Oracle® Fusion Middleware Oracle Directory Server Enterprise Editionインストレーション・ガイド 11g リリース1 (11.1.1.7.0) B72437-01 |
|
前 |
次 |
この付録では、Directory ServerおよびDirectory Proxy Serverとともに、Solaris 10システムでSunの暗号化フレームワークを介してSun Crypto Acceleratorカードを使用する方法について簡単に説明します。このフレームワークの詳細は、各ドキュメントを参照してください。
この手順は、Sun Crypto Acceleratorハードウェアを使用する場合を対象としています。Directory Serverインスタンスを実行するユーザーとして、次の手順を実行します。
pktool setpin
コマンドを入力し、暗号化フレームワークへのアクセスに使用されるPINを設定します。
Directory Serverを実行するのと同じユーザーとして、PINを設定します。
現在のDirectory Server証明書をPKCS#12ファイルにエクスポートします。
次のコマンドは、Directory Serverインスタンスが/local/ds/
にある場合にこの手順を実行する方法を示しています。
$ dsadm export-cert -o cert-file /local/ds defaultCert
鍵マテリアルにアクセスする際に適切なトークンを使用するようにDirectory Serverを構成します。
通常、トークンはSun Metaslot
です。
$ dsconf set-server-prop 'ssl-rsa-security-device:Sun Metaslot'
Directory Serverを停止します。
$ dsadm stop /local/ds
Directory Serverインスタンス用の既存の証明書データベースに他の証明書が存在しない場合は、証明書データベースを削除します。
$ rm -f /local/ds/alias/*.db
このオプションの手順によって、ソフトウェア・データベースに証明書が格納されていないことを保証できます。
Solarisの暗号化フレームワークによって保護された新しい証明書データベースを作成します。
証明書データベースを削除していない場合は、この例のmodutil -create
の行を実行する必要はありません。
$ /usr/sfw/bin/64/modutil -create -dbdir /local/ds/alias -dbprefix slapd- $ /usr/sfw/bin/64/modutil -add "Solaris Kernel Crypto Driver" -libfile \ /usr/lib/64/libpkcs11.so -dbdir /local/ds/alias -dbprefix slapd- $ /usr/sfw/bin/64/modutil -enable "Solaris Kernel Crypto Driver" \ -dbdir /local/ds/alias -dbprefix slapd-
エクスポートしたPKCS#12証明書をインポートします。
$ /usr/sfw/bin/64/pk12util -i cert-file \
-d /local/ds/alias -P slapd- -h "Sun Metaslot"
$ /usr/sfw/bin/64/certutil -M -n "Sun Metaslot:defaultCert" -t CTu \
-d /local/ds/alias -P slapd-
アクセラレータ・ボードがセキュリティ強化のためにFIPS 140-2キーストアを備えている場合、デバイスに秘密鍵が格納されていることを確認します。たとえば、Sun Crypto Accelerator 4000および6000ボードはFIPS 140-2キーストアを備えています。正確なプロセスはボードによります。
注意: 使用する暗号スイートが暗号化ハードウェアでサポートされていることを確認してください。すべてのハードウェアがすべての暗号スイートをサポートしているわけではありません。回避策として、 |
暗号化フレームワークへのアクセスに必要なPINが含まれるパスワード・ファイルを作成します。
このファイルは、手順1でパスワードを変更した場合のみ必要です。
$ echo "Sun Metaslot:password"> /local/dsInst/alias/slapd-pin.txt
手順1でパスワードを変更した場合はpasswordは新しいパスワードで、それ以外の場合は現在使用中のものです。
Directory Serverを起動します。
$ dsadm start /local/ds
この手順は、Sun Crypto Acceleratorハードウェアを使用する場合を対象としています。Directory Proxy Serverインスタンスを実行するユーザーとして、次の手順を実行します。
Directory Proxy Serverを停止します。
$ dpadm stop /local/dps
証明書データベース・パスワード記憶域を無効にします。
$ dpadm set-flags /local/dps cert-pwd-prompt=on Choose the certificate database password: Confirm the certificate database password:
pktool setpin
コマンドを入力し、暗号化フレームワークへのアクセスに使用されるPINを設定します。
証明書データベース・パスワード記憶域を無効にしたときに入力したものと同じパスワードを使用します。
暗号化フレームワークをキーストアとして使用し、鍵のペアを生成します。
$ keytool -genkeypair -alias defaultDPScert
-dname "ou=dps server,dc=example,dc=com" -keyalg RSA -sigalg MD5withRSA
-validity 3652 -storetype PKCS11 -keystore NONE -storepass pin-password
pin-passwordは、pktool setpin
コマンドでPINとして設定するパスワードです。
Directory Proxy Server構成ファイルを編集し、ベース・エントリcn=config
に次の属性を追加します。
serverCertificateNickName: defaultDPScert certificateKeyStore: NONE certificateKeyStoreType: PKCS11
Directory Proxy Serverを起動します。
$ dpadm start /local/dps