The root page ドキュメンテーション could not be found in space CDP JP.
Skip to end of metadata
Go to start of metadata

CDP サーバーは、既定のSSLを使用しています。SSL はデフォルトで、自己署名の証明書を使いながら動作します。この証明書は暗号化のみに使用することができますが、サーバーのアイデンティティを証明するものとして取扱うことはできません。

デフォルトの証明書は、名の知られた認証機関(Certification Authority(CA))のいずれかによって署名されていません。そこで、ユーザーはCDP サーバーのWeb インターフェイスのSSL バージョンを開こうとすると、通常、ブラウザウィンドウ(以下の図を参照)に警告の通知が表示されます。

自己署名の証明書を使用して作業し続けることを決めたならば、サイトにアクセスする前に証明書を「受け入れる」ために、にいくつかのステップを実行する必要があります。このような問題は通常、初めてサイトにアクセスするときに発生します。その後、自己署名の証明書は信頼性のあるものとしてマークされ、ブラウザーデータベースに格納されています。このシナリオは、テスト目的に使用されますし、あるいは会社の内部ネットワーク上でのCDP サーバーを実行することにも使用できます。

ただし、CDP SSL インタフェースを他社に提供しようとすれば、既知のCAによって署名された証明書を取得する必要があります。 CA の役割は、アクセスしようとするCDP サーバーは実際にその名前を持っているかどうか、このサーバーが実際に貴社に属しているかを確認することです。



CA 証明付きの証明書を生産で使用できるように取得する

生産用の証明書が信頼性のあるサードパーティの証明機関(CA)によって発行されます。多くのCA は、単にドメイン名を確認してから証明書を発行しますが、そのほかのCA (例えば、VeriSign など)は、ご職業、お使いのドメイン名の所有権、および証明書を申請する権限の有無を確認することにより、認証の高い標準を提供し続きます。

すべてのブラウザーでは、既存CAの定義済みのリストが付属されています。CA のサンプルリストについては、ここを参照してください。

CA署名付きの証明書には、貴社名とお使いのサーバー名とともに、サーバーのパブリックキーが含まれています。このパブリックキーは、サーバーに転送されているデータを暗号化するために、ブラウザーに使用されています。これはサーバー上でのプライベートキーです。サーバーはパブリックキーで暗号化されたデータを復号化するためにプライベートキーを使用します。未許可のアクセスを防止するために、プライベートキーをサーバー上で安全に保つ必要があります。プライベートキーとパブリックキーの両方は、証明書を生成するプロセスに参加します。

パブリックキーの暗号方式の詳細については、このwikipedia ページを参照してください。証明書および証明書を購入する方法について詳しくは、CAのウェブサイトを参照する必要があります。最もよく知られているCA の一部は、以下に書いてあります。


証明書リクエストを生成する

CA から証明書を発行してもらう前に、証明書のリクエストを生成し、CAに送信する必要があります。証明書リクエストの生成については、以下の手順を参考にしてください。

以下の例では、すべてのオペレーションがJava keytool (キーと証明書の管理ツール)によって実行されます。その管理ユーティリティ はCDP サーバーに付属していません。管理ユーティリティを取得するには、Java Development Kit(JDK)またはJava Runtime Environment(JRE)をダウンロードしてインストールする必要があります。これらのパッケージの両方はjava.sun.com ウェブサイトからダウンロードすることができます。


証明書を信頼ストアにインポートする

次の手順では、認証機関から購入したSSL証明書をインストールする方法について説明します。SSLベンダーは、さまざまな指令に従って作業しますので、証明書を適当にインストールするためにそれをベンダーにチェックしてもらう必要があります。次の例では、GoDaddyおよびVeriSignを使うようにします。

証明書を有効にするために、Java keytool、つまりキーと証明書の管理ユーティリティが必要です。 keytool は、キーと証明書を、いわゆるキーストア内に格納しています。

メモ
CDP2.0 では、Web インターフェイス中のHTTPS 構成ページにSSLとプライベートキーをペーストすることができます。しかし、この方法には、いくつかの制限があります。ひとつは、ルートCA証明付きの証明書のみが作用されています。

CDPでは、新しいメソッドを取り入れることで、連鎖およびワイルドカード証明書をインストールすることもできます。 Java を使用しているWeb インターフースのあるアプリケーションでは、keytool を使用することが非常に標準となっています。

Windows

1. Windows コマンドプロンプトを開始します。

スタート> すべてのプログラム> アクセサリ> コマンドプロンプトをクリックします。

その他には、スタート > 実行 > "cmd" (引用符なし)を入力して、[OK]をクリックします。

2. 証明書をキーストアに挿入するために、Java keytool の-import オプションを使います。

ウェブサイトの証明書はローカル .cer ファイルにあります。これで、Java keytool を使用して、それをキーストアにインポートすることができます。-import コマンドを使用します。

-import -alias -file -keystore

パスとオプション値は、特定のシステムに適しているものを代入します。例えば、 "keystore" と名づけられたキーストアを作成し、"jetty" エイリアス付きのエントリに証明書をインポートするには、次のコマンドを入力します。

"C:\Program Files\Java\jre6\bin\keytool" -import -alias jetty -file "C:\temp\file.cer" -keystore "C:\keystore"

その後、キーストア パスワードを入力することを求められます。パスワードは少なくとも6文字でなければなりません。

キーストアがまだ存在していないので、keytool はそれを作成します。このコマンド例は、file.cer ファイルに証明書をインポートし、jetty エイリアスで指定したキーストアエントリに格納します。

信頼証明書エントリを追加する場合、エイリアスはキーストア内に既に存在しているわけにはいけません。エイリアスが既に存在している場合、そのエイリアスの信頼証明書が存在しているため、keytool は証明書をインポートせずにエラーを出力します。また、エイリアスがキーストアに存在していない場合、keytool は指定されたエイリアスのある信頼証明書を作成し、それをインポートされた証明書と関連付けます。


キーストアのコンテントを表示するには、次のコマンドを使います。
keytool -list -v -keystore

3. CDP サーバーサービスを再起動します。

CDP 設定ユーティリティを使用して、CDP サーバーを再起動するには、以下の手順に従ってください。

スタート> すべてのプログラム > R1Soft CDP Agent > CDP Configuration Utility をクリックします。

設定ユーティリティ ウィンドウが表示されます。

[Services]メニューから[Restart CDP Server]オプションを選択します。

[OK]をクリックして、CDP サーバーを再起動する要求を確認します。

Linux

1. CDP サーバーのインストール場所であるLinux サーバーとの接続を行います。または、テキストLinux コンソールにログインします。

ルートとしてログインするか、あるいは su または sudo コマンド経由ログインしてからルート許可をもらう必要があります。

メモ
ホームディレクトリは/root に設定する必要があります。

2. CDP サーバーへのキーおよび証明書をアップロードします。

3. cd コマンドを使用して、キーが入っているディレクトリに移動します。

4. キーと証明書ファイルはPEM 書式からDER 書式へ変換するには、次のコマンドを実行します。

openssl pkcs8 -topk8 -nocrypt -in wildcard.r1soft.com.key -inform PEM -out wildcard.r1soft.com.key.der -outform DER

openssl x509 -in wildcard.r1soft.com.crt -inform PEM -out wildcard.r1soft.com.crt.der -outform DER

5. cd コマンドを使用して、keytool が入っているディレクトリに移動します。

cd /usr/sbin/r1soft/jre/bin

次に、以下のアプリケーションにアクセス権を定義します。弊社の製品に付属したkeytool は非実行なので、chmod 755 を適用する必要があります。

chmod 755 java

chmod 755 keytool

6. wget コマンドを使用して、ImportKey ユーティリティをダウンロードします。

wget http://community.igniterealtime.org/servlet/JiveServlet/download/196707-4718/importkey.zip

7. ImportKey.zip を解凍します。

unzip ImportKey.zip

8. 次のコマンドを実行します。それはImportKey ユーティリティを起動し、ホームディレクトリ(ルート)にキーストアファイル(デフォルト名のkeystore.ImportKey)を作成します。プライベートキーと証明書はそこに置かれます。

./java ImportKey /root/wildcard.r1soft.com.key.der /root/wildcard.r1soft.com.crt.der

メモ
キーストアのパスワードやキーパスワードをpassword に設定する必要があります。

9. 次のコマンドを実行すると、キーストアファイルのためのパスワードを設定できます。デフォルトのパスワードはimportkey です。パスワードの指定を求められたら、それを入力して、次に新しいパスワードを書き込みます。新しいパスワードは"password"に設定する必要があります。

./keytool -storepasswd -keystore /root/keystore.ImportKey

10. 次のコマンドを実行すると、キーストアのキーファイルのためのパスワードを設定できます。デフォルトのパスワードはimportkey です。パスワードの指定を求められたら、それを入力して、次に新しいパスワードを書き込みます。新しいパスワードは"password"に設定する必要があります。

./keytool -keypasswd -alias importkey -keystore /root/keystore.ImportKey

11. keystore.ImportKey ファイル(デフォルト名)の名前をkeystoreに変更します。

mv /root/keystore.ImportKey /root/keystore

12. 次のコマンドを実行して、認証機関 (CA) からの信頼証明書をダウンロードします。この例では、Go Daddy に接続します。

wget -no-check-certificate https://certificates.godaddy.com/repository/sf_issuing.crt 

13. 取得した信頼証明書をkeystore ファイルにインポートします。

./keytool -import -alias intermed -file /root/sf_issuing.crt -keystore /root/keystore -trustcacerts 

14.  R1Soft フォルダ内にほかのキーストアを使うのも自由です。そのバックアップコピーを用意するには、キーストアの名前を変更する必要があります(例えば、以下の例に示したように、名前を"keystore.old" に変更します)。

mv /usr/sbin/r1soft/conf/keystore /usr/sbin/r1soft/conf/keystore.old

15. R1Soft フォルダに新規のキーストアファイルをコピーします。

cp /root/keystore /usr/sbin/r1soft/conf/keystore 

16. CDP サーバーを再起動します。

/etc/init.d/cdp-server restart

keytool オプション

  • - alias:すべてのキーストアエントリへのアクセスは、ユニークなエイリアスを通して行っています。エイリアスは大文字・小文字は区別されます。-import コマンドを使用して、キーストアにエンティティを追加すると、エイリアスが指定されるようになります。 後続のkeytool コマンドは、エンティティに参照するために、同じエイリアスを使う必要があります。
  • - file:証明書ファイルへの絶対パスまたは相対パスを定義します。ファイル名のみを定義した場合、そのファイルがルートディレクトリに配置されていることを意味します。
  • - keystore:各keytool コマンドは、keytool により処理されたキーストアのキーストアファイルの名前と場所を指定するための -keystore オプションを持っています。まだ存在していなしキーストアにデータを追加する必要がある場合は、-import コマンドを使用すると、キーストアが作成されるようになります。-keystore オプションを指定していない場合、デフォルトのキーストアはホームディレクトリ内("user.home" システムプロパティの指定通り)にある .keystore と名づけられたファイルです。このファイルが存在していない場合は、作成されるようになります。

Windows のためのJava keytool について詳しくは、以下のリンクを参照してください。
http://java.sun.com/javase/6/docs/technotes/tools/windows/keytool.html

Linux のためのJava keytool について詳しくは、以下のリンクを参照してください。
http://download.oracle.com/javase/6/docs/technotes/tools/solaris/keytool.html


SSL 通信を対象にCDP を構成する

[Web サーバーオプションの設定]を参照してください。

Labels:
standard_edition standard_edition Delete
advanced_edition advanced_edition Delete
enterprise_edition enterprise_edition Delete
windows windows Delete
linux linux Delete
cdp_configuration_utility cdp_configuration_utility Delete
Enter labels to add to this page:
Please wait 
Looking for a label? Just start typing.