このドライバは、LDAPプロトコルを使用してLDAPサーバと通信します。ほとんどのLDAPサーバでは、暗号化されていない(クリアテキスト)接続を許可しています。正しく設定されていれば、一部のLDAPサーバではSSL暗号化接続が許可されます。SSL接続では、公開鍵と秘密鍵のペアを使用してTCP/IPソケットのすべてのトラフィックが暗号化されます。実際のLDAPプロトコルは変わりませんが、通信チャネルでは暗号化が実行されます。
SSL接続を有効にする手順は、LDAPサーバによってわずかに異なります。このドキュメントでは、Netscape Directory Server 4.12を使用している場合のSSL接続を有効にするプロセスについて説明します。
別のLDAPサーバを使用している場合でも、手順は同様です。
最初にサーバ証明書をインストールする必要があります。LDAPサーバ自体で証明書を生成できますが、証明書には、サーバが信頼するCAの署名が必要です。証明書の署名を取得する1つの方法として、アイデンティティボールトに付属するCAを使用する方法があります。
証明書要求を生成するには、次のようにします。
Netscape Consoleのナビゲーションツリーで、このドライバの通信先サーバを選択します。
[Open Server (サーバを開く)]をクリックします。
[Tasks (タスク)]>[Certificate Setup Wizard (証明書セットアップウィザード)]の順にクリックします。
証明書を要求するための情報を設定します。
ホストシステムにすでにインストールされている証明書またはトークンに応じて、次のフィールドの一部または全部が表示されます。
Select a Token (Cryptographic Device) (トークンの選択(暗号化デバイス)): [Internal (Software) (内部(ソフトウェア))]を選択します。
[Is the Server Certificate Already Requested and Ready to Install? (サーバ証明書をすでに要求し、インストールの準備は整っていますか?)] [No(いいえ)]を選択します。
このホストの信頼できるデータベースが存在していない場合は、データベースが生成されます。
信頼できるデータベースとは、ローカルホストにインストールされた鍵ペアと証明書データベースのことです。内部のトークンを使用する場合の信頼できるデータベースとは、鍵と証明書をインストールするデータベースのことです。
パスワードを入力して確認します。
パスワードは8文字以上で、少なくとも1文字は数値にする必要があります。このパスワードにより、作成している新規鍵データベースに安全にアクセスできるようになります。
引き続き要求されるとおりに情報を設定して、[Next (次へ)]をクリックします。
信頼できるデータベースが作成されたら、[Next (次へ)]をクリックします。
要求された情報を入力して、[Next (次へ)]をクリックします。
以前に選択したトークンのパスワードを入力して、[Next (次へ)]をクリックします。
証明書セットアップウィザードで、サーバの証明書要求が生成されます。要求ページが表示されたら、証明書要求を認証局に送信できます。
サーバ証明書要求をメモ帳または別のテキストエディタにコピーします。
ファイルをcsr.txtとして保存します。
証明書要求の電子メールは、次のような形式になるはずです。
-----BEGIN NEW CERTIFICATE REQUEST-----
.
.
. -----END NEW CERTIFICATE REQUEST----
iManagerで、[Novell証明書サーバ]>[証明書の発行]の順にクリックします。
[ファイル名]フィールドで、csr.txtを参照して、[次へ]をクリックします。
[Organizational Certificate Authority (組織の認証局)]を選択します。
キータイプとしてSSLを指定し、[次へ]をクリックします。
証明書パラメータを指定し、[次へ]をクリックして、[終了]をクリックします。
ローカルディスクまたはフロッピーディスクにBase64形式の証明書をcert.b64という名前で保存します。
Netscape Consoleのナビゲーションツリーで、このドライバの接続先サーバを選択します。
[Open (開く)]をクリックします。
[Tasks (タスク)]>[Certificate Setup Wizard (証明書セットアップウィザード)]の順にクリックします。
ウィザードを起動して、証明書をインストールする準備ができたことを示します。
メッセージが表示されたら、次の情報を指定します。
Select a Token (Cryptographic Device) (トークンの選択(暗号化デバイス)): [Internal (Software) (内部(ソフトウェア))]を選択します。
[Is the Server Certificate Already Requested and Ready to Install? (サーバ証明書をすでに要求し、インストールの準備は整っていますか?)] [Yes (はい)]を選択します。
[Next (次へ)]をクリックします。
[Install Certificate For (証明書のインストール先)]フィールドで、[This Server (このサーバ)]を選択します。
[Password (パスワード)]フィールドで、信頼できるデータベースの設定に使用するパスワードを入力して、[Next (次へ)]をクリックします。
[Certificate Is Located in This File (証明書を含むファイル)]フィールドで、証明書への絶対パス(A:\CERT.B64など)を入力します。
証明書が生成されたら、[Add (追加)]をクリックします。
証明書が正しくインストールされたら、[Done (完了)]をクリックします。
証明書をインストールした後に、次の操作を実行してSSLを有効にします。
Netscape Consoleのナビゲーションツリーで、SSL暗号化を使用するサーバを選択します。
[Open (開く)]>[Configuration (構成)]>[Encryption (暗号化)]の順にクリックします。
次の情報を入力します。
Enable SSL (SSLの有効化): このオプションを選択します。
Cipher Family (暗号ファミリー): [RSA]を選択します。
Token to Use (使用するトークン): [Internal (Software) (内部(ソフトウェア))]を選択します。
Certificate to Use (使用する証明書): [Server-Cert]を選択します。
Client Authentication (クライアント認証): このドライバではクライアント認証をサポートしていないため、[Allow Client Authentication (クライアント認証を許可する)]を選択します。
[Save (保存)]をクリックします。
[Tasks (タスク)]をクリックし、サーバを再起動して変更を有効にします。
iManagerで、[eDirectory管理]>[オブジェクトの変更]の順に選択します。
認証局(CA)オブジェクトを参照して、[OK]をクリックします。
ドロップダウンリストから[証明書]を選択します。
[エクスポート]をクリックします。
「Do you want to export the private key with the certificate? (証明書付きプライベートキーをエクスポートしますか?)」というメッセージが表示されたら、[いいえ]をクリックします。
[次へ]をクリックします。
[ファイル名]フィールドは、ファイル名(PublicKeyCertなど)を入力して、形式として[Base64]を選択します。
[エクスポート]をクリックします。
LDAPサーバの信頼できるデータベースおよびクライアントの証明書ストアに、ルート認証局証明書をインポートする必要があります。
LDAPサーバの信頼できるデータベースに、ルート認証局証明書をインポートする必要があります。サーバ証明書はアイデンティティボールトのCAによって署名されているため、アイデンティティボールトCAを信頼するよう信頼できるデータベースを設定する必要があります。
Netscape Consoleで、[Tasks (タスク)]>[Certificate Setup Wizard (証明書セットアップウィザード)]>[Next (次へ)]の順にクリックします。
[Select a Token (トークンの選択)]で、デフォルトの[Internal (Software) (内部(ソフトウェア))]をそのまま使用します。
[Is the Server Certificate Already Requested and Ready to Install? (サーバ証明書をすでに要求し、インストールの準備は整っていますか?)]で、[Yes (はい)]を選択します。
[Next (次へ)]を2回クリックします。
[Install Certificate For (証明書のインストール先)]ダイアログボックスで、[Trusted Certificate Authority (信頼された認証局)]を選択します。
[Next (次へ)]をクリックします。
[Certificate Is Located in This File (証明書を含むファイル)]を選択して、ルート認証局証明書が含まれている.b64ファイルへのフルパスを入力します。
[Next (次へ)]をクリックします。
画面に表示される情報を確認して、[Add (追加)]をクリックします。
[Done (完了)]をクリックします。
このドライバで使用できる証明書ストア(別名: キーストア)にルート認証局証明書をインポートする必要があります。
rt.jarにあるKeyToolクラスを使用します。
公開鍵証明書がフロッピーディスクにPublicKeyCert.b64として保存されており、それを現在のディレクトリの.keystoreという名前の新しい証明書ストアファイルにインポートする場合は、コマンドラインで次のように入力します。
java sun.security.tools.KeyTool -import -alias TrustedRoot -file a:\PublicKeyCert.b64 -keystore .keystore -storepass keystorepass
この証明書を信頼するよう促すメッセージが表示された場合は、[はい]を選択して、[Enter (入力)]をクリックします。
アイデンティティボールトファイルを格納しているファイルシステムの任意のディレクトリに.keystoreファイルをコピーします。
iManagerで、[Identity Manager]>[Identity Managerの概要]の順に選択します。
ドライバを検索します。
LDAPドライバオブジェクトをクリックし、[Identity Managerドライバの概要]ページでもう一度そのオブジェクトをクリックします。
[キーストアパス]パラメータで、.keystoreファイルへの完全なパスを入力します。
次の表は、サンプル環境設定でのドライバの設定とそのデフォルト値を示しています。
Table 4-3 ドライバ設定とデフォルト値
|
パラメータ |
サンプルの環境設定値 |
説明 |
|---|---|---|
|
Use SSL for LDAP Connections (LDAP接続にSSLを使用) |
いいえ |
このパラメータの値には、[はい]または[いいえ]を指定します。このパラメータは、LDAPサーバとの通信時にSSL接続を使用するかどうかを表示します。SSLを使用するには、LDAPサーバも正しく設定する必要があります。 詳細については、SSL接続の設定を参照してください。 |
|
SSLポート |
636 |
このパラメータは、[Use SSL for LDAP Connections (LDAP接続にSSLを使用)]が[はい]に設定されていない限り無視されます。このパラメータでは、LDAPサーバがセキュリティ保護された接続に使用するポートを指定します。 |
|
SSL証明書用のキーストアパス |
[空白] |
[Use SSL for LDAP Connections (LDAP接続にSSLを使用)]が[はい]に設定されている場合、このパラメータ値には、サーバ証明書に署名した認証局(CA)のルート認証局証明書が格納されているキーストアファイルへの完全なパスを指定する必要があります。 キーストアファイルの作成に関する詳細については、クライアントの証明書ストアへのインポートを参照してください。 |