2. Directory Serverのインスタンスと接尾辞
CA署名付きサーバー証明書と信頼できるCA証明書を追加するには:
CA署名付きサーバー証明書をエクスポートおよびインポートするには:
Directory ServerでのSASL暗号化レベルの設定
クライアントでのKerberos SASL GSSAPIの使用方法
GSSAPIとSASLを使用したKerberos認証の構成例
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
この項では、Directory ServerでSSL証明書を管理する方法について説明します。
Directory Server上でSSLを実行するには、自己署名付き証明書または公開鍵インフラストラクチャ(PKI)ソリューションを使用する必要があります。
PKIソリューションには、外部の認証局(CA)が関係します。PKIソリューションの場合、CA署名付きサーバー証明書が必要です。これには、公開鍵と秘密鍵の両方が含まれます。この証明書は、Directory Serverに固有のものです。また、公開鍵を含む信頼できるCA証明書も必要です。信頼できるCA証明書は、CAからのサーバー証明書がすべて信頼できることを示します。この証明書はCAルート鍵またはルート証明書と呼ばれることもあります。
注意: テスト目的で証明書を使用している場合、自己署名付き証明書を使用できます。しかし、本番で自己署名付き証明書を使用することはあまりセキュアではありません。本番では、信頼できる証明書発行局(CA)の証明書を使用してください。
この項で示す手順では、dsadmコマンドとdsconfコマンドを使用します。これらのコマンドについては、dsadm(1M)およびdsconf(1M)のマニュアル・ページを参照してください。
この節では、Directory Serverでの証明書の構成に関する次の情報について説明します。
Directory Serverインスタンスを初めて作成した場合、これには、デフォルトの自己署名付き証明書が含まれています。自己署名付き証明書は、公開鍵と秘密鍵のペアで、公開鍵が秘密鍵によって署名されています。自己署名付き証明書は、24か月間有効です。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dsadm show-cert instance-path defaultCert
Directory Serverインスタンスを作成すると、デフォルトの自己署名付き証明書が自動的に用意されます。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dsadm add-selfsign-cert instance-path cert-alias
ここで、cert-aliasは、証明書を特定するために付ける名前です。
このコマンドのオプションをすべて確認するには、dsadm(1M)のマニュアル・ページまたはコマンドラインのヘルプを参照してください。
$ dsadm add-selfsign-cert --help
$ dsadm stop instance-path $ dsadm renew-selfsign-cert instance-path cert-alias
$ dsadm start instance-path
この手順は、Directory Serverで使用するCA署名付きサーバー証明書をリクエストし、インストールする方法を説明しています。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dsadm request-cert [-i] [-W cert-pwd-file] {-S DN | --name name [--org org] \ [--org-unit org-unit] [--city city] [--state state] [--country country]} \ [--phone PHONE] [--email EMAIL] [--dns DOMAIN] [--keysize KEYSIZE] \ [--sigalg SIGALG] [-F format] [-o output-file] instance-path
たとえば、Example社のCA署名付きサーバー証明書をリクエストするには、次のコマンドを使用します。
$ dsadm request-cert --name host1 --org Example --org-unit Marketing \ -o my_cert_request_file /local/dsInst
サーバーを完全に特定するために、認証局はこの例で示す属性すべてを必要とする場合があります。各属性の説明については、dsadm(1M)のマニュアル・ページを参照してください。
dsadm request-certを使用して証明書をリクエストすると、出力形式としてASCIIを指定しないかぎり、作成される証明書リクエストはバイナリ証明書リクエストになります。ASCIIを指定すると、作成される証明書リクエストは、PEM形式のPKCS #10証明書リクエストになります。PEM(Privacy Enhanced Mail)は、RFC 1421~1424(http://www.ietf.org/rfc/rfc1421.txt)で指定されている形式で、base64でエンコードされた証明書リクエストをUS-ASCII文字で表すために使用されます。リクエストの内容は、次の例のようになります。
-----BEGIN NEW CERTIFICATE REQUEST----- MIIBrjCCARcCAQAwbjELMAkGA1UBhMCVXMxEzARBgNVBAgTCkNBElGT1JOSUExLD AqBgVBAoTI25ldHNjYXBlIGNvb11bmljYXRpb25zIGNvcnBvcmF0aWuMRwwGgYDV QQDExNtZWxsb24umV0c2NhcGUuY29tMIGfMA0GCSqGSIb3DQEBAUAA4GNADCBiQK BgCwAbskGh6SKYOgHy+UCSLnm3ok3X3u83Us7u0EfgSLR0f+K41eNqqWRftGR83e mqPLDOf0ZLTLjVGJaHJn4l1gG+JDf/n/zMyahxtV7+T8GOFFigFfuxJaxMjr2j7I vELlxQ4IfZgwqCm4qQecv3G+N9YdbjveMVXW0v4XwIDAQABAAwDQYJKoZIhvcNAQ EEBQADgYEAZyZAm8UmP9PQYwNy4Pmypk79t2nvzKbwKVb97G+MT/gw1pLRsuBoKi nMfLgKp1Q38K5Py2VGW1E47/rhm3yVQrIiwV+Z8Lcc= -----END NEW CERTIFICATE REQUEST-----
リクエストは、将来参照するためにセキュアな場所に保存する必要があります。更新のリクエストが必要な場合があります。
認証局証明書を入手するプロセスは、使用する認証局によって異なります。商用CAのなかには、証明書を自動的にダウンロードできるWebサイトを備えているものもあります。その他のCAは、リクエストに応じて電子メールで証明書を送信します。
証明書リクエストを送信したら、証明書に関するCAからの回答を待つ必要があります。リクエストに対する回答が届くまでの時間は、状況によって異なります。たとえば、CAが社内にある場合は、リクエストに対する回答は1~2日しかかからないこともあります。CAが社外にある場合は、数週間かかることもあります。
証明書を安全な場所にバックアップします。これにより、証明書を失っても、このバックアップ・ファイルを使用して証明書を再インストールできます。証明書はテキスト・ファイルに保存できます。次に、PEM形式のPKCS #11証明書の例を示します。
-----BEGIN CERTIFICATE----- MIICjCCAZugAwIBAgICCEEwDQYJKoZIhKqvcNAQFBQAwfDELMAkGA1UEBhMCVVMx IzAhBgNVBAoGlBhbG9a2FWaWxsZGwSBXaWRnZXRzLCBJbmMuMR0wGwYDVQQLExRX aWRnZXQgTW3FrZXJzICdSJyBVczEpMCcGAx1UEAxgVGVzdCBUXN0IFRlc3QgVGVz dCBUZXN0IFlc3QgQ0EswHhcNOTgwMzEyMDIzMzUWhcNOTgwMzI2MDIzMpzU3WjBP MQswCYDDVQQGEwJVUzEoMCYGA1UEChMfTmV0c2NhcGUgRGlyZN0b3J5VIFB1Ymxp Y2F0aW9uczEWMB4QGA1UEAxMNZHVgh49dq2tLNvbjTBaMA0GCSqGSIb3DQEBAQUA A0kAMEYkCQCksMR/aLGdfp4m0OiGgijG5KgOsyRNvwGYW7kfW+8mmijDtZaRjYNj jcgpF3VnlbxbclX9LVjjNLC5737XZdAgEDozYwpNDARBglghkgBhvhCEAQEEBAMC APAwHkwYDVR0jBBgwFAU67URjwCaGqZHUpSpdLxlzwJKiMwDQYJKoZIhQvcNAQEF BQADgYEAJ+BfVem3vBOPBveNdLGfjlb9hucgmaMcQa9FA/db8qimKT/ue9UGOJqL bwbMKBBopsDn56p2yV3PLIsBgrcuSoBCuFFnxBnqSiTS7YiYgCWqWaUA0ExJFmD6 6hBLseqkSWulk+hXHN7L/NrViO+7zNtKcaZLlFPf7d7j2MgX4Bo= -----END CERTIFICATE-----
この手順は、Directory Serverで使用するために、CA署名付きサーバー証明書と信頼できるCA証明書をインストールする方法を説明しています。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dsadm add-cert instance-path cert-alias cert-file
ここで、cert-aliasは証明書を特定するために付ける名前です。cert-fileは、PEM形式のPKCS #11証明書を含むテキスト・ファイルです。
たとえば、CA署名付きサーバー証明書をインストールするには、次のようなコマンドを使用します。
$ dsadm add-cert /local/dsInst server-cert /local/safeplace/serv-cert-file
これで、証明書がインストールされますが、まだ信頼されていません。CA署名付きサーバー証明書を信頼するには、認証局証明書をインストールする必要があります。
$ dsadm add-cert --ca instance-path cert-alias cert-file
--caオプションは、証明書が信頼できる認証局証明書であることを示します。
たとえば、認証局からの信頼できる証明書をインストールするには、次のようなコマンドを使用します。
$ dsadm add-cert --ca /local/dsInst CA-cert /local/safeplace/ca-cert-file
サーバー証明書をすべて一覧表示して、有効期限と別名を表示するには、次のように入力します。
$ dsadm list-certs instance-path
たとえば、次のようになります。
$ dsadm list-certs /local/ds1 Enter the certificate database password: Alias Valid from Expires on Self- Issued by Issued to signed? ----------- ---------- ---------- ------- ----------------- ----------------- serverCert 2000/11/10 2011/02/10 n CN=CA-Signed Cert, CN=Test Cert, 18:13 18:13 OU=CA,O=com dc=example,dc=com defaultCert 2006/05/18 2006/08/18 y CN=host1,CN=DS, Same as issuer 16:28 16:28 dc=example,dc=com 2 certificates found
デフォルトで、Directory Serverのインスタンスには、defaultCertと呼ばれるデフォルトのサーバー証明書が含まれます。Same as issuerは、デフォルト証明書が自己署名付きサーバー証明書であることを示します。
信頼できるCA証明書をリストするには、次のように入力します。
$ dsadm list-certs -C instance-path
たとえば、次のようになります。
$ dsadm list-certs -C /local/ds1 Enter the certificate database password: Alias Valid from Expires on Self- Issued by Issued to signed? ------- ---------- ---------- ------- ----------------- -------------- CA-cert 2000/11/10 2011/02/10 y CN=Trusted CA Cert, Same as issuer 18:12 18:12 OU=CA,O=com 1 certificate found
証明書の有効期限を含む、証明書の詳細を表示するには、次のように入力します。
$ dsadm show-cert instance-path cert-alias
たとえば、サーバー証明書を表示するには、次のように入力します。
$ dsadm show-cert /local/ds1 "Server-Cert" Enter the certificate database password: Certificate: Data: Version: 3 (0x2) Serial Number: 2 (0x2) Signature Algorithm: PKCS #1 MD5 With RSA Encryption Issuer: "CN=Server-Cert,O=Sun,C=US" Validity: Not Before: Fri Nov 10 18:12:20 2000 Not After : Thu Feb 10 18:12:20 2011 Subject: "CN=CA Server Cert,OU=ICNC,O=Sun,C=FR" Subject Public Key Info: Public Key Algorithm: PKCS #1 RSA Encryption RSA Public Key: Modulus: bd:76:fc:29:ca:06:45:df:cd:1b:f1:ce:bb:cc:3a:f7: 77:63:5a:82:69:56:5f:3d:3a:1c:02:98:72:44:36:e4: 68:8c:22:2b:f0:a2:cb:15:7a:c4:c6:44:0d:97:2d:13: b7:e3:bf:4e:be:b5:6a:df:ce:c4:c3:a4:8a:1d:fa:cf: 99:dc:4a:17:61:e0:37:2b:7f:90:cb:31:02:97:e4:30: 93:5d:91:f7:ef:b0:5a:c7:d4:de:d8:0e:b8:06:06:23: ed:5f:33:f3:f8:7e:09:c5:de:a5:32:2a:1b:6a:75:c5: 0b:e3:a5:f2:7a:df:3e:3d:93:bf:ca:1f:d9:8d:24:ed Exponent: 65537 (0x10001) Signature Algorithm: PKCS #1 MD5 With RSA Encryption Signature: 85:92:42:1e:e3:04:4d:e5:a8:79:12:7d:72:c0:bf:45: ea:c8:f8:af:f5:95:f0:f5:83:23:15:0b:02:73:82:24: 3d:de:1e:95:04:fb:b5:08:17:04:1c:9d:9c:9b:bd:c7: e6:57:6c:64:38:8b:df:a2:67:f0:39:f9:70:e9:07:1f: 33:48:ea:2c:18:1d:f0:30:d8:ca:e1:29:ec:be:a3:43: 6f:df:03:d5:43:94:8f:ec:ea:9a:02:82:99:5a:54:c9: e4:1f:8c:ae:e2:e8:3d:50:20:46:e2:c8:44:a6:32:4e: 51:48:15:d6:44:8c:e6:d2:0d:5f:77:9b:62:80:1e:30 Fingerprint (MD5): D9:FB:74:9F:C3:EC:5A:89:8F:2C:37:47:2F:1B:D8:8F Fingerprint (SHA1): 2E:CA:B8:BE:B6:A0:8C:84:0D:62:57:85:C6:73:14:DE:67:4E:09:56 Certificate Trust Flags: SSL Flags: Valid CA Trusted CA User Trusted Client CA Email Flags: User Object Signing Flags: User
CA署名付きサーバー証明書(公開鍵と秘密鍵)の有効期限が切れた場合は、次の手順に従って更新します。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dsadm stop instance-path $ dsadm renew-cert instance-path cert-alias cert-file
$ dsadm start instance-path
場合によって、後で証明書をインポートできるように、証明書の公開鍵と秘密鍵をエクスポートすることがあります。たとえば、別のサーバーで使用する証明書が必要な場合があります。
この手順のコマンドは、"cn=*,o=example"のようなワイルドカードを含む証明書で使用できます。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dsadm export-cert [-o output-file] instance-path cert-alias
たとえば、次のようになります。
$ dsadm export-cert -o /tmp/first-certificate /local/ds1 "First Certificate" $ dsadm export-cert -o /tmp/first-ca-server-certificate /local/ds1/ defaultCert Choose the PKCS#12 file password: Confirm the PKCS#12 file password: $ ls /tmp first-ca-server-certificate
$ dsadm import-cert instance-path cert-file
たとえば、サーバー・インスタンスに証明書をインポートするには、次のように入力します。
$ dsadm import-cert /local/ds2 /tmp/first-ca-server-certificate Enter the PKCS#12 file password:
$ dsconf set-server-prop -e -h host -p port ssl-rsa-cert-name:server-cert
デフォルトで、Directory Serverは保存されたパスワードを使用してSSL証明書データベースのパスワードを内部的に管理します。証明書を管理する場合に、ユーザーは証明書パスワードを入力したり、パスワード・ファイルを指定したりする必要はありません。パスワードは暗号化されているのではなく、非表示になっているだけなので、このオプションはあまりセキュアではありません。
より安全に証明書の使用を管理する場合には、コマンドラインでユーザーがパスワード入力を求められるようにサーバーを構成できます。この場合、ユーザーはautostart、backup、disable-service、enable-service、info、reindex、restoreおよびstop以外のdsadmのすべてのサブコマンドに対して証明書データベースのパスワードを入力する必要があります。証明書データベースは、ディレクトリinstance-path/aliasにあります。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dsadm stop instance-path
$ dsadm set-flags instance-path cert-pwd-prompt=on
新しい証明書のパスワードを選択するよう求められます。
$ dsadm start instance-path
Directory Serverのインスタンスをバックアップする場合、Directory Serverの構成と証明書をバックアップします。バックアップされた証明書はarchive-path/aliasディレクトリに格納されます。
Directory Serverのバックアップとリストアの方法については、「障害時リカバリ用のバックアップを作成するには:」を参照してください。