![]() |
iPlanet Trustbase Transaction Manager 2.2.1 設定ガイド |
第 6 章 SSL
SSL の構成では、ネットワーク上のメッセージ転送に使用されるセキュリティを決定するパラメータを定義できます。構成オプションには、次のものがあります。
概要
プロクシは、セキュリティユーザログオンを使って構成できます。
図 6-1 「SSL」メインメニュー
![]()
図 6-2 SSL プロクシの設定
![]()
SSL プロクシに関するオプションは、すべて「SSL プロクシの構成」メインページに含まれています。ページの上部でリンクを選択すると、個々のセクションを開くことができます。これらのセクションで必要な入力の詳細は、これ以降の該当するタスクに関する各項で説明します。
フォームでは、必要に応じていくつでも変更を行うことができます。変更が完了したら、ページの下部にあるボタンを使ってフォームを送信します。確認段階で更新に失敗した場合は、変更に失敗した値のレポートが返されます。すべての更新に成功した場合は、操作が完了したという旨のメッセージが表示されます。
注 この画面の最後には、エキスパートユーザ用の設定セクションがあります。このセクションは iPlanet の社員が SSL プロクシの問題点を診断するために使います。通常の SSL プロクシの構成では、このセクションは使わないでください。SSL プロクシを別のマシンにインストールする方法については、第 2 章、「アーキテクチャの構成」を参照してください。
受信する接続の情報の変更
受信する接続の情報は、「SSL プロクシの構成」ページの次のオプションで変更できます。
SSL プロクシは、ローカルマシンの特定の TCP/IP ポートで受信する接続を待機します。これは一般にポート 443 で、インストール中にこのデフォルト値に設定されます。プロクシが待機するポートを変更するには、「プロクシ設定」オプションで変更を行い、プロクシを再起動する必要があります。
SSL 待機ポート - サーバがリクエストを受信するポート。HTTPS を使う場合、デフォルトポートは 443
SSL プロクシの管理における主な条件の 1 つとして、プロクシマシンの負荷により、受信接続が拒否されないことが必要です。各 SSL 接続では、セッションパラメータのネゴシエーション (ハンドシェイク) のために CPU が集中的に使用され、多くの SSL ネゴシエーションを同時に許可すると、クライアントがタイムアウトになることがあります。この状態を避けるために、すでに負荷がある状態では新規接続を拒否するように SSL プロクシを構成できます。
システム全体の設定
図 6-3 システム全体の SSL プロクシの設定
![]()
「システム全体の設定」セクションで提供されているオプションは、次のとおりです。
最大接続数 - プロクシで許可される最大接続数。これはハンドシェイクの段階のセッションと進行中のセッションの合計で、通常 80 以下であるが、ホストマシンの構成によって異なる
最大コネクタ数 - 同時にハンドシェイクを実行できる最大の接続数。通常 40 以下であるが、ホストマシンの構成によって異なる
HTTPS コネクタ - プロクシ接続の最大数と同じ値に設定
注 SSL プロクシのインスタンスが複数あると、1 つの Java 仮想マシン (JVM) を異なる目的に使用できます。ただし、iPlanet Trustbase Transaction Manager では、SSL プロクシをこのモードで実行することはありません。このため、サーバ設定をシステム全体の設定と同じにします。設定が同じでない場合は、小さい方の値が使用されます。
SSL プロトコルと認証の設定
SSL プロトコルには、パフォーマンスや使用に影響する多くのパラメータがあります。これらのパラメータは、「SSL 設定」ページで変更できます。
図 6-4 SSL 設定
![]()
圧縮 - 将来使用される予定。現在の設定は NULL
V2 クライアントを受け入れる - SSL プロクシは SSLV3.0 を実装。この値を「True」に設定すると、SSLV2.0 の hello リクエストを使うクライアントも受け入れ可能。これにより、特定の種類のブラウザとの互換性が提供される
非対象プロバイダ - 使用する非対称プロバイダ。nCipher HSM を使う iPlanet Trustbase Transaction Manager インストールのデフォルトは、NCIPHER
Cipher スイート - SSL ハンドシェイクネゴシエーション中に使う符号化スイート。iPlanet Trustbase Transaction Manager インストールのデフォルトは、SSL_RSA_WITH_NULL_MD5
クライアント証明書を必要とする - クライアントの SSL セッションの認証用に「True」に設定
クライアント証明書が正しくないときに中止にする - デフォルトでは「True」に設定され、クライアントがルート不明の証明書または無効な証明書チェーンを示した場合に、SSL ハンドシェイクを中止
クライアント証明書がないときに中止にする - 「True」に設定して、クライアントが認証用に証明書を提供しない場合にハンドシェイクを中止
証明書ストアの場所の変更
SSL プロクシによって使用される証明書ストアは、デフォルトでは iPlanet Trustbase Transaction Manager で使用されるものと同じです。インストール中に、プロクシの初期化ファイルから構成データベースに、Oracle データベースへのパスが読み込まれます。これらの値は、共有証明書データベースではなく、ローカルの Oracle 証明書データベースをプロクシで使うように変更できます。
ほとんどのインストールでは、ローカルデータベースを使う必要はありません。証明書と鍵を 2 つの場所で管理する必要が出てくるからです。しかし、組織が副ファイヤウォールを開きたくない場合などには、SSL プロクシでローカルの証明書データベースを使うように、これらの設定を変更できます。
ローカル証明書ストアを使用するには、Oracle ユーザが既知であることと、証明書ストアテーブルを生成する SQL スクリプトがすでに実行されていることが必要です。詳細は、『インストールガイド』を参照してください。次の項目を、新しい証明書ストアをポイントするように変更できます。
図 6-5 証明書ストアの設定
![]()
プロクシの Web サーバへのリダイレクト
SSL プロクシでは、HTTP データが副ファイヤウォールの後ろにある Web サーバに転送されます。マシンにエラーが生じた場合など、Web サーバの場所を変更しなければならないことがあります。このような場合には、SSL プロクシを新しい Web サーバの場所にリダイレクトする必要があります。
前へ 目次 DocHome 索引 次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2001 Netscape Communications Corp. All rights reserved.
最終更新日 2001 年 3 月 14 日