デスクトップ管理エージェントから行うMiddle Tier Serverに対する認証は、チャレンジ/レスポンス方式に基づいています。Middle Tier Serverが認証のためにエージェントにチャレンジするとき、Middle Tier ServerはX.509証明書を送信します。エージェントは証明書の完全性と信用性を検証し、パブリックキーとプライベートキー、およびセッションキー暗号化技術を使用して秘密が交換されます。
インストール時に、NetIdentity証明書がMiddle Tier Serverにインストールされます。NetWareでは、この証明書はサーバが属するツリーの認証局(CA)によって署名されます。Windows 2000では、この証明書は自己署名された擬似証明書です。これらの証明書は暗号化の面では有効ですが、信頼されるルート認証局によって署名されたものではないため、制御された環境以外では信頼すべきではありません。デフォルトでは、デスクトップ管理エージェントのインストールはこうした自己署名証明書を受け入れますが、これは設定可能なインストールパラメータです。制御されたネットワーク外部で展開するときには、信頼されるルート認証局によって署名された証明書を使用してMiddle Tier Serversを設定する必要があります。厳密な信用性チェックを実行するように設定することも必要です。
有効なSSL証明書(信頼されるルート認証局によって署名された証明書)がサーバ用にすでにある場合、NetIdentity認証処理でその証明書を使用できます。
サーバがNetWareサーバの場合は、SSL証明書のキーペア名を書き留めておきます(この名前は、ConsoleOneに表示される証明書オブジェクトの名前です)。Windows 2000サーバの場合は、証明書のフレンドリ名を書き留めておきます。
ブラウザでMiddle Tier ServerのNSAdminページ(http://ip-address/oneNet/nsadmin)を表示します。
[一般]設定ページで、[Certificate Name (証明書の名前)]の値をステップ 1の名前に設定します。
変更内容を送信します。
Middle Tier Serverを再起動します。
有効なSSL証明書がサーバ用にない場合、有効なX.509証明書(信頼されるルートCAによって署名された証明書)をサーバ用に設定する必要があります。
信頼されるルートCAによって署名された証明書を取得します。プラットフォームに合わせて、証明書の署名要求の生成およびMiddle Tier ServerでのルートCAのインストールで説明した手順に従います。
キーペア名またはフレンドリ名(プラットフォームによって異なります)が「NetIdentity」と異なる場合は、適切な名前を使用してMiddle Tier Serverを設定します。この手順のステップ 1からステップ 4を参照してください。
Middle Tier Serverを再起動します。
メモ:どちらの場合でも、証明書が信頼されるルートCAのリストに記載されていないCAによって署名されたものであるときには、CAの自己署名証明書を各ワークステーションにインポートする必要があります。詳細については、Windowsワークステーションへの証明書のインポートを参照してください。
信頼されるルートCAによって署名された証明書を使用してMiddle Tier Serverを設定したら、NetIdentity証明書の厳密な信用性検証を実行するようにデスクトップ管理エージェントを設定します。次のレジストリキーの設定を変更します。
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity "Strict Trust"= dword:0x00000001
デフォルトでは、Strict Trustの値は0 (ゼロ)です。値がない場合、または0x0 (ゼロ)に設定した場合は、すべての証明書を受け入れることができます。値を0x1に設定すると、信用性を完全に検証することができない証明書は拒否するようにデスクトップ管理エージェントが設定されます。