ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
pktool gencert コマンドを使用して証明書を作成する方法
証明書と非公開鍵を PKCS #12 形式でエクスポートする方法
pktool setpin コマンドを使用してパスフレーズを生成する方法
pktool genkeypair コマンドを使用して鍵のペアを生成する方法
pktool signcsr コマンドを使用して証明書リクエストに署名する方法
22. Kerberos エラーメッセージとトラブルシューティング
鍵管理フレームワーク (KMF) は、公開鍵技術 (PKI) を管理するための統一されたアプローチを提供します。Oracle Solaris には、PKI テクノロジを使用する異なるアプリケーションがいくつか含まれています。各アプリケーションはそれぞれ独自のプログラミングインタフェース、鍵格納メカニズム、および管理ユーティリティーを提供します。アプリケーションがあるポリシー適用メカニズムを提供する場合、そのメカニズムはそのアプリケーションにしか適用されません。KMF では、アプリケーションは統一された管理ツール群、単一のプログラミングインタフェース群、および単一のポリシー適用メカニズムを使用します。これらのインタフェースを採用したすべてのアプリケーションの PKI ニーズは、これらの機能によって管理されます。
KMF では、次のインタフェースによって公開鍵技術の管理が統一されます。
pktool コマンド – このコマンドは、さまざまなキーストア内の PKI オブジェクト (証明書など) を管理します。
kmfcfg コマンド – このコマンドは、PKI ポリシーデータベースとサードパーティーのプラグインを管理します。
PKI ポリシー決定には、ある操作の検証方法などの操作が含まれます。また、PKI ポリシーは証明書の適用範囲を制限することもできます。たとえば、ある証明書が特定の目的にしか使用できないことを主張する PKI ポリシーを定義できます。そのようなポリシーは、その証明書がほかの要求のために使用されるのを禁止します。
KMF ライブラリ – このライブラリには、ベースとなるキーストアメカニズムを抽象化するプログラミングインタフェースが含まれています。
アプリケーションは特定のキーストアメカニズムを選択する必要がなく、あるメカニズムから別のメカニズムへ移行できます。サポートされているキーストアは、PKCS #11、NSS、および OpenSSL です。このライブラリに含まれるプラグイン可能フレームワークを使えば、新しいキーストアメカニズムを追加できます。したがって、アプリケーションがある新しいメカニズムを使用する場合、アプリケーションを若干変更するだけで、その新しいキーストアを使用できるようになります。
KMF は、鍵の格納を管理するための手段を提供するとともに、それらの鍵の使用に関する包括的なポリシーを提供します。KMF は、次の 3 つの公開鍵技術のポリシー、鍵、および証明書を管理します。
PKCS #11 プロバイダ、つまり暗号化フレームワークからのトークン
NSS、つまりネットワークセキュリティーサービス
OpenSSL、ファイルベースのキーストア
kmfcfg ツールを使えば、KMF ポリシーエントリの作成、変更、または削除を行えます。また、このツールでは、フレームワークへのプラグインも管理します。KMF は、pktool コマンド経由でキーストアを管理します。詳細は、kmfcfg(1) と pktool(1) のマニュアルページ、および次の各セクションを参照してください。
KMF のポリシーはデータベース内に格納されます。このポリシーデータベースは、KMF プログラミングインタフェースを使用するすべてのアプリケーションによって内部的にアクセスされます。このデータベースを使えば、KMF ライブラリによって管理される鍵や証明書の使用に、制約を設けることができます。アプリケーションは、証明書の検証を試みる際に、ポリシーデータベースをチェックします。kmfcfg コマンドはポリシーデータベースを変更します。
kmfcfg コマンドは、プラグインのための次のサブコマンドを提供します。
list plugin – KMF で管理されているプラグインを一覧表示します。
install plugin – モジュールのパス名でプラグインをインストールし、そのプラグインのためのキーストアを作成します。KMF からプラグインを削除するには、キーストアを削除します。
uninstall plugin – プラグインのキーストアを削除することによって、KMF からプラグインを削除します。
modify plugin – プラグインのコードで定義されているオプション (debug など) を使用してプラグインを実行できるようにします。
詳細は、kmfcfg(1) のマニュアルページを参照してください。手順については、「KMF でサードパーティーのプラグインを管理する方法」を参照してください。
KMF では、PKCS #11 トークン、NSS、OpenSSL の 3 つの公開鍵技術に対してキーストアを管理します。pktool コマンドを使えば、これらすべての技術について次のことが行えます。
自己署名付き証明書を生成する。
証明書要求を生成します。
対称鍵を生成する。
公開鍵と非公開鍵のペアを生成します。
署名のために外部の認証局 (CA) に送信される PKCS #10 証明書署名要求 (CSR) を生成します。
PKCS #10 CSR に署名します。
キーストアにオブジェクトをインポートします。
キーストア内のオブジェクトを一覧表示します。
キーストアからオブジェクトを削除します。
CRL をダウンロードします。
PKCS #11 および NSS 技術の場合には、pktool コマンドでパスフレーズを生成して PIN を設定することもできます。
キーストアのパスフレーズを生成します。
キーストア内のあるオブジェクトのパスフレーズを生成します。
pktool ユーティリティーの使用例については、pktool(1) のマニュアルページおよび 「鍵管理フレームワークの使用 (タスクマップ)」を参照してください。