2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
Directory Proxy Serverの証明書の作成、リクエストおよびインストール
Directory Proxy Serverのデフォルトでない自己署名証明書を作成するには:
Directory Proxy Serverの期限切れになったCA署名付き証明書の更新
Directory Proxy Serverの期限切れになったCA署名付きサーバー証明書を更新するには:
バックエンドLDAPサーバーからDirectory Proxy Serverの証明書データベースへの証明書の追加
バックエンドDirectory ServerからDirectory Proxy Serverの証明書データベースに証明書を追加するには:
バックエンドLDAPサーバーにクライアント証明書をエクスポートするようにDirectory Proxy Serverを構成するには:
Directory Proxy Serverの証明書データベースのバックアップおよびリストア
証明書データベースにアクセスするためのパスワードを要求するには:
証明書データベースにアクセスするためのパスワード・プロンプトを無効化するには:
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
Directory Proxy ServerでSecure Sockets Layer(SSL)を実行するには、自己署名証明書または公開鍵インフラストラクチャ(PKI)ソリューションのいずれかを使用する必要があります。
PKIソリューションには、外部の認証局(CA)が関係します。PKIソリューションの場合、公開鍵と秘密鍵の両方を含むCA署名付きサーバー証明書が必要です。この証明書は、1つのDirectory Proxy Serverのインスタンスに固有です。公開鍵を含む信頼できるCA証明書も必要です。信頼できるCA証明書は、CAからのサーバー証明書がすべて信頼できることを示します。この証明書はCAルート鍵またはルート証明書と呼ばれることもあります。
デフォルトでない自己署名証明書の作成方法およびCA署名付き証明書のリクエスト方法とインストール方法の詳細は、次の手順を参照してください。
Directory Proxy Serverのインスタンスを作成すると、デフォルトの自己署名証明書が自動的に提供されます。デフォルトでない設定で自己署名証明書を作成する場合、次の手順を使用します。
この手順では、サーバー証明書の公開鍵と秘密鍵のペアを作成します。この公開鍵は、Directory Proxy Serverによって署名されます。自己署名証明書は3か月間有効です。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpadm add-selfsign-cert instance-path cert-alias
ここで、cert-aliasは、自己署名証明書の名前です。
たとえば、my-self-signed-certという証明書を次のように作成できます。
$ dpadm add-selfsign-cert /local/dps my-self-signed-cert
すべてのコマンド・オプションの説明は、dpadm(1M)マニュアル・ページを参照するか、またはコマンドラインでdpadm add-selfsign-cert --helpと入力してください。
自己署名証明書は、テストの目的で役に立ちます。ただし、本番環境では、信頼できる認証局(CA)の証明書を使用する方がより安全です。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dpadm request-cert instance-path cert-alias
ここで、cert-aliasは、リクエストする証明書の名前です。認証局は、サーバーを識別するためにコマンドのオプションすべてを要求する場合があります。すべてのコマンド・オプションの説明は、dpadm(1M)マニュアル・ページを参照してください。
CA証明書を取得するプロセスは、使用するCAによって異なります。証明書をダウンロードできるWebサイトを提供する商用CAもあります。電子メールで証明書を送信するCAもあります。
たとえば、my-CA-signed-certという証明書を次のようにリクエストできます。
$ dpadm request-cert -S cn=my-request,o=test /local/dps my-CA-signed-cert -----BEGIN NEW CERTIFICATE REQUEST----- MIIBYDCBygIBADAhMQ0wCwYDVQQDEwRnZXJpMRAwDgYDVQQDEwdteWNlcnQ0MIGfMA0GCSqGSIb3 DQEBAQUAA4GNADCBiQKBgQC3v9ubG468wnjBDAMbRrEkmFDTQzT+LO30D/ALLXOiElVsHrtRyWhJ PG9cURI9uwqs15crxCpJvho1kt3SB9+yMB8Ql+CKnCQDHlNAfnn30MjFHShv/sAuEygFsN+Ekci5 W1jySYE2rzE0qKVxWLSILFo1UFRVRsUnORTX/Nas7QIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEA fcQMnZNLpPobiX1xy1ROefPOhksVz8didY8Q2fjjaHG5lajMsqOROzubsuQ9Xh4ohT8kIA6xcBNZ g8FRNIRAHCtDXKOdOm3CpJ8da+YGI/ttSawIeNAKU1DApF9zMb7c2lS4yEfWmreoQdXIC9YeKtF6 zwbn2EmIpjHzETtS5Nk= -----END NEW CERTIFICATE REQUEST-----
dpadm request-certコマンドを使用して証明書をリクエストすると、証明書リクエストは、プライバシ強化型メール(PEM)フォーマットのPKCS #10証明書リクエストになります。PEMは、RFC1421から1424で指定されているフォーマットです。詳細は、http://www.ietf.org/rfc/rfc1421.txtを参照してください。PEMフォーマットは、base64エンコード証明書リクエストをASCIIフォーマットで表します。
CA署名付き証明書をリクエストすると、一時自己署名証明書が作成されます。CAからCA署名付き証明書を受信し、インストールすると、一時自己署名証明書が新しい証明書に置き換えられます。
今後の参照のために証明書リクエストを保存します。証明書を更新するときにこれが必要になる場合があります。
証明書リクエストを送信したら、証明書に関するCAからの回答を待つ必要があります。リクエストに対する回答が届くまでの時間は、状況によって異なります。たとえば、CAが社内の場合、レスポンス時間は短くなる可能性があります。ただし、CAが社外の場合、リクエストに対するCAのレスポンスに数週間かかる可能性があります。
証明書をテキスト・ファイルで保存し、安全な場所にバックアップします。
CA署名付きサーバー証明書を信頼できるようにするには、Directory Proxy Serverのインスタンスに証明書をインストールする必要があります。この手順では、CA証明書の公開鍵をDirectory Proxy Serverの証明書データベースにインストールします。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
このためには、「CA証明書をリスト表示するには:」の説明に従って、すべてのインストール済CA証明書をリスト表示します。
$ dpadm add-cert instance-path cert-alias cert-file
ここで、cert-aliasは信頼できるCA証明書の名前で、cert-fileは信頼できるCA証明書を含むファイルの名前です。
$ dpadm add-cert instance-path cert-alias cert-file
ここで、cert-aliasはCA署名付きサーバー証明書の名前で、cert-fileはCA署名付きサーバー証明書を含むファイルの名前です。
注意: cert-aliasの名前は、証明書リクエストで使用したcert-aliasと同じである必要があります。
たとえば、次のようにCA-certという名前のCA署名付きサーバー証明書を/local/dps上の証明書データベースに追加できます。
$ dpadm add-cert /local/dps CA-cert /local/safeplace/ca-cert-file.ascii