22.2 セットアップ

OES 2にインストールした証明書管理を設定するためには、次の節の情報を使用します。

22.2.1 自動証明書更新機能の設定

HTTPSサービスでeDirectory証明書を使用するようにサーバを設定するには、eDirectoryを初めてインストールのときに[Use eDirectory Certificates for HTTP Services]オプションを指定する必要があります。

これは、サーバにeDirectoryキーおよび証明書をインストールしますが、必要なとき(期限切れ等)に自動的に証明書を置き換えるように、サーバを設定しません。自動更新させるためには、次の手順でサーバの自己プロビジョニング機能を使用可能にします。

  1. 設定するサーバ上で、[iManager]、[Roles and Tasks (役割とタスク)]の順に選択し、[Novell Certificate Access (Novell証明書アクセス)]をクリックして、[Configure Certificate Authority (認証局の設定)]オプションを選択します。

  2. Enable server self-provisioning (サーバ自己供給を有効にする)]をクリックします

    これで、「PKIヘルスチェック」に記載されている条件のときに、証明書が自動的に置き換えられます。

    重要:OES 2ツリーでサーバ自己供給機能を有効にした場合、CRL設定オブジェクトを作成してCRL配布ポイントを設定していないと、PKIヘルスチェックが実行される度に、デフォルトの証明書が置き換えられる場合があります。

    次のいずれかを行って、このことを防ぐことができます。

    • iManagerの[Configure Certificate Authority (認証局の設定)]タスクを使用して、1つ以上のCRL配布ポイントを作成し、CAのCRL機能の設定を完了する。

      または

    • すべてのCRL設定オブジェクトを削除する。たとえば、CN=One - Configuration.CN=CRL Container.CN=Securityなど。

  3. CA証明書が変更または期限切れとなったときに置き換える場合は、[Health Check - Force default certificate creation/update on CA change (ヘルスチェック - 強制デフォルト証明書の作成/CA変更のアップデート)]オプションをクリックします。

22.2.2 ブラウザ証明書エラーの回避

Internet ExploreブラウザおよびMozilla Firefox*ブラウザは、デフォルトではeDirectoryベースの証明書を信頼しないため、OES 2サーバとのセキュリティ保護された接続の確立を試みると、認証エラーまたは警告が生成されることがよくあります。

これは、eDirectoryツリーのCAの自己署名済み証明書を、ブラウザにインポートすることによって回避できます。

ネットワークの状況に応じて、次の節の手順を行います。

CAの自己署名済み証明書のエクスポート

  1. Novell iManagerを起動します。

  2. 管理者ユーザとしてeDirectoryツリーにログインします。

  3. Roles and Tasks (役割とタスク)]メニューを選択して、[Novell Cerificate Server (Novell認証サーバ)]をクリックし、[Configure Certificate Autority (認証局の設定)]を選択します。

  4. Certificates (証明書)]タブをクリックして、自己署名済み証明書を選択します。

  5. [エクスポート]をクリックします。

  6. Export Private Key (秘密鍵のエクスポート)]を選択解除します。

    Export Format (エクスポートフォーマット)]をDERに変更します。

  7. 次へ]をクリックします。

  8. Save the Exported Certificate (エクスポートした証明書の保存)]をクリックし、ファイルをローカルディスクに保存します。指示された場合は、ファイルの名前と場所を控えます。

  9. Close (閉じる)]>[OK]の順にクリックします。

  10. 保存したファイルを確認します。通常、デフォルトではデスクトップに保存されます。

  11. ブラウザに適用する、次の節の手順を行います。

LinuxのMozilla FirefoxへのCA証明書のインポート

  1. Firefoxを起動します。

  2. 編集]、[Preferences (初期設定)]、[Advanced (詳細)]の順にクリックします。

  3. 暗号化]タブを選択します。

  4. 証明書を表示]をクリックします。

  5. 認証局証明書]タブを選択して、[インポート]をクリックします。

  6. CAの自己署名済み証明書のエクスポートでダウンロードした証明書を選択して、[開く]をクリックします。

  7. この認証局をWebサイトの特定に使用する。]を選択して、[OK]、[OK]、[閉じる]の順にクリックします。

    これでFirefoxは、ツリーのサーバからの証明書を信頼することになります。

WindowsのMozilla FirefoxへのCA証明書のインポート

  1. Firefoxを起動します。

  2. ツール]、[オプション]、[詳細]の順にクリックします。

  3. 暗号化]タブを選択します。

  4. 証明書を表示]をクリックします。

  5. 認証局証明書]タブを選択して、[インポート]をクリックします。

  6. CAの自己署名済み証明書のエクスポートでダウンロードした証明書を選択して、[開く]をクリックします。

  7. この認証局をWebサイトの特定に使用する。]を選択して、[OK]、[OK]、[OK]の順にクリックします。

    これでFirefoxは、ツリーのサーバからの証明書を信頼することになります。

Windows Internet Explorer 6および7へのCA証明書のインポート

  1. Internet Explorerを起動します。

  2. ツール]をクリックし、[インターネット オプション]を選択します。

  3. コンテンツ]タブを選択します。

  4. 証明書]をクリックします。

  5. インポート]をクリックします。

    [証明書のインポートウィザード]が開始されます。

  6. 次へ]をクリックします。

  7. 参照]をクリックします。

  8. ファイルの種類]ドロップダウンリストで、[すべてのファイル (*.*)]を選択して、CAの自己署名済み証明書のエクスポートでダウンロードしたファイルを参照し、[開く]をクリックします。

  9. 次へ]をクリックします。

  10. [次へ]をクリックします。

    証明書の種類に基づいて、自動的に証明書ストアを選択する](デフォルトでチェック済み)を選択します。

  11. 完了]、[はい]、[OK]の順にクリックします。

    これでInternet Explorerは、ツリーのサーバからの証明書を信頼することになります。