Manager

図 1-11 iPlanet Trustbase Transaction Manager ディレクトリの概要

  • TTM
    iPlanet Trustbase Transaction Manager には、すべての構成ファイルとライブラリファイル、およびさまざまなデータベースの設定スクリプトを含む SQL ディレクトリがあります。

図 1-12 iPlanet Trustbase Transaction Manager ディレクトリの概要

  • Scripts
    このディレクトリには、iPlanet Trustbase Transaction Manager の起動と停止に必要なすべてのスクリプトが含まれています。

図 1-13 iPlanet Trustbase Transaction Manager で一般的に使用されるスクリプト

  • <マシン名>
    このディレクトリには、tbase.properties、nFast.properties、identrus.properties、proxy.ini などの、このインストールのすべての設定ファイルが含まれています。これらのファイルは直接の編集はできませんが、このマニュアルで説明する各構成画面から編集できます。

図 1-14 iPlanet Trustbase Transaction Manager の初期化ファイル

  • V2.2
    このディレクトリには、すべての TTM バイナリとサポートファイルが含まれています。

その他のディレクトリは必要ありません。


インストール後の手順

iPlanet Trustbase Transaction Manager を最初に起動する前に、さらにいくつかの構成作業を行う必要があります。次にあげる各手順に必要なファイルを見つけるには、前述の「インストールの構造」を参照してください。


HSM の構成

この機能はオプションです。iPlanet Trustbase Transaction Manager をハードウェアセキュリティモジュールなしで設定する場合は、別の暗号化メカニズムを使用できます。ただし、Identrus 準拠のサイトではこの機能が必須になります。


必要要件

iPlanet Trustbase Transaction Manager をインストールするときに、必ず次のように答えてください。
What Cryptographic provider do you want to use: NCIPHER or JCP? NCIPHER

iPlanet Trustbase Transaction Manager のインストールが完了したら、次の図に示すように、nfast.properties が <インストールディレクトリ>/Trustbase/TTM/<マシン名> にあることを確認します。

図 1-15 nfast.properties の検索


nCipher の初期化

共通の鍵データベースを共有する nCipher モジュールの各グループに対し、次の設定作業を行います。

  • 付属のマニュアルに従って、nCipher ハードウェアをインストールします。各ユニットが pre-initialisation mode になっていることを確認します。nCipher のマニュアルには、モジュールに「Security World」をインストールし設定する手順が説明されています (nCipher 『KeySafe User Guide』を参照)。

  • nFast モジュールでは、ローカルホストからの接続だけが受け入れられます。このため、nFast モジュールは TC の実行に使用するハードウェアドライブ上にあることが必要です。

  • nCipher KeySafe ツールを使用して、モジュール上に「Security World」を作成します。

  • ほかのモジュールの「Security World」をコピーするには、KeySafe の「restore」機能を使ってこの「Security World」をインストールします。

  • nFast サーバが TCP を通じて iPlanet Trustbase Transaction Manager nFast スタブと通信できるように、nFast の起動スクリプトを編集します。この編集を行うには、NFAST_SERVER_PORT 環境変数を定義し、/etc/init.d/nfast にエクスポートする必要があります。iPlanet Trustbase Transaction Manager スタブでは、このポートのデフォルト値は 9000 になっていますが、ほかのポートに設定することもできます。

  • これらの設定を行ったら、サーバを再び起動します。nCipher をデフォルトの場所にインストールした場合、入力するコマンドは次のようになります。
    /app/nfast/sbin/init.d-nfast stop
    /app/nfast/sbin/init.d-nfast start


    NFAST_SERVER_PORT の値が 9000 以外の場合は、iPlanet Trustbase Transaction Manager のインストールディレクトリ (/app/Trustbase/TTM/<マシン名>) にある nFast.properties ファイルを編集して、StandardPort プロパティを一致させる必要があります。



nCipher モジュールの設定と使用

Security World をインストールしたら、次の点を確認します。

  • nFast スタブと NCIPHER JCE プロバイダの両方が、nFast.properties ファイルから各設定を読み込むこと。これには次の値が含まれます。

    • AServerAddress。ServerAddress プロパティは、ローカルホストに設定すること。ほかの値が設定されていると、サーバで Unix システムの接続が拒否されることがある。NT システムでは、「localhost」以外のクライアントからの接続が許可されます。デフォルトの値は 127.0.0.1

    • StandardPort。StandardPort プロパティには、サーバが標準の接続を待機するポート番号が含まれる。デフォルトの値は 9000

    • StandardConnections。StandardConnections プロパティには、nFast モジュールで維持される標準接続の数が含まれる。このプロパティに低い値を設定すると、モジュールの並列処理機能を十分に活用することができない。デフォルトでは、この値はモジュール自体から取得される

    • module.key。module.key プロパティには、ボックス外に保管する際の暗号化キーに使用する、モジュールキーの識別番号が含まれる。標準的なインストールを行い、Security World を適切に設定した場合は、ボックスに次のモジュールキーがインストールされる

      KM0 - ランダムに生成されたモジュールキー。このモジュールキーはエクスポートされない。このキーをデフォルトとして使用した場合、アーカイブしたキーはその特定のモジュールにだけ使用可能。何らかの理由でモジュールを置き換えた場合、すべてのキーを再び生成することが必要

      KM1 - リカバリキーのブートストラップに使用する、よく知られたモジュールキー。このモジュールキーは使用しないこと

      KM2 - Security World のキー。このモジュールキーを使用する

      デフォルトでは、モジュール上に必ず存在するモジュールキーとして KM0 (設定値は 0) が使われています。稼動中のシステムでは、この値を常に「2」に設定する必要があります。
      ServerAddress = localhost
      ServerPort = 9000
      StandardConnections = 10
      PrivilegedConnections = 0
      module.key = 2


Oracle データベースの構成

TTM と Identrus 拡張機能は、どちらもスキーマがすでに構成されているデータベースへのアクセスを必要とします。インストールには SQL スクリプトが付属しています。これらのスクリプトは、インストール時に指定されたデータベースユーザのテーブルスペースで実行します。次の各項では、ユーザの作成と、そのユーザに対して適切なスキーマを生成する方法について説明します。

  • ユーザの生成方法や、定義されているテーブルスペースは、サイトによって異なる場合があります。サイトの DBA に連絡して、指示を受けてください。Trustbase の各インストールでは、1 つの証明書ストアだけを使用します。定義が必要なパラメータは、Oracle のログイン名、Oracle のログインパスワード、Oracle のログインパスワードと同じに設定した PBE パスワード、Oracle のホスト名、Oracle のポート番号、および Oracle SID です。


cd /app
cp oracle-jdbc-815.zip /app/Trustbase/TTM/current/lib3p/10
"> インストールの必要要件
cd /app
cp oracle-jdbc-815.zip /app/Trustbase/TTM/current/lib3p/10



iPlanet Trustbase Transaction Manager SQL スクリプトの実行

  • 必要であれば、ユーザ名とパスワードを作成するように DBA に依頼します。手順は以下になります。

  • Oracle ユーザに切り替え、サーバマネージャを実行します。
    myhost> su - oracle
    Password:
    myhost> cd ../Trustbase/TTM/V2.2/Config/sql
    myhost> svrmgrl

    Oracle Server Manager Release 3.1.5.0.0 - Production

    (c) Copyright 1997, Oracle Corporation. All Rights Reserved.

    Oracle8i Enterprise Edition Release 8.1.5.0.0 - Production
    With the Partitioning and Java options
    PL/SQL Release 8.1.5.0.0 - Production

    SVRMGR> connect internal
    Connected.

  • データベースで、UTF8 文字セットのサポートを有効にする必要があります。この有効化を行うスクリプトの例を次に示します。
    SVRMGR> SHUTDOWN;
    SVRMGR> STARTUP MOUNT;
    SVRMGR> ALTER SYSTEM ENABLE RESTRICED SESSION;
    SVRMGR> ALTER SYSTEM SET JOB_QUEUE_PROCESSES=0;
    SVRMGR> ALTER DATABASE OPEN;
    SVRMGR> ALTER DATABASE CHARACTER SET UTF8;
    SVRMGR> SHUTDOWN;
    SVRMGR> STARTUP;

  • iPlanet Trustbase Transaction Manager ユーザを作成します。サイトのポリシーによっては、ユーザ名、パスワード、およびデフォルトのテーブルスペースを変更しなければならない場合があります。
    SVRMGR> CREATE USER tbase IDENTIFIED BY tbase DEFAULT TABLESPACE USERS
    TEMPORARY
    TABLESPACE TEMP;
    Statement processed.
    SVRMGR> GRANT CONNECT TO tbase;
    Statement processed.
    SVRMGR> GRANT RESOURCE TO tbase;
    Statement processed.
    SVRMGR> ALTER USER tbase QUOTA UNLIMITED ON USERS;
    Statement processed.
    SVRMGR> quit
    Server Manager complete.

  • iPlanet Trustbase Transaction Manager ユーザとして接続し、次のスクリプトを実行します。
    sunstorm% su - oracle
    sunstorm% cd /app/Trustbase/TTM/current/Config/sql
    sunstorm% sqlplus
    SQL*Plus: Release 8.1.5.0.0 - Production on Fri Sep 22 12:07:11 2000
    (c) Copyright 1999 Oracle Corporation. All rights reserved.
    Enter user-name: tbase
    Enter password:
    Error accessing PRODUCT_USER_PROFILE
    Warning: Product user profile information not loaded!
    You may need to run PUPBLD.SQL as SYSTEM

    Connected to:
    Oracle8i Enterprise Edition Release 8.1.5.0.0 - Production
    With the Partitioning and Java options
    PL/SQL Release 8.1.5.0.0 - Production

    SQL> @tbase2.sql


Identrus の構成

トランザクション コーディネータ (TC) は、iPlanet Trustbase Transaction Manager 内に配置されたすべての Identrus サービスによって構成されます。適切に設定を変更するには、identrus.properties ファイルを編集します。このファイルは、次の図に示すように <インストールディレクトリ>/Trustbase/TTM/<マシン名> にあります。

図 1-16 identrus.properties ファイルの場所

  • 通常、変更しなければならないのは OurAIA と LocalOCSPResponderLocation の場所だけです。次に例を示します。
    OurAIA = https://rp
    LocalOCSPResponderLocation = http://rp:8080

  • identrus.properties ファイルの例を次に示します。

図 1-17 Identrus.properties の例
[CSC]
; OID's for OCSP and TC
TCOID=1.2.840.114021.4.1
OCSPResponderOID=1.3.6.1.5.5.7.48.1

;CaCertificateRole=
;EndEntityCertificateRole=
;SigningCertificateRole=
;RootCertificateRole=

; Local OCSP Responder Communication
SignLocalOCSPRequests=false
OCSPResponderSigningCertificateRole=L1_OCSP_SC
LocalOCSPResponderLocation = identrus_local_resp_url

OurAIA = identrus_our_aia
DNOfAuthority=

; Response Cache Parameters
ApprovedResponseMaxAge=60
ApprovedResponseMaxKeep=60
DebugMode=true
;OCSPRequestorName=CN=KENCO

その他の変更できる設定には、次のものがあります。

  • OID

    • TCOID。Identrus トランザクションコーディネータの「authority info access」属性の ASN オブジェクト ID (デフォルトを使用可能)。すべての Identrus 証明書にはこの ID があり、Identrus により 1.2.840.114021.4.1 の ID が提供されている

    • OCSPOID。OCSP レスポンダ の「authority info access」属性の ASN オブジェクト ID (デフォルトを使用可能)

  • 証明書の役割

    • CaCertificateRole。トランザクションコーディネータの CA 証明書に使用される証明書属性 (デフォルトを使用可能)

    • EndEntityCertificateRole。トランザクションコーディネータの End Entity Signing Certificate に使用される証明書属性 (デフォルトを使用可能)

    • SigningCertificateRole。トランザクションコーディネータの Inter Participant Signing Certificate に使用される証明書属性 (デフォルトを使用可能)

    • RootCertificateRole。Identrus トランザクションコーディネータにより、Identrus ルートを識別するために使用される証明書属性 (デフォルトを使用可能)

  • ローカル OCSP レスポンダの通信

    • SignLocalOCSPRequests。ブール値。未署名のローカル OCSP リクエストではパラメータは「no」、署名済みのローカル OCSP リクエストではパラメータは「yes」

    • OCSPResponderSigningCertificateRole。OCSP 応答の確認に使用される証明書 (signLocalOCSPrequests が true の場合にだけ使用)

    • LocalOCSPResponderLocation。ローカル OCSP レスポンダの URL

  • その他の設定

    • OurAIA。この Identrus トランザクションコーディネータのアクセス情報権限 (AIA)

    • DNOfAuthority。Identrus ルートの署名証明書の識別名 (DN)。内部使用専用

  • 応答キャッシュパラメータ

    Identrus ルートへ繰り返し呼び出しを行わなくても済むように、自分の証明書のステータスを照会して、一定期間キャッシュに格納できます。ほかの機関にメッセージを送信するときには、このキャッシュされた応答が使用されます。メッセージを受け取った側は、キャッシュされた応答を受け入れるか、自分でルートに問い合わせを行うかを選ぶことができます。信頼カスタマが、キャッシュされた応答が Identrus トランザクションの別の場所で使われていないことを確認したい場合、そのカスタマは送信する OCSP リクエストに臨時応答を使用できます。この臨時応答は、キャッシュした応答を使用しないようにという信号として使用されます。

    キャッシュを行うと、Identrus ルートに繰り返しアクセスする必要がなくなります。キャッシュした証明書のステータスの有効期間は、各機関内に保存されます。また、受信する証明書のステータスの最長有効期限も、各機関内に保存されます。定義が必要なパラメータには、次のものがあります。

    • ApprovedResponseMaxAge。キャッシュエントリの有効期間 (秒数)

    • ApprovedResponseMaxKeep。提供された応答の受け入れ可能期間 (秒数)

    • DebugMode。内部デバッグのオン/オフ

    • OCSPRequestorName。OCSP レスポンダと通信する際に使う名前。署名が true に設定されている場合 (SignLocalOCSPRequests=true)、この名前は OCSP の署名に使用した証明書の識別名 (DN) に設定することが必要。例では、識別名が共通名 (CN) と組織ユニット (OU) から構成されているため、共通名を識別名として使用


iPlanet Trustbase Transaction Manager の起動

インストールと構成が完了したら、次のディレクトリにあるスクリプトを使って、iPlanet Trustbase Transaction Manager を制御できます。

  • /app/Trustbase/TTM/Scripts

図 1-18 iPlanet Trustbase Transaction Manager で一般的に使用されるスクリプト

iPlanet Application Server および TTM のコンポーネントの起動と停止に使用する主なスクリプトは次のとおりです。これらのスクリプトは、Scripts ディレクトリの内部から、ルートとして実行します。

  • ./startias
    iPlanet Application Server を起動

  • ./starttbase
    iPlanet Trustbase の構成マネージャ、SSL プロクシ、および SMTP プロクシを起動

  • ./stopias

  • ./stoptbase

この他にも、このディレクトリには次のような便利なスクリプトがあります。

  • ./setcp
    このスクリプトを実行すると、CLASSPATH 環境変数が TTM の実行に必要な設定に変更される。このスクリプトは、Scripts ディレクトリ内で、ルートとして、「. ./setcp」を使って実行すること。

  • ./runcertmanager
    証明書の構成に使用

  • ./runcheckintegrit
    ログの統合性の確認に使用 (「Raw_Data と Init_Table のアーカイブ」を参照)


    Bourne シェル (/bin/sh) では 「. ./setcp」を、c シェル (/bin/csh) では「./setup」を使用します。



停止の手順

システムを停止するには、次の手順に従います。

  • ルートとしてログオンします。
    #!/bin/sh
    cd /app/Trustbase/TTM/Scripts
    /app/Trustbase/TTM/Scripts/stopias
    /app/Trustbase/TTM/Scripts/stoptbase
    /app/ias6/slapd-hailstorm/stop-slapd
    /app/iws41/https-hailstorm.uk.sun.com/stop
    /app/iws41/https-admserv/stop


再起動の手順

システムを再起動するには、次の手順に従います。

  • ルートとしてログオンし、次のシェルを実行します。
    #!/bin/sh
    /app/ias6/slapd-hailstorm/start-slapd
    /app/iws41/https-hailstorm.uk.sun.com/start
    /app/iws41/https-admserv/start

    cd /app/Trustbase/TTM/Scripts
    /app/Trustbase/TTM/Scripts/startias
    /app/Trustbase/TTM/Scripts/starttbase


再インストール

Trustbase の「install」スクリプトの実行中に行った設定が適切ではなかった場合、すでに行った変更を失うことなく、このスクリプトを再び実行できます。再実行時には、以前に入力した内容が記憶され、デフォルトとして提供されます。
sunstorm% cd /app/Trustbase/scripts
sunstorm% ./install

再インストールの方法については、iPlanet Application Server、iPlanet Web Server、Oracle、および nCipher のマニュアルを参照してください。


証明書の管理


証明書をインストールする前に、適切な Identrus 認証局によって作成および署名された証明書を持つ CA を設定する必要があります。その後、Certmanager ユーティリティを使って、iPlanet Trustbase Transaction Manager 証明書ストア内の適切な場所に CA 証明書を配置します。

図 1-19 CA 証明書の設定


Certmanager の実行

  • CertManager を実行します。
    # cd /app/Trustbase/TTM/Scripts
    # ./runcertmanager

  • 次の図に示すように、ストアを開きます。

図 1-20 証明書ストアを開く


PKCS10 リクエストの生成

  • 次の図に示すように、Identrus PKI 階層を作成します。

図 1-21 Identrus PKI 階層

  • これは、CertManager から、応答を生成する認証局の Web サイトに、生成したデータを貼り付ける作業です。手順は次のとおりです。

    • 「Generate PKCS10 certificate Request (CSR)」を選択して、PKCS-10 証明書のリクエストを生成します。

    • 「Add Requested Certificate Response」を選択して、認証局から該当する応答 (PEM 応答と呼ばれることもある) を収集します。

図 1-22 PKCS10 リクエストの生成


CertManager の使用方法の詳細は、『ユーティリティガイド』を参照してください。



証明書への属性の割り当て

iPlanet Trustbase Transaction Manager でこれらの証明書を認識するには、CertManager で属性表示を割り当てる必要があります。次の属性表示/目的 ID/目的属性を定義します。

図 1-23 目的属性表示と Identrus PKI 階層

  • この場合受け取り側はレベル 1 の CA なので、目的属性 L1CA を証明書 RPCA-CMS に割り当てる。L1CA は CA 証明書の目的 ID である

  • 目的属性 L1EESC を証明書 RPTC_L1EESC に割り当てる。L1EESC は、bank/RC または bank/SC のメッセージ署名に使用される目的 ID である

  • 目的属性 L1EESSL を証明書 RPTC_L1EESSL に割り当てる。L1EESSL は、bank/RC または bank/SC の SSL 接続に、(サーバとして) 使用される目的 ID である

  • 目的属性 L1IPSC を証明書 RPTC_L1IPSC に割り当てる。L1IPSC は、銀行間のメッセージ署名に使用される証明書の目的 ID である

  • 目的属性 IRCA を証明書 IRCA_CMS に割り当てる。IRCA は Identrus ルートの証明書である

これは、次の図 1-24 に示すように、iPlanet Trustbase Transaction Manager の CertManager ユーティリティ内に示されています。

図 1-24 目的属性


証明書の属性表示の作成方法については、『ユーティリティガイド』を参照してください。CertManager の画面では、これは属性表示と呼ばれます。一方、iPlanet Trustbase Transaction Manager 内でトランザクション処理の要件として配置されている場合は、目的属性、または目的 ID と呼ばれます。『ユーティリティガイド』25 ページの「証明書表示」などを参照してください。



Identrus 認可

iPlanet Trustbase Transaction Manager に Identrus メッセージを送信するには、カスタマに対して Identrus 対応のメッセージの送信を可能にする認可を作成する必要があります。次の 3 つの図にこの様子を示します。

図 1-25 Identrus メッセージの送信を可能にする証明書

  • 「認可」-「証明書の追加」を選択します。

  • この例では、発行元の識別名として「CN=Identrus Root CA;OU=Identrus Root;O=Identrus;C=GB」、RP 銀行 CA のシリアル番号として「4」を入力しています。「最大の深さ」は「1」に、「役割」は「Identrus」に設定します。詳細は、「証明書の追加」を参照してください。この設定を次に示します。

図 1-26 Trustbase 内での Identrus メッセージを送信可能にする証明書のインストール

ほかの銀行に対しても、Identrus 対応メッセージを送信する認可を作成します。次の 3 つの図にこの様子を示します。

図 1-27 ほかの銀行への Identrus メッセージの送信を可能にする証明書

  • 「認可」-「証明書の追加」を選択します。

  • 発行元の識別名として「CN=Identrus Root CA;OU=Identrus Root;O=Identrus;C=GB」、RP 銀行 CA のシリアル番号として「1」を入力します。「最大の深さ」は「1」に、「役割」は「Identrus」に設定します。詳細は、「証明書の追加」を参照してください。この設定を次の図に示します。

図 1-28 Trustbase 内で Identrus 対応メッセージの送信を可能にする証明書をインストール

最後に、設定を有効にするために iPlanet Trustbase Transaction Manager を再起動します。iPlanet Trustbase Transaction Manager 内で両方の証明書が次の図のようにインストールされていることを確認します。

図 1-29 Trustbase にインストールされた Identrus 対応メッセージ


OCSP レスポンダと署名済み OCSP 応答の確認

メッセージをあるノードに送信すると、応答が返されます。応答の送信者の身元を確認するには、この応答を確認する必要があります。これはオプションの機能で、応答は信用できるという仮定に基づいています。ローカルで使用される OCSP レスポンダでは、通信は保護されているとみなすことができるので、署名の確認を要求されることはまずありません。ただし、OCSP レスポンダがローカルではない場合、または通信が保護されていない場合は、この機能を構成します。

RP 銀行が iPlanet Trustbase Transaction Manager トランザクションコーディネータを持たない IP との通信に失敗する場合は、OCSP レスポンダが必要です。これは、OCSP フォールバックと呼ばれることもあります。

OCSP 応答を確認するには、iPlanet Trustbase Transaction Manager の証明書ストアに署名証明書を入力する必要があります。iPlanet Trustbase Transaction Manager の Oracle 証明書ストアに OCSP の署名証明書をインポートしたら、次のように目的属性を定義します。

  • L1OCSP

iPlanet Trustbase Transaction Manager で署名済み OCSP 応答が受信されると、この属性値のある証明書を使ってデジタル署名が確認されます。

この証明書を入手するには、いくつかの方法があります。

  • IRCA 目的属性のある証明書を使用する。ただし、この証明書は IRCA 証明書によって Validation Authority 証明書が発行されている場合にだけ使用可能

  • OCSP レスポンダ (Valicert または その他の Identrus 準拠の Validation Authority) から入手する

図 1-30 OCSP レスポンダ


前へ 目次 DocHome 索引 次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2001 Netscape Communications Corp. All rights reserved.

最終更新日 2001 年 3 月 14 日