公開鍵によるセキュリティ機能の管理

ドキュメントのダウンロード

サイトマップ

用語集

検索

e-docs > Tuxedo > Tuxedo CORBA アプリケーションのセキュリティ機能 > 公開鍵によるセキュリティ機能の管理

Tuxedo CORBA アプリケーションのセキュリティ機能

公開鍵によるセキュリティ機能の管理

ここでは、以下の内容について説明します。

ここで説明する作業は、CORBA アプリケーションで SSL プロトコルまたは証明書による認証を使用している場合にのみ実行してください。

公開鍵によるセキュリティを使用するための要件

SSL プロトコルおよび公開鍵によるセキュリティ機能を使用して、プリンシパルと BEA Tuxedo ドメイン間の通信を保護するには、専用のライセンスをインストールする必要があります。ライセンスのインストール方法については、『BEA Tuxedo システムのインストール』を参照してください。

また、公開鍵によるセキュリティを実装する前に、Lightweight Directory Access Protocol サーバと所属組織用の認証局 (市販または専用) を選択して設定する必要があります。

デジタル証明書と公開鍵/秘密鍵のペアが必要な場合

CORBA セキュリティ環境で SSL プロトコルを使用するには、秘密鍵と対応する公開鍵を含むデジタル署名付き証明書が必要です。必要なデジタル証明書および秘密鍵の数は、SSL プロトコルの使用方法によって異なります。

リモート・クライアントと IIOP リスナ/ハンドラ間のネットワーク接続を保護するために SSL プロトコルを使用する場合、IIOP リスナ/ハンドラのデジタル証明書および秘密鍵を取得する必要があります。
SSL プロトコルを証明書による認証で使用する場合、IIOP リスナ/ハンドラだけでなく、CORBA アプリケーションにアクセスする各プリンシパルのデジタル証明書および秘密鍵を取得する必要があります。

使用するデジタル証明書の取得先は、信頼性のある CA ファイルで定義されている認証局でなければなりません。詳細については、信頼性のある認証局の定義を参照してください。

デジタル証明書の要求

デジタル証明書を取得するには、デジタル署名要求 (CSR) と呼ばれる特定の形式でデジタル証明書の要求を提出する必要があります。CSR の作成方法は、利用する認証局によって異なります。通常、認証局では、公開鍵、秘密鍵、およびその公開鍵を含む CSR を提供します。CSR を作成するには、選択した認証局で説明されている手順に従います。

手順に従って CSR を作成すると、認証局から次のファイルを受け取ります。

ファイル	説明
key.der	秘密鍵ファイル。
request.pem	認証局に提出する CSR ファイル。内容は .dem ファイルと同じデータですが、電子メールにコピーしたり Web フォームに貼り付けたりできるように ASCII で符号化されています。

認証局からデジタル証明書を購入するには、認証局の登録手順に従って CSR を認証局に提出します。一部の認証局では、デジタル証明書を Web 経由で購入できます。

LDAP ディレクトリ・サービスでの証明書の公開

デジタル証明書の保存方法としては、グローバル・ディレクトリ・サービスを使用するのが一般的です。ディレクトリ・サービスを使用すると、増え続けるユーザに対してグローバルに利用可能にする情報を容易に管理できます。LDAP サーバでは、さまざまなディレクトリ・サービスにアクセスできます。

SSL プロトコルを使用するようにコンフィギュレーションされた BEA Tuxedo 製品の CORBA セキュリティ環境では、プリンシパルおよび認証局のデジタル証明書を、Netscape Directory Service や Microsoft Active Directory などの LDAP ディレクトリ・サービスから取り出すことができます。SSL プロトコルまたは認証局を使用する前に、LDAP ディレクトリ・サービスをインストールし、所属する組織に合わせてコンフィギュレーションする必要があります。BEA 社では、特定の LDAP ディレクトリ・サービスを提供しておらず、また推奨もしていません。ただし、選択した LDAP ディレクトリ・サービスは、X.500 スキーマ定義と LDAP バージョン 2 または 3 プロトコルをサポートしている必要があります。

LDAP ディレクトリ・サービスは、オブジェクト・クラスの階層を定義します。さまざまなオブジェクト・クラスがありますが、デジタル証明書に関連付けられるのは一部だけです。図4-1 は、デジタル証明書に関連付けられる代表的なオブジェクト・クラスを示しています。

図 4-1 デジタル証明書の LDAP ディレクトリ構造

認証局から受け取ったデジタル証明書は、次のように LDAP ディレクトリ・サービスに保存します。

IIOP リスナ/ハンドラおよびプリンシパルのデジタル証明書は、オブジェクト・クラスの userCertificate 属性を定義して、LDAP ディレクトリ・サービスに保存されます。通常、これらのデジタル証明書は、X.500 で定義されている strongAuthenticationUser オブジェクト・クラスのインスタンスとして保存されます。
認証局のデジタル証明書は、オブジェクト・クラスの caCertificate 属性を定義して、LDAP ディレクトリ・サービスに保存されます。通常、これらのデジタル証明書は、X.500 で定義されている certificateAuthority クラスのインスタンスとして保存されます。

別のクラスを使用する LDAP スキーマでは、LDAP 検索フィルタ・ファイルの編集で説明するように、LDAP 検索ファイルを変更する必要があります。

BEA Tuxedo 製品では、デジタル証明書を Privacy Enhanced Mail (PEM) 形式でディレクトリ・サービスに保存する必要があります。

LDAP ディレクトリ・サービスを CORBA セキュリティ環境に統合する方法については、『BEA Tuxedo システムのインストール』を参照してください。

LDAP 検索フィルタ・ファイルの編集

SSL プロトコルまたは証明書による認証を使用するように CORBA アプリケーションをコンフィギュレーションする場合、LDAP 検索フィルタ・ファイルをカスタマイズして、ディレクトリ・サービスの検索スコープを限定するか、デジタル証明書を保持するオブジェクト・クラスを指定します。LDAP 検索フィルタ・ファイルをカスタマイズすると、性能が大幅に向上する場合があります。BEA Tuxedo 製品には、次の LDAP 検索フィルタが付属しています。

認証局に割り当てられているデジタル証明書用のディレクトリ・サービスを検索するフィルタ・スタンザ。このフィルタを使用すると、検索範囲が certificationAuthorityオブジェクト・クラスのインスタンスに限定されます。
プリンシパルに割り当てられているデジタル証明書用のディレクトリ・サービスを検索するフィルタ・スタンザ。このフィルタを使用すると、検索範囲が strongAuthenticationUser オブジェクト・クラスのインスタンスに限定されます。

ディレクトリ・サービスのスキーマがデジタル証明書を certificationAuthority および strongAuthenticationUser 以外のオブジェクト・クラスに保存するように定義されている場合、LDAP 検索フィルタ・ファイルを変更して、それらのオブジェクト・クラスを指定する必要があります。

LDAP 検索フィルタ・ファイルの場所は、BEA Tuxedo 製品のインストール時に指定します。詳細については、『BEA Tuxedo システムのインストール』を参照してください。

LDAP 検索フィルタ・ファイルは、管理者アカウントで所有する必要があります。このファイルを保護して、ファイルの所有者だけが読み書き特権を持つようにすることをお勧めします。

プリンシパルおよび認証局のデジタル証明書の検索を制限するには、次のタグで示される LDAP 検索フィルタ・ファイル内のフィルタ・スタンザを変更する必要があります。

BEA_person_lookup
BEA_issuer_lookup

これらのタグは、ディレクトリ・サービスで情報を検索するためのフィルタ式を含む LDAP 検索フィルタ・ファイル内のスタンザを識別します。これら BEA 固有のタグを使用すると、LDAP 検索フィルタ・ファイルのスタンザを、組織内のほかの LDAP 対応アプリケーションが使用する共通の LDAP 検索フィルタ・ファイルに保存できます。

BEA Tuxedo 製品が SSL プロトコルおよびデジタル証明書用に使用する LDAP 検索フィルタ・ファイルのスタンザの例を次に示します。

“BEA_person_lookup”
 “.*”  “ “ “(|(objectClass=strongAuthenticationUser) (mail=%v))” 
                                        “e-mail address”
           “(|(objectClass=strongAuthenticationUser) (mail=%v))” 
                                        “start of e-mail address”
“BEA_issuer_lookup”
 “.*” “ ” “(&(objectClass=certificationAuthority)
             (cn=%v)”  “exact match cn”
             (sn=%v))”   “exact match sn”

BEA_person_lookup は、LDAP ディレクトリ・サービスで電子メール・アドレスを使用してプリンシパルを検索するように指定します。
BEA_person_lookup には、LDAP ディレクトリ・サービスで一般名 (cn) を使用してプリンシパルを検索するように指定します。

LDAP 検索フィルタ・ファイルの詳細については、それぞれの LDAP 対応ディレクトリ・サービスのマニュアルを参照してください。

共通ロケーションにある秘密鍵

通常、プリンシパルが CSR を生成すると、秘密鍵の入ったファイルを受け取ります。プリンシパルが認証プロセスで自身の ID を証明する場合には、この秘密鍵のファイルが必要になります。秘密鍵ファイルの所有者だけが読み取り特権を持ち、その他すべてのユーザはファイルにアクセスできないように、秘密鍵ファイルの保護機能を指定します。秘密鍵ファイルは、PEM 符号化された PKCS #8 保護形式で保存する必要があります。

BEA Tuxedo システムでは、以下のように、プリンシパルの電子メール・アドレスを使用して秘密鍵ファイルの名前を作成します。

名前の @ は下線 (_) で置き換えられます。
ドット (.) 以降のすべての文字は削除されます。
.PEM ファイル拡張子がファイルに追加されます。

たとえば、プリンシパルの名前が milozzi@bigcompany.com の場合、生成される秘密鍵ファイルは milozzi_bigcompany.pem です。この命名規約では、ユーザ名が同じで電子メール・ドメインが異なる複数のプリンシパルが社内に存在してもかまいません。

BEA Tuxedo ソフトウェアでは、次のディレクトリで秘密鍵ファイルが検索されます。

Window 2000

%HOMEDRIVE%¥%HOMEPATH%

UNIX

$HOME

また、BEA Tuxedo ソフトウェアでは、次のディレクトリでも秘密鍵ファイルが検索されます。

$TUXDIR/udataobj/security/keys

所有者だけが読み取り特権を持ち、その他すべてのユーザはディレクトリにファイルにアクセスできないように、 $TUXDIR¥udataobj¥security¥keys ディレクトリを保護する必要があります。

リスト4-1 は、秘密鍵ファイルの一例です。

コードリスト 4-1 秘密鍵ファイルの例

-----BEGIN ENCRYPTED PRIVATE KEY-----
MIICoDAaBgkqhkiG9w0BBQMwDQQItSFrtYcfKygCAQUEggKAEgrMxo8gYB/MOSXG
...
-----END ENCRYPTED PRIVATE KEY-----

信頼性のある認証局の定義

SSL 接続を確立する場合、CORBA のプロセス (クライアント・アプリケーション IIOP リスナ/ハンドラ)は、ピアのデジタル証明書のチェーンから認証局の ID および証明書を、信頼性のある認証局のリストと照合して、組織が信頼する認証局であることを確認します。このチェックは、Web ブラウザで行われるチェックとほぼ同じです。照合が失敗した場合、SSL 接続のイニシエータはターゲットの認証を拒否し、SSL 接続を終了します。通常は、システム管理者が、信頼性のある認証局のリストを定義します。

信頼性のある認証局のデジタル証明書を LDAP ディレクトリ・サービスから取り出します。PEM 形式のデジタル証明書を切り取って、$TUXDIR¥udataobj¥security¥certs にある trust_ca.cer というファイルに貼り付けます。trust_ca.cer は、任意のテキスト・エディタで編集できます。

trust_ca.cer ファイルは、管理者アカウントで所有する必要があります。このファイルを保護して、ファイルの所有者だけが読み書き特権を持つようにすることをお勧めします。

リスト4-2 は、信頼性のある認証局ファイルの一例です。

コードリスト 4-2 信頼性のある認証局ファイルの例

-----BEGIN CERTIFICATE----

MIIEuzCCBCSgAwIBAgIQKtZuM5AOzS9dZaIATJxIuDANBgkqhkiG9w0BAQQFADCB
zDEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xHzAdBgNVBAsTFlZlcmlTaWduIFRy
dXN0IE5ldHdvcmsxRjBEBgNVBAsTPXd3dy52ZXJpc2lnbi5jb20vcmVwb3NpdG9y
eS9SUEEgSW5jb3JwLiBCeSBSZWYuLExJQUIuTFREKGMpOTgxSDBGBgNVBAMTP1Zl
cmlTaWduIENsYXNzIDEgQ0EgSW5kaXZpZHVhbCBTdWJzY3JpYmVyLVBlcnNvbmEg
...
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE----

MIIEuzCCBCSgAwIBAgIQKtZuM5AOzS9dZaIATJxIuDANBgkqhkiG9w0BAQQFADCB
zDEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xHzAdBgNVBAsTFlZlcmlTaWduIFRy
dXN0IE5ldHdvcmsxRjBEBgNVBAsTPXd3dy52ZXJpc2lnbi5jb20vcmVwb3NpdG9y
...
-----END CERTIFICATE-----

ピア規則ファイルの作成

ネットワーク・リンク経由の通信では、接続先のピアが意図したピアまたは許可されたピアであることの確認が重要です。このチェックを行わないと、安全な接続を確立して、安全なメッセージをやり取りしたり、有効なデジタル証明書のチェーンを受信したりすることはできますが、介在者の攻撃を受ける危険は残ります。ピア検証を行うには、ピアの証明書に含まれている情報を、ピアの信頼性を検証するための規則を指定した情報リストと照合します。システム管理者は、このピア規則ファイルを管理します。

ピア規則は、peer_val.rul という ASCII ファイルで管理されます。peer_val.rul ファイルを、BEA Tuxedo ディレクトリ構造の次の場所に格納します。

$TUXDIR/udataobj/security/certs

リスト4-3 は、ピア規則ファイルの一例です。

コードリスト 4-3 ピア規則ファイルの例

#
# このファイルには、ピアが安全な接続のターゲットとして認可されるかどうかを
# 検証するための規則のリストが含まれる
#
O=Ace Industry
O=”Acme Systems, Inc.”; OU=Central Engineering;L=Herkimer;S=NY
O=”Ball, Corp.”, C=US
o=Ace Industry, ou=QA, cn=www.ace.com

ピア規則ファイルの各規則は、キーで識別される要素のセットで構成されます。BEA Tuxedo 製品は、表 4-1 に示したキー名を認識します。

表 4-1 ピア規則ファイルでサポートされているキー

キー	属性
CN	CommonName
SN	SurName
L	LocalityName
S	StateOrProvinceName
O	OrganizationName
OU	OrganizationalUnitName
C	CountryName
E	EmailAddress

各キーの後ろには、オプションの空白文字、=、オプションの空白文字、および比較対象の値が続きます。キーでは大文字と小文字が区別されません。規則で指定された各要素がサブジェクトの識別名に入っており、要素の値が大文字と小文字の区別および区切りも含めて規則で指定された値と一致していない限り、規則は一致となりません。

ピア規則ファイルの各行には、安全な接続を確立するかどうかを決定するための 1 つの規則が入っています。規則は複数の行にまたがってはならず、規則全体を 1 行に収めなければなりません。規則の各要素を区切るには、カンマ (,) またはセミコロン (;) を使用します。

シャープ記号 (#) で始まる行は注釈です。注釈は、組織名と同じ行に表示できません。

次のいずれかの条件に該当する場合は、値を一重引用符で囲む必要があります。

文字列に次のいずれかの文字が含まれる場合

, + = "" <CR> < > # ;
文字列の前または後ろに空白がある場合
文字列に空白が連続する場合

BEA Tuxedo 製品では、デフォルトで、ピア情報がピア規則ファイルと照合されます。このチェックを省略する場合は、空のピア規則ファイルを作成します。