Sun Java System Portal Server Secure Remote Access 7.2 管理ガイド

PDC (Personal Digital Certificate) 認証の設定

PDC は認証局 (CA) が発行し、CA の非公開錠で署名されます。CA は証明書を発行する前に要求本文の ID を検証します。この場合 PDC が存在すると、強力な認証メカニズムとして機能します。

PDC には所有者の公開鍵、所有者名、有効期限、デジタル証明書を発行した認証局の名前、シリアル番号、その他の情報が収められています。

Portal Server での認証には、PDC とスマートカードや Java カードなどの符号化されたデバイスを使用できます。符号化されたデバイスは、カードに保存された PDC と電子的に同等のものを搬送します。ユーザーがこれらのメカニズムのいずれかを使用してログインすると、ログイン画面も認証画面も表示されません。

    PDC 認証プロセスには、いくつかの手順が伴います。

  1. ブラウザから、https://my.sesta.com のような接続要求を入力します。

    この要求への応答は、my.sesta.com までのゲートウェイが証明書を受け付けるように設定されているかどうかによって異なります。


    注 –

    ゲートウェイが証明書を受け付けるように設定されている場合、ゲートウェイは証明書付きのログインだけを受け付け、その他のログインを拒否します。


    ゲートウェイは、証明書が既知の認証局から発行されたものであるか、有効期限内であるか、変更されていないかどうかをチェックします。証明書が有効であれば、ユーザーが認証プロセスの次の手順に進むことを許可します。

  2. ゲートウェイはサーバー内の PDC 認証モジュールに証明書を渡します。

ProcedurePDC と符号化されたデバイスを設定する

  1. Portal Server マシンで、/etc/opt/SUNWam/config/AMConfig.properties ファイルに次の行を追加します。com.iplanet.authentication.modules.cert.gwAuthEnable=yes

  2. PDC を有効にするゲートウェイの認証データベースに、適切な証明書をインポートします。証明書の設定については、「ゲートウェイマシンでルート CA 証明書をインポートする」を参照してください。

  3. Access Manager 管理コンソールに管理者としてログインし、次の操作を行います。

    1. 「アイデンティティー管理」タブを選択し、「組織」を選択します。

    2. 「表示」ドロップダウンメニューから該当の組織に使用するサービスを選択します。

    3. 「追加」をクリックして証明書を登録します。

  4. Access Manager 管理コンソールで、次の操作を行います。

    1. 適切な組織を選択し、「証明書」の隣の矢印をクリックします。

    2. 「信頼できるリモートホスト」リストボックスで、何も強調表示せずに「削除」をクリックします。

    3. テキストボックスに何らかの文字列を入力し、「追加」をクリックします。

    4. 「保存」をクリックします。

  5. Access Manager 管理コンソールで、次の操作を行います。

    1. 適切な組織を選択し、「表示」ドロップダウンメニューから「サービス」を選択します。

      サービスのリストが表示されます。

    2. 「認証設定」コアサービスの隣の矢印をクリックし、「新規」をクリックします。

      「新規サービスインスタンス」ページが表示されます。

    3. サービスインスタンス名に「gatewaypdc」と入力します。

    4. 「送信」をクリックします。

      「gatewaypdc」がサービスインスタンスに表示されます。

    5. 「gatewaypdc」をクリックし、サービスを編集します。

      「gatewaypdc プロパティーを表示」ページが表示されます。

    6. 「認証設定」の隣の「編集」リンクをクリックし、「追加」をクリックします。

      「モジュールの追加」ページが表示されます。

    7. 「モジュール名」フィールドの「証明書」と、「適用基準」の「必須」を選択し、「了解」をクリックします。

    8. 「了解」をクリックして終了します。

  6. Access Manager 管理コンソールで、次の操作を行います。

    1. 「コア」の隣の矢印をクリックします。

    2. 「組織認証モジュール」リストボックスで、「gatewaypdc」を選択します。

    3. 「ユーザープロファイル」ドロップダウンメニューから「ダイナミック」を選択します。

    4. 「保存」をクリックして終了します。

  7. Portal Server 管理コンソールに管理者としてログインし、次の操作を行います。

    1. 「Secure Remote Access」タブを選択し、適切なゲートウェイプロファイルを選択します。

    2. 「セキュリティー」タブを選択します。

    3. 「証明書が有効なゲートウェイホスト」リストボックスで、ゲートウェイ名を追加します。

    4. 「保存」をクリックします。

  8. 端末ウィンドウからゲートウェイプロファイルを再起動します。

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

  9. PDC を有効にしたゲートウェイへのアクセス権を必要とするブラウザに対して、CA から発行されたクライアント証明書をインストールします。

  10. JVM キーストアに、クライアント証明書をインストールします。Windows マシンから「スタート」 > 「設定」 > 「コントロール パネル」 > 「Java」の順にクリックして、JVM コントロールパネルにアクセスできます。

    アプレットランタイムパラメータに、次のパラメータを追加します。

    • Djavax.net.ssl.keyStore=Path to Keystore

    • Djavax.net.ssl.keyStorePassword=password

    • Djavax.net.ssl.keyStoreType=type

  11. 次のゲートウェイプロファイルと組織にアクセスします。

    https://gateway:instance-port/YourOrganization

    ユーザー名とパスワードを要求するプロンプトが表示されずに、証明書の名前を使用してログインできます。

Procedureゲートウェイマシンでルート CA 証明書をインポートする

  1. ゲートウェイマシンでルート CA 証明書をインポートします。

    1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      Certadmin メニューが表示されます。

    2. オプション 3 を選択し、証明書のパスを入力します。

    詳細については、第 10 章「証明書の操作」を参照してください。

  2. CA に送信する証明書署名要求を生成します。

    1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      Certadmin メニューが表示されます。

    2. オプション 2 を選択し、適切な情報を入力します。

    3. ファイルを保存します。

  3. 証明書署名要求を CA に送信し、承認を受けます。CA の署名後に証明書応答を保存します。

  4. CA による承認が得られたら、サーバー証明書をインポートします。

    1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      Certadmin メニューが表示されます。

    2. オプション 4 を選択します。

    3. サーバー証明書が格納されているファイルの場所を指定します。

  5. Portal Server マシンでルート CA 証明書をインポートします。