第 6 章   SSL


SSL の構成では、ネットワーク上のメッセージ転送に使用されるセキュリティを決定するパラメータを定義できます。構成オプションには、次のものがあります。

• 接続数とプロクシのポート設定の変更方法

• SSL プロトコル設定の変更方法

• SSL プロクシが使用する証明書ストアの変更方法

• SSL プロクシが別の Web サーバを使用するように設定する方法

概要

---

プロクシは、セキュリティユーザログオンを使って構成できます。

図 6-1 「SSL」メインメニュー

• 「SSL」-「プロクシ構成」を選択すると、「SSL プロクシの構成」ホームページが開きます。

図 6-2 SSL プロクシの設定

SSL プロクシに関するオプションは、すべて「SSL プロクシの構成」メインページに含まれています。ページの上部でリンクを選択すると、個々のセクションを開くことができます。これらのセクションで必要な入力の詳細は、これ以降の該当するタスクに関する各項で説明します。

フォームでは、必要に応じていくつでも変更を行うことができます。変更が完了したら、ページの下部にあるボタンを使ってフォームを送信します。確認段階で更新に失敗した場合は、変更に失敗した値のレポートが返されます。すべての更新に成功した場合は、操作が完了したという旨のメッセージが表示されます。

---

注	この画面の最後には、エキスパートユーザ用の設定セクションがあります。このセクションは iPlanet の社員が SSL プロクシの問題点を診断するために使います。通常の SSL プロクシの構成では、このセクションは使わないでください。SSL プロクシを別のマシンにインストールする方法については、第 2 章、「アーキテクチャの構成」を参照してください。

---

受信する接続の情報の変更

---

受信する接続の情報は、「SSL プロクシの構成」ページの次のオプションで変更できます。

• プロクシ設定

• システム全体の設定

• サーバ設定

SSL プロクシは、ローカルマシンの特定の TCP/IP ポートで受信する接続を待機します。これは一般にポート 443 で、インストール中にこのデフォルト値に設定されます。プロクシが待機するポートを変更するには、「プロクシ設定」オプションで変更を行い、プロクシを再起動する必要があります。

• SSL 待機ポート - サーバがリクエストを受信するポート。HTTPS を使う場合、デフォルトポートは 443

  
  

  ---

  注	ポート 443 は SSL に割り当てられたポートのため、ポート番号を変更する場合は、クライアントに新しい設定を通知する必要があります。iPlanet Trustbase Transaction Manager では、クライアントが使うポート番号は、証明書 AIA にエンコードされています。SSL プロクシポート番号を変更すると、クライアントやほかのトランザクションコーディネータが Identrus トランザクションコーディネータに接続できなくなります。

  ---

  
  

SSL プロクシの管理における主な条件の 1 つとして、プロクシマシンの負荷により、受信接続が拒否されないことが必要です。各 SSL 接続では、セッションパラメータのネゴシエーション (ハンドシェイク) のために CPU が集中的に使用され、多くの SSL ネゴシエーションを同時に許可すると、クライアントがタイムアウトになることがあります。この状態を避けるために、すでに負荷がある状態では新規接続を拒否するように SSL プロクシを構成できます。

システム全体の設定

図 6-3 システム全体の SSL プロクシの設定

「システム全体の設定」セクションで提供されているオプションは、次のとおりです。

• 最大接続数 - プロクシで許可される最大接続数。これはハンドシェイクの段階のセッションと進行中のセッションの合計で、通常 80 以下であるが、ホストマシンの構成によって異なる

• 最大コネクタ数 - 同時にハンドシェイクを実行できる最大の接続数。通常 40 以下であるが、ホストマシンの構成によって異なる

サーバ設定

• HTTPS コネクタ - プロクシ接続の最大数と同じ値に設定

• 最大接続数 - プロクシコネクタの最大数に設定

  
  

  ---

  注	SSL プロクシのインスタンスが複数あると、1 つの Java 仮想マシン (JVM) を異なる目的に使用できます。ただし、iPlanet Trustbase Transaction Manager では、SSL プロクシをこのモードで実行することはありません。このため、サーバ設定をシステム全体の設定と同じにします。設定が同じでない場合は、小さい方の値が使用されます。

  ---

  
  

SSL プロトコルと認証の設定

---

SSL プロトコルには、パフォーマンスや使用に影響する多くのパラメータがあります。これらのパラメータは、「SSL 設定」ページで変更できます。

図 6-4 SSL 設定

これらの設定は次のようにグループ分けできます。

プロトコルの設定

• 圧縮 - 将来使用される予定。現在の設定は NULL

• V2 クライアントを受け入れる - SSL プロクシは SSLV3.0 を実装。この値を「True」に設定すると、SSLV2.0 の hello リクエストを使うクライアントも受け入れ可能。これにより、特定の種類のブラウザとの互換性が提供される

• 非対象プロバイダ - 使用する非対称プロバイダ。nCipher HSM を使う iPlanet Trustbase Transaction Manager インストールのデフォルトは、NCIPHER

• Cipher スイート - SSL ハンドシェイクネゴシエーション中に使う符号化スイート。iPlanet Trustbase Transaction Manager インストールのデフォルトは、SSL_RSA_WITH_NULL_MD5

認証の設定

• クライアント証明書を必要とする - クライアントの SSL セッションの認証用に「True」に設定

• クライアント証明書が正しくないときに中止にする - デフォルトでは「True」に設定され、クライアントがルート不明の証明書または無効な証明書チェーンを示した場合に、SSL ハンドシェイクを中止

• クライアント証明書がないときに中止にする - 「True」に設定して、クライアントが認証用に証明書を提供しない場合にハンドシェイクを中止

証明書ストアの場所の変更

---

SSL プロクシによって使用される証明書ストアは、デフォルトでは iPlanet Trustbase Transaction Manager で使用されるものと同じです。インストール中に、プロクシの初期化ファイルから構成データベースに、Oracle データベースへのパスが読み込まれます。これらの値は、共有証明書データベースではなく、ローカルの Oracle 証明書データベースをプロクシで使うように変更できます。

ほとんどのインストールでは、ローカルデータベースを使う必要はありません。証明書と鍵を 2 つの場所で管理する必要が出てくるからです。しかし、組織が副ファイヤウォールを開きたくない場合などには、SSL プロクシでローカルの証明書データベースを使うように、これらの設定を変更できます。

ローカル証明書ストアを使用するには、Oracle ユーザが既知であることと、証明書ストアテーブルを生成する SQL スクリプトがすでに実行されていることが必要です。詳細は、『インストールガイド』を参照してください。次の項目を、新しい証明書ストアをポイントするように変更できます。

• 証明書ストアのパスワード - 証明書ストアのロック解除に使うパスワード

• 認証済み証明書の目的 ID - 一連の認証済み証明書の目的 ID

• サーバ証明書の ID - 使用するサーバ証明書の ID

• 証明書ストアのパス - 証明書ストアへのパス。通常は Oracle データベースに設定

図 6-5 証明書ストアの設定

プロクシの Web サーバへのリダイレクト

---

SSL プロクシでは、HTTP データが副ファイヤウォールの後ろにある Web サーバに転送されます。マシンにエラーが生じた場合など、Web サーバの場所を変更しなければならないことがあります。このような場合には、SSL プロクシを新しい Web サーバの場所にリダイレクトする必要があります。

このためには、次の設定を使用します。

• サーバアドレス - すべての受信リクエストの転送先のマシン名。SSL プロクシと Web サーバが同じマシンにある場合は、「Localhost」を使用可

• サーバポート - Web サーバが使うソケットのポート番号