第9章 Java EE 7機能の認証とアクセス制御
第4部 SSLによる暗号化通信
20.4 Interstage Web サービスにおける環境設定
・ Interstage JMS
[システム] > [リソース] > [JMS] > [イベントチャネル] > [新規作成]タブ > [詳細設定[表示]] > [SSL通信]
注意
Interstage JMSでSSLを利用するには、CORBAサービスのSSL環境設定を行う必要があります。
・ Interstage ディレクトリサービス
環境設定の詳細は、「第22章 Interstage ディレクトリサービスでSSLを利用する方法」を参照してください。
・ イベントサービス
[システム] > [サービス] > [イベントサービス] > [イベントチャネル] > [新規作成]タブ > [詳細設定[表示]] > [SSL通信]
注意
イベントサービスでSSLを利用するには、CORBAサービスのSSL環境設定を行う必要があります。
参照
Interstage管理コンソールの起動については「運用ガイド(基本編)」の「Interstage管理コンソールによるInterstage運用」を、
Interstage管理コンソールの定義詳細についてはInterstage管理コンソールのヘルプを参照してください。
13.5.3 認証局の証明書のWebブラウザへの登録(Interstage HTTP Server でSSLを利用する場合のみ)
Interstage HTTP ServerでSSLを利用する場合、Systemwalker PKI Managerを使用した認証局に発行されたサイト証明書を
使用してWebブラウザとSSLを使用した通信を行うためには、サイト証明書を発行した認証局の証明書をWebブラウザに登録 する必要があります。登録方法を以下に示します。
Webサーバ(公開サーバ)を用いて登録
WebサーバのSSLを使用しない公開ページに認証局の証明書を公開し、初回だけWebブラウザに認証局の証明書を登録 してもらいます。
登録後、WebブラウザはSSLを使用したWebサーバのサービスを利用できるようになります。
運用開始後も、証明書や秘密鍵やCRLを管理する必要があります。
そのため、証明書の管理を行うための以下のコマンドを用意しています。
コマンド 説明
scsmakeenv Interstage証明書環境を構築・変更します。また、CSRやテスト用証明書を作成す
ることができます。
scsenter 証明書またはCRLをInterstage証明書環境に登録します。
scslistcrl Interstage証明書環境に登録されているCRLの概要を表示します。
scsdelete サイト証明書とそれに対応する秘密鍵、または認証局の証明書をInterstage証明
書環境から削除します。
注) 削除すると、それまでの運用ができなくなったり、復旧ができなくなることがあ ります。後述の「証明書を削除する場合」を参照し、十分注意して削除してください。
scsexppfx Interstage証明書環境からPKCS#12データで移出(取り出し)します。
scsimppfx Interstage証明書環境にPKCS#12データを移入(登録)します。
scslist Interstage証明書環境の登録状況を表示します。
以降に示すような場面に、コマンドが利用できます。
参照
各コマンドの書式、使用方法は、「リファレンスマニュアル(コマンド編)」を参照してください。
注意
登録した証明書を利用するには、Interstage管理コンソールでの設定変更や反映が必要です。
証明書を更新する(証明書の有効期限が切れる)場合
有効期限が切れると、運用や機能が停止してしまう場合があります。有効期限が切れる前に、事前に新しい証明書を入手し、
登録しておく必要があります。
新しい証明書を入手したら、使用する証明書を新しい証明書に切りかえるのが一般的な運用です。その際、今まで使用し ていた古い証明書は、削除せずにそのまま残しておいてください。
手順は、「13.2 環境の構築方法」を再度実行することになります。
注意
証明書を更新する際、scsmakeenvコマンドでCSRを作成しますが、古い証明書と同じニックネームを指定することはできま せん。
なお、認証局の運営方針(ポリシー)により、証明書の有効期間よりも早く、認証局証明書や中間CA証明書(中間認証局証 明書)が更新される場合があります。その場合には、各認証局のサイトを確認し、指示された手順に従って新しい認証局 証明書や中間CA証明書を入手してください。それらをscsenterコマンドで登録した後で、新しいサイト証明書を登録する ようにしてください。その際、新しい認証局証明書や中間CA証明書には、既に登録されている証明書と重ならない、任意の ニックネームが指定できます。
また、合同会社シマンテック・ウェブサイトセキュリティで発行された(デジサート・ジャパン合同会社に社名変更前に発行さ れた)セキュア・サーバIDは、2007年3月以降に仕様が変更され、中間CA証明書も提供されるようになりました。バージョン8.0 以前の本製品で作成したInterstage証明書環境を利用していて、サイト証明書を更新した場合には、中間CA証明書を登録 してから新しいサイト証明書を登録してください。本製品の本バージョンでは、「付録B Interstage組み込み証明書一覧」に記 載されている証明書を組み込んでいます。本製品に組み込まれている中間CA証明書は、Interstage証明書環境の構築時に scsmakeenvコマンドで-cオプションを指定すれば、認証局証明書と一緒にInterstage証明書環境に登録されます。
運用開始後に本製品が確認済みのパブリック認証局の発行する証明書を利用することになった場合 運用変更により、本製品が確認済みのパブリック認証局の発行する証明書も使用することになった場合、scsmakeenvコマ ンドで-cオプションを指定し、CSRを作成してください。
手順は、「13.2 環境の構築方法」を再度実行することになります。
新しい証明書やCRLを入手した場合
運用開始時よりも利用する証明書が増えた時など、新たに証明書を発行してもらった場合や、新しいCRLを入手した場合は、
scsenterコマンドでInterstage証明書環境に登録してください。
運用開始前にテスト用サイト証明書で動作確認する場合
運用開始前や証明書の発行依頼中に、テスト用サイト証明書でシステム構築し動作確認を行うことができます。
scsmakeenvコマンドでテスト用サイト証明書を作成できます。なお、この場合、テスト用サイト証明書はInterstage証明書環境
に自動的に登録されますので、scsenterコマンドで証明書を登録する必要はありません。
注意
テスト用サイト証明書を利用可能な機能は、以下のとおりです。
・ Interstage HTTP Serverでのサーバ認証
・ CORBAサービスで、クライアント・サーバが同一マシン上にある場合
なお、証明書はテスト用ですので、実際の運用では利用しないでください。
テスト用の証明書が誤って運用で利用されてしまうことを防ぐために、テストが終わったらテスト用証明書を削除することを推奨 します。テスト用証明書の認証局証明書も、同様に削除することを推奨します。
証明書を削除する場合
使用されなくなった証明書を削除することができます。
サイト証明書を削除すると、対応する秘密鍵も削除されます。秘密鍵がなくなると、二度とサイト証明書として登録できなく なります。また、認証局証明書を削除すると、その認証局の発行した認証局証明書やサイト証明書は使用できなくなります。
十分注意のうえ、scsdeleteコマンドで削除してください。
なお、有効期間が切れて使用されなくなった証明書をそのまま残しておいても問題はありません。
PKCS#12データでバックアップ/リストアする場合
サイト証明書とそれに対応する秘密鍵と、サイト証明書の検証に必要な認証局証明書を、PKCS#12データでバックアップ することができます。その場合、scsexppfxコマンドを使用します。作成されたPKCS#12データはパスワードで暗号化されて いるため、秘密鍵を安全に保管できます。
バックアップしたPKCS#12データをscsimppfxコマンドでリストアすることができます。また、scsimppfxコマンドで移行するこ ともできます。
ただし、PKCS#12データには、信頼する他のサイト証明書を含めることはできません。Interstage証明書環境全体のバック
アップをする場合には「運用ガイド(基本編)」を参照してください。
第 14 章 SMEE コマンドによる証明書 / 鍵管理環境の構築と 利用
SSL通信を行うために必要なものと、必要な設定について説明します。
本章では、SMEEコマンドによる証明書/鍵管理環境を利用する場合について説明します。
注意
証明書/鍵管理環境を利用するためには、以下の機能がインストールされている必要があります。
・ セキュア通信サービス
FJSVsme64、FJSVscl64パッケージ FJSVsmee、FJSVsclrパッケージ FJSVsmee64、FJSVsclr64パッケージ
証明書/鍵管理環境は以下のサービスそれぞれで構築し、利用することができます。
・ Interstage HTTP Server
・ Interstage HTTP Server 2.2
・ CORBAサービス
・ Servletサービス
・ Interstage JMS
注意
Interstage JMSでSSLを利用するには、CORBAサービスにおいて構築した環境を使用します。
・ イベントサービス
注意
イベントサービスでSSLを利用するには、CORBAサービスにおいて構築した環境を使用します。
・ Interstage ディレクトリサービス
注意
Interstage ディレクトリサービスを利用可能な製品については、「Interstage ディレクトリサービスでSSLを利用する方法」を 参照してください。
・ Interstage シングル・サインオン
注意
Interstage シングル・サインオンのリポジトリサーバ、および認証サーバでSSLを利用するには、Interstage HTTP Server
において構築した環境を使用します。
上記以外のサービスを利用する場合は、「第4部 SSLによる暗号化通信」を参照し、関連する章を参照してください。
・ CRL(証明書失効リスト)
CRLは認証局が発行し、その認証局が発行したが無効になった証明書の一覧が含まれています。証明書を無効にする (失効する)のは、秘密鍵が盗まれた場合や、利用資格がなくなった場合、などがあります。
SSL通信で利用する場合には、接続先のサイトやクライアントの証明書が無効になっていないかを確認する場合に参照 されます。
CRLは定期的に発行され、認証局の管理しているWebサーバやディレクトリサーバなどに公開されます。公開方法は、
認証局の運用によって異なるため、認証局に確認してください。なお、証明書の中に公開場所が記載されている場合も あります。
認証局からの配布や、バックアップなどの手段として、PKCS#12データが用いられることがあります。PKCS#12データには、
証明書とそれに対応する秘密鍵と、その証明書の検証に必要な証明書が含まれており、パスワード文字列で暗号化され ています。
証明書/鍵管理環境では、以下のPKCS#12データを移入する(登録する)ことができます。
・ Systemwalker PKI Managerで作成されたPKCS#12データ
・ Interstage証明書環境からscsexppfxコマンドで移出された(取り出された)PKCS#12データ
・ 証明書/鍵管理環境からcmmkpfxコマンドで移出されたPKCS#12データ
また、証明書/鍵管理環境から移出されたPKCS#12データは、以下の環境に移入することができます。
・ Interstage証明書環境(scsimppfxコマンドを利用)
・ 証明書/鍵管理環境(cmentpfxコマンドを利用)
認証局(証明書発行局)
証明書は、認証局(証明書発行局)が発行します。
認証局への証明書取得申請(CSR)に必要な情報やその申請方法、発行された証明書の取得方法、証明書に取り込まれる 情報は、認証局の運用に依存して異なります。そのため、運用開始前に、認証局が公開しているテスト用証明書などを利用し、
証明書/鍵管理環境に登録できるか確認しておくことを推奨します。
なお、本バージョンの証明書/鍵管理環境では、以下の条件を満たす証明書を扱うことができます。
・ X.509またはRFC3280に準拠
・ RSA暗号アルゴリズムを利用し、その鍵長が4096bit以下
・ ハッシュアルゴリズムには下記を利用
- MD5
- SHA-1
- SHA-256
- SHA-384
- SHA-512
参考
下記の証明書については、本製品で利用できることを確認済みです。
・ プライベート認証局(社内用など、利用範囲を限定した証明書発行サービス)
- Systemwalker PKI Managerの発行する証明書
(インターネット/イントラネットで証明書管理を実現する、当社のソフトウェア)