Novell Certificate Serverについて

Novell Certificate Serverでは、セキュリティコンテナオブジェクトと組織の認証局(CA)オブジェクトを作成することによって、デジタル証明書を作成、発行、および管理できます。組織の認証局オブジェクトにより、データを保護し、安全に伝送できるようになります。NetWare Web ManagerやNetWare Enterprise Web ServerなどのWeb関連製品には、組織の認証局オブジェクトが必要です。最初のeDirectoryサーバによって、eDirectoryツリー全体の組織の認証局オブジェクトとセキュリティコンテナオブジェクトが自動的に作成され、物理的に格納されます。どちらのオブジェクトもeDirectoryツリーの最上部に作成されます。これらのオブジェクトは、移動せずに作成時の位置にそのまま保管する必要があります。

1つのeDirectoryツリー内に存在できる組織の認証局オブジェクトは1つだけです。最初のサーバ上にすでに作成されている組織の認証局オブジェクトを、別のサーバに移動することはできません。組織の認証局オブジェクトを削除したり、再作成すると、その組織の認証局に関連する証明書はすべて無効になります。

重要:  組織の認証局オブジェクトを永続的に保管しようとするサーバを、最初のeDirectoryサーバにするようにします。組織の認証局オブジェクトの保管先のサーバは、ネットワーク内の継続して稼動する部分であり、アクセス可能で、信頼性が高くなければなりません。

インストール中のサーバがネットワーク内の最初のeDirectoryサーバでない場合、インストールプログラムは組織の認証局オブジェクトが存在するeDirectoryサーバを探し、このサーバを参照します。インストールプログラムは、セキュリティコンテナにアクセスし、サーバ証明書オブジェクトを作成します。

ネットワーク内に組織の認証局オブジェクトがまったく存在しないと、Web関連製品は機能しません。

LinuxまたはSolarisシステムの場合は、管理者が手動で組織の認証局オブジェクトとサーバ証明書オブジェクトを作成する必要があります。

LinuxおよびSolarisシステムでのeDirectory操作に関するセキュリティを確保する

eDirectoryには、PKCS(パブリックキー暗号化サービス)が付属しています。PKCSには、PKI(Pubic Key Infrastructure)サービスを提供するNovell Certificate Server、NICI(Novell International Cryptographic Infrastructure)、およびSAS-SSLサーバが含まれます。

次のセクションでは、eDirectoryの操作におけるセキュリティの確保について説明します。

• サーバ上にNICIがインストールおよび初期化されているかどうかを確認する
• サーバ上のNICIモジュールを初期化する
• Certificate Server(PKIサービス)を起動する
• 認証局を作成する
• 暗号化キーオブジェクトを作成する
• eDirectoryから、自己割り当て認証局をDER形式でエクスポートする
• NICIデーモンを起動する
• NICIデーモンを停止する

外部認証局の使用については、『Novell Certificate Server Administration Guide』を参照してください。

サーバ上にNICIがインストールおよび初期化されているかどうかを確認する

次の条件を満たしているかチェックします。これらの条件は、NICIモジュールが正しくインストールおよび初期化されていることを表します。

• /var/nds/xmgrcfg.da0ファイルのサイズが20KBより大きい。
• /var/nds/niciが存在し、そのディレクトリ内にあるファイルxmgrcfg.da1およびxarch.000のサイズがそれぞれ20KBより大きい。

これらの条件を満たしていない場合は、「サーバ上のNICIモジュールを初期化する」の手順に従って、サーバ上のNICIモジュールを初期化する必要があります。

サーバ上のNICIモジュールを初期化する

1. eDirectoryサーバを停止します。

   • Linuxシステムの場合は、「/etc/rc.d/init.d/ndsd stop」と入力します。
   • Solarisシステムの場合は、「/etc/init.d/ndsd stop」と入力します。

2. パッケージに含まれている.nfkファイルを/var/nds/nicifkディレクトリにコピーします。

3. eDirectoryサーバを開始します。

   • Linuxシステムの場合は「/etc/rc.d/init.d/ndsd start」と入力します。
   • Solarisシステムの場合は、「/etc/init.d/ndsd start」と入力します。

Certificate Server(PKIサービス)を起動する

PKIサービスを起動するには、コマンドnpki -1を実行します。

認証局を作成する

1. ConsoleOneで、Treeオブジェクトレベルにあるセキュリティオブジェクトを右クリックし、［新規作成］>［オブジェクト］の順にクリックします。

2. ［NDSPKI:認証局］>［OK］の順にクリックし、表示される指示に従います。

3. 対象のサーバを選択して、eDirectoryオブジェクト名を入力します。

4. ［作成方法］で［カスタム］を選択し、［次へ］をクリックします。

5. キーサイズを選択します。他のオプションについてはデフォルト値をそのまま使用して、［次へ］をクリックします。

6. ［証明書の基本制約条件を選択します］オプションでもデフォルト値をそのまま使用し、［次へ］をクリックします。

7. ［証明書パラメータを指定します］の［有効期間］で、［日付の指定］を選択します。

8. ［発効日］には、システム日付よりも数日(3〜5日)前の日付を選択します。他のすべてのオプションについてはデフォルト値をそのまま使用します。

暗号化キーオブジェクトを作成する

1. ConsoleOneでLDAPサーバオブジェクトを格納するコンテナを右クリックし、［新規作成］>［オブジェクト］の順にクリックします。

2. ［NDSPKI:暗号化キー］>［OK］の順に選択します。

3. 対象のサーバを選択して名前を入力します。［作成方法］で［カスタム］を選択して、［次へ］をクリックします。

4. 証明書に署名する認証局を示す［認証局の指定］オプションではデフォルト値をそのまま使用し、［次へ］をクリックします。

5. ［RSAキーサイズと、そのキーの使用方法を指定します］で、適切なキーサイズを選択します。その他のすべてのオプションではデフォルト値をそのまま使用し、［次へ］をクリックします。

6. ［証明書パラメータを指定します］の［有効期間］で、［日付の指定］を選択します。

7. ［発効日］には、システム日付よりも数日(3〜5日)前の日付を選択します。他のすべてのオプションについてはデフォルト値をそのまま使用し、［次へ］をクリックします。

8. ［このサーバ証明書に関連付けるルート認証局証明書を指定します］でもデフォルト値をそのまま使用し、［次へ］をクリックします。

9. ［完了］をクリックすると、暗号化キーが作成されます。

10. ［全般］プロパティページでSSL証明書(KMO)を選択し、［NLDAPサーバを即時リフレッシュ］>［閉じる］の順にクリックします。

eDirectoryから、自己割り当て認証局をDER形式でエクスポートする

1. KMOオブジェクトをダブルクリックして［証明書］プロパティページに移動します。［ルート認証局証明書］を選択して［エクスポート］をクリックし、続いて［バイナリDER形式のファイル］を選択して［OK］をクリックします。

2. eDirectoryへの保護接続を確立するためのすべてのコマンドライン操作にこのファイルを組み込みます。

NICIデーモンを起動する

LDAPツール操作の実行時のセキュリティを確保するには、LinuxまたはSolarisホスト上で必ずNICIデーモンが動作している必要があります。このデーモンの起動と停止を実行するには、ルートの許可が必要です。また、ホストシステム上で稼動するデーモンのインスタンス数は必ず1つでなければなりません。

1. NICIデーモンを起動するには、次のコマンドを入力します。

   • Linuxシステムの場合は、「/etc/rc.d/init.d/ccsd start」と入力します。
   • Solarisシステムの場合は、「/etc/init.d/ccsd start」と入力します。

NICIデーモンを停止する

1. NICIデーモンを停止するには、次のコマンドを入力します。

   • Linuxシステムの場合は、「/etc/rc.d/init.d/ccsd stop」と入力します。
   • Solarisシステムの場合は、「/etc/init.d/ccsd stop」と入力します。