Sun ONE Portal Server, Secure Remote Access 6.2 管理者ガイド |
第 7 章
証明書この章では、証明書の管理、および自己署名証明書または認証局からの証明書をインストールする方法について説明します。
この章で説明する内容は次のとおりです。
SSL 証明書の概要SunTM ONE Portal Server, Secure Remote Access ソフトウェアは、リモートユーザーに対して証明書に基づく認証を行います。Secure Remote Access は、SSL (Secure Sockets Layer) を使用して通信をセキュリティ保護します。SSL プロトコルを使用することで、2 つのマシン間の通信がセキュリティ保護されます。
SSL 証明書は、公開鍵と秘密鍵のペアを使用した暗号化と複合化の機能を提供します。
証明書には、次の 2 種類があります。
ゲートウェイのインストール時に、デフォルトでは自己署名証明書が生成、インストールされます。
証明書は、インストール後にいつでも生成、取得、交換することができます。
Secure Remote Access は PDC (Personal Digital Certificates) によるクライアント認証をサポートします。PDC は SSL クライアント認証を通じてユーザーを認証するメカニズムです。SSL クライアント認証を使用して、SSL ハンドシェークがゲートウェイで終了します。ゲートウェイはユーザーの PDC を抽出し、認証されたサーバーにこれを渡します。このサーバーは、この PDC を使用してユーザーを認証します。認証連鎖における PDC の設定については、「認証連鎖の使用」を参照してください。
Secure Remote Access には、SSL 証明書を管理するための certadmin というツールが用意されています。「certadmin スクリプト」を参照してください。
証明書ファイル証明書関連のファイルは /etc/opt/SUNWps/cert/default/gateway-profile-name 内にあります。このディレクトリには、デフォルトで 5 つのファイルが格納されています。
表 7-1 は、これらのファイルの説明を示しています。最初の列は証明書ファイルの名前、2 番目の列はファイルタイプ、3 番目の列はファイルの説明を示します。
証明書の信頼属性証明書の信頼属性が示す内容は、次のとおりです。
各証明書について、SSL、電子メール、オブジェクト署名の順序で表される 3 つの信頼カテゴリがあります。ゲートウェイコンポーネントの場合、最初のカテゴリだけが使用されます。各カテゴリの位置に、信頼属性コードが設定されます (カテゴリにコードが設定されない場合もあります)。
カテゴリの属性コードはカンマ (,) で区切られ、1 セットの属性は引用符 (") で囲まれます。たとえば、ゲートウェイのインストール時に生成、インストールされた自己署名証明書には、「u,u,u」が設定されます。これは、ルート CA 証明書ではなくサーバー証明書 (ユーザー証明書) であることを示します。
表 7-2 は、属性値のリストとそれぞれの意味を示しています。最初の列は属性、2 番目の列は値の説明を示します。
CA の信頼属性公開されている既知の CA のほとんどは、すでに認証データベースに含まれています。公開 CA の信頼属性の変更については、「証明書の信頼属性の変更」を参照してください。
表 7-3 は、代表的な認証局とその信頼属性を示しています。最初の列は認証局名、2 番目の列はその CA の信頼属性を示します。
certadmin スクリプトcertadmin スクリプトを使用して、次のような証明書管理タスクを実行できます。
自己署名証明書の生成各サーバーとゲートウェイコンポーネントの間で SSL 通信を行うには、証明書を生成する必要があります。
インストール後に自己署名証明書を生成するには
- 証明書を生成するゲートウェイマシンで、root として certadmin スクリプトを実行します。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 1
- 証明書管理メニューのオプション 1 を選択します。
既存のデータベースファイルを維持するかどうかを確認するメッセージが表示されます。
- 組織に固有の情報、トークン名、証明書名を入力します。
トークン名 (デフォルトトークンの場合は指定されません) と証明書名は、/etc/opt/SUNWps/cert/gateway-profile-name の下の .nickname ファイルに格納されます。
- ゲートウェイを再起動して証明書を適用します。
gateway-install-root/SUNWps/bin/gateway -n new gateway-profile-name start
証明書署名要求 (CSR) の生成CA に証明書を要求する前に、その CA が要求する情報を含む証明書署名要求 (CSR) を生成する必要があります。
CSR を生成するには
- root として certadmin スクリプトを実行します。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 2
- 証明書管理メニューのオプション 2 を選択します。
組織に固有の情報、トークン名、Web マスターの電子メールアドレスと電話番号を要求するプロンプトが表示されます。
ホスト名は、完全修飾 DNS 名で指定する必要があります。
このホストの完全修飾 DNS 名を指定してください [snape.sesta.com]
組織 (企業など) の名前を指定してください []
組織単位 (部門など) の名前を指定してください []
所在地の都市名を指定してください []
所在地の都道府県を指定してください []
2 桁の国コードを指定してください []
トークン名は、デフォルトの内部 (ソフトウェア) 暗号化モジュールを使用する場合 (暗号化カードを使用する場合など) にだけ必要です (トークン名は、modutil -dbdir /etc/opt/SUNWps/cert/default -list を実行してリスト表示できま す。) それ以外の場合は、下の Return を押します。
トークン名を入力してください
次に、証明書の生成の対象であるコンピュータの Web マスターへの連絡先情報を入力 します。
このサーバーの管理者または Web マスターの電子メールアドレスを指定してください []
このサーバーの管理者または Web マスターの電話番号を指定してください []
- 要求されるすべての情報を入力します。
CSR が生成され、portal-server-install-root/SUNWps/bin/csr.hostname.datetimestamp ファイルに格納されます。CSR は画面にも出力されます。CA に証明書を要求するときは、CSR をコピーして直接貼り付けることができます。
ルート CA 証明書の追加ゲートウェイの証明書データベースに登録されていない CA が署名した証明書をクライアントサイトが提示した場合、SSL ハンドシェークは失敗します。
これを防ぐには、証明書データベースにルート CA 証明書を追加する必要があります。これにより、ゲートウェイはその CA を認識できるようになります。
ブラウザで CA の Web サイトにアクセスし、その CA のルート証明書を取得します。certadmin を使用して、ルート CA 証明書のファイル名とパスを指定します。
ルート CA 証明書を追加するには
- root として certadmin スクリプトを実行します。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 3
- 証明書管理メニューのオプション 3 を選択します。
- ルート証明書を格納したファイルの名前と証明書名を入力します。
証明書データベースにルート CA 証明書を追加します。
証明書認証局から届いた SSL 証明書のインストールSecure Remote Access のゲートウェイコンポーネントのインストール時に、自己署名証明書がデフォルトで作成、インストールされます。インストール後はいつでも、正式な認証局 (CA) が指定するベンダまたは自社の CA が署名した SSL 証明書をインストールすることができます。
この作業は、次の 3 段階で実行されます。
CA への証明書の要求
証明書署名要求 (CSR) を生成したら、その CSR を使用して CA に証明書を要求します。
CA に証明書を要求するには
CA から届いた証明書のインストール
certadmin スクリプトを使用して、CA から届いた証明書を /etc/opt/SUNWps/cert/gateway-profile-name 内のローカルデータベースファイルにインストールできます。
CA から届いた証明書をインストールするには
- root として certadmin スクリプトを実行します。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 4
- 証明書管理メニューのオプション 4 を選択します。
証明書ファイル名、証明書名、トークン名が求められます。
- 要求されるすべての情報を入力します。
証明書が /etc/opt/SUNWps/cert/gateway-profile-name にインストールされ、画面はプロンプトに戻ります。
- ゲートウェイを再起動して証明書を適用します。
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
証明書の削除証明書管理スクリプトを使用して、証明書を削除することができます。
証明書を削除するには
- root として certadmin スクリプトを実行します。
gateway-profile-name は、ゲートウェイのインスタンス名です。
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 5
- 証明書管理メニューのオプション 5 を選択します。
- 削除する証明書の名前を入力します。
証明書の信頼属性の変更証明書の信頼属性の変更が必要となる理由の 1 つに、ゲートウェイでのクライアント認証の使用が挙げられます。クライアント認証には、PDC (Personal Digital Certificate) などがあります。ゲートウェイは、PDC を発行する CA を信頼する必要があり、証明書の信頼属性は、SSL 用に「T」に設定する必要があります。
ゲートウェイコンポーネントが HTTPS サイトとの通信を設定されている場合、ゲートウェイは、HTTPS サイトのサーバー証明書を発行する CA を信頼する必要があり、証明書の信頼属性は SSL 用に「C」に設定する必要があります。
証明書の信頼属性を変更するには
- root として certadmin スクリプトを実行します。
gateway-profile-name は、ゲートウェイのインスタンス名です。
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 6
- 証明書管理メニューのオプション 6 を選択します。
- 出力する証明書の名前を入力します。たとえば、Thawte Personal Freemail C などです。
- 証明書の信頼属性を入力します。
証明書の信頼属性が変更されます。
ルート CA 証明書のリスト表示証明書管理スクリプトを使用して、すべての CA 証明書をリスト表示することができます。
ルート CA 証明書をリスト表示するには
- root として certadmin スクリプトを実行します。
gateway-profile-name は、ゲートウェイのインスタンス名です。
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 7
- 証明書管理メニューのオプション 7 を選択します。
すべてのルート CA 証明書が表示されます。
すべての証明書のリスト表示証明書管理スクリプトを使用して、すべての証明書とその信頼属性を表示することができます。
すべての証明書をリスト表示するには
- root として certadmin スクリプトを実行します。
gateway-profile-name は、ゲートウェイのインスタンス名です。
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 8
- 証明書管理メニューのオプション 8 を選択します。
すべての証明書が表示されます。
証明書の出力証明書管理スクリプトを使用して、証明書を出力することができます。
証明書を出力するには
- root として certadmin スクリプトを実行します。
gateway-profile-name は、ゲートウェイのインスタンス名です。
証明書管理メニューが表示されます。
1) 自己署名証明書の生成
2) 証明書署名要求 (CSR) の生成
3) ルート CA 証明書の追加
4) 証明書認証局 (CA) から証明書をインストール
5) 証明書の削除
6) 証明書の信頼属性の変更 (PDC 向けなど)
7) ルート CA 証明書のリスト
8) すべての証明書のリスト
9) 証明書の内容の出力
10) 終了
choice: [10] 9
- 証明書管理メニューのオプション 9 を選択します。
- 出力する証明書の名前を入力します。