ポストインストール・タスク 95

この節には、SSL を使用可能にし、SSH を構成し、また Tivoli Data Warehouse、

ウェアハウス使用可能パックをインストールするときの情報があります。

この節には、以下の章があります。

v 97ページの『第 14 章 SSL によるセキュア・サーバー通信の確立』

v 107ページの『第 15 章 OpenSSH のインストールおよび構成』

v 109ページの『第 16 章 Tivoli Data Warehouse によるレポートの表示』

第 14 章 SSL によるセキュア・サーバー通信の確立

Secure Sockets Layer (SSL) 接続は、ディジタル証明書の存在に依存しています。デ

ィジタル証明書は、その所有者についての情報 (身元) を明らかにします。SSL 接 続の初期化において、クライアントがサーバーの身元を確認できるようにするた め、そのサーバーはクライアントに証明書を提示しなければなりません。

またクライアントも、サーバーがそのクライアントの身元を確認できるようにする ため、自身の証明書をサーバーに提示します。つまり SSL とは、コンポーネント間 で身元を伝搬するための手段です。

このソリューションは、SSL を使用可能にすることなく、WebSphere Application Server がインストールされていて Tivoli Directory Server で構成されていることを 前提としています。Tivoli Provisioning Manager、WebSphere Application

Server、Tivoli Directory Server、およびクライアントの間の通信は、SSL を使用して 保護することができます。

完全なソリューションは、WebSphere Application Server、Tivoli Provisioning Manager、および Tivoli Directory Server の間の SSL 構成に関係しています。この 構成を実現するには、以下のように 2 つの証明書が必要です。

v クライアントと WebSphere Application Server との間の SSL 通信に必要な証明書 v Tivoli Directory Server と Tivoli Provisioning Manager に必要な 2 番目の証明書

Global Security Kit (GSKit)

Tivoli Provisioning Manager における Secure Sockets Layer (SSL) 通信は、Web サ ーバーをホスティングするワークステーションに IBM Global Security Kit (GSKit) をインストールすることによって提供されます。このキットは、Web サーバーがア プリケーション・サーバーに接続するために役立ちます。インストールされている

GSKit のバージョンを調べるには、GSKit インストール・ディレクトリー・ツリー

にある gsk7ver コマンドを使用してください。この gsk7ver コマンドは、GSKit 共用ライブラリーすべてを呼び出し、ライブラリーごとにバージョン情報を表示し ます。デフォルト・ロケーションは /usr/local/ibm/gsk7/bin です。

詳しくは、「IBM Global Security Kit Secure Sockets Layer の入門および iKeyman ユーザーズ・ガイド」を参照してください。

鍵管理ユーティリティー (iKeyman)

WebSphere Application Server には、鍵および証明書を管理するためのグラフィカ ル・ツール、鍵管理ユーティリティー (iKeyman) が用意されています。iKeyman を 使用すると、以下の項目が可能になります。

v 新しい鍵データベースを作成 v 自己署名ディジタル証明書を作成

v 認証局 (CA) ルートを署名者の証明書として鍵データベースに追加

v ディジタル証明書を CA から要求および受信 鍵管理ユーティリティー (iKeyman) を起動するには:

1. install_root/bin ディレクトリーに移動します。

2. コマンド ikeyman.sh を実行し、iKeyman を起動してください。

3. 鍵管理ユーティリティーのグラフィカル・ユーザー・インターフェースが表示さ れます。

鍵ストアについて

鍵ストア・ファイルとは、公開鍵と秘密鍵の両方が入っている鍵データベース・フ ァイルです。公開鍵は署名者の証明書として保管されているのに対し、秘密鍵は個 人証明書として保管されています。鍵は、認証やデータ保全性など、さまざまな目 的に使用されます。SSL 構成には、4 つの鍵ストアと 2 つの自己署名証明書が必要 です。GSKit は、CMS、JKS、JCEKS、および PKCS12 など、さまざまなタイプの鍵ス トアを管理します。

自己署名証明書について

自己署名個人証明書とは、ユーザーが自身に対して発行する一時的なディジタル証 明書で、認証局 (CA) として機能します。自己署名証明書を作成すると、鍵データ ベース・ファイル内に秘密鍵と公開鍵が作成されます。自己署名証明書は鍵スト ア・ファイルに作成され、アプリケーションを開発およびテストするときに役立ち ます。SSL を介した LDAP を使用可能にするには、自己署名証明書、または CA

(認証局) によって署名された証明書のいずれかを使用することができます。

注意しなければならない重要な点は、完全な証明書署名トラスト・チェーンを確立 するために必要な証明書はすべて、WebSphere Application Server およびクライアン トに対して有効にしておかなければならないということです。自己署名証明書の場 合、証明書トラスト・チェーンは 1 つの自己署名 LDAP サーバー証明書でできて います。CA によって署名された証明書の場合は、署名 CA の身元および妥当性を 確認する証明書チェーンが組み込まれていなければなりません。購入した証明書、

または 自己生成 CA 署名証明書のいずれかを使用することができます。

鍵ストアおよび自己署名証明書の作成

この節では、鍵ストアおよび自己署名証明書の作成プロセスについて説明します。

Tivoli Directory Server 用の鍵ストアの作成

この節では、Tivoli Directory Server 用の鍵ストアを作成する方法について説明しま す。LDAP 鍵ストア LDAP_SSL.kdb には、自己署名証明書が入っています。

1. IBM ikeyman ツールを起動します。

2. 証明書を保管するための新しい鍵データベースを作成します。1 つの鍵データベ ースで複数の証明書を管理することができます。

3. ikeyman メニュー・バーで「鍵データベース・ファイル (Key Database

File)」->「新規」と選択します。

4. 以下の設定を適用し、終わったら「OK」をクリックしてください。

v 鍵データベース・ファイル: CMS v ファイル名: LDAP_SSL.kdb

v ロケーション: 例えば IDS_installdir/keys。IDS_installdir を Tivoli

Directory Server インストール・ディレクトリーで置き換えてください。

5. パスワード・プロンプト・ウィンドウで、適切なパスワードを入力します。パス ワードをより無作為にすることで、パスワードの機密性は高くなります。

6. 「パスワードをファイルに隠す (Stash the password to a file)」オプショ ン・チェック・ボックスを選択してください。これで、パスワードが暗号化デー タベース・パスワードとして stash ファイルに保管されます。

7. 「鍵データベース・ファイル (Key Database File)」-->「終了」とクリックし ます。

個人証明書を認証局から入手

自己署名証明書の代わりに、認証局 (例えば VeriSign^(R)) による証明書を使用したい 場合、CA に対して証明書を要求し、完了した後、それを受信しなければなりませ ん。自己署名証明書を使用する場合は、この節はスキップし、『Tivoli Directory

Server 用の自己署名証明書の作成および抽出』に進んでください。

証明書を要求および受信するには:

1. gsk4ikm を使用して CA に対して証明書を要求し、その新しい証明書を鍵デー

タベース・ファイルに受信します。

2. 鍵データベース・ファイルの「個人証明書要求 (Personal Certificate Requests)」セクションをクリックします。

3. 「新規」をクリックします。

4. 認証局に送信する要求を作成するための情報をすべて入力します。

5. 「OK」をクリックしてください。

6. CA が証明書を返してきたら、「個人証明書 (Personal Certificates)」セクショ ンをクリックし、さらに 「受信 (Receive)」をクリックすることによって、そ の証明書を鍵データベース・ファイルにインストールできます。

7. LDAP クライアントの証明書が鍵データベース・ファイルに入った後、そのクラ

イアント証明書を LDAP サーバーに追加できます。「署名者証明書を追加 (Adding a Signer Certificate)」に進んでください。

Tivoli Directory Server 用の自己署名証明書の作成および抽出

『個人証明書を認証局から入手』に記述されているように、既知の認証局から証明 書を入手した場合、この節をスキップし、102ページの『SSL を使用可能にする』

に進んでください。新しい自己署名証明書を作成し、それを鍵データベース・ファ イルに保管するには:

1. ikeyman メニュー・バーで「作成 (Create)」->「新規自己署名証明書 (New Self-Signed Certificate)」と選択し、自己署名証明書の新しい秘密鍵と公開鍵の ペアを作成します。

2. 以下の設定を適用し、終わったら「OK」をクリックしてください。

v 鍵ラベル: LDAPSSL v バージョン: X509 V3

v 鍵サイズ: 1024

v 共通名: host name。この値を完全修飾ホスト名 (例えば

myorg.mycompany.com) で置き換えてください。

v 組織 (オプション): あなたの会社名で置き換えます。

v 局所性 (オプション): (例えば RTP)

v 都道府県 (オプション): (例えば North Carolina) v 郵便番号 (オプション): (例えば NC 27709) v 国: (例えば US)

v 有効期間: 365

3. これで、LDAP サーバーの個人証明書の作成は完了です。この証明書は、鍵デー タベース・ファイルの「個人証明書 (Personal Certificates)」 セクションに表 示されます。鍵管理ツール (Key Management Tool) の中央のバーを使用し て、鍵データベース・ファイルに保管されている証明書のタイプを選択します。

この証明書は、鍵データベース・ファイルの「署名者証明書 (Signer

Certificates)」 セクションにも表示されます。鍵データベースの「署名者証明書

(Signer Certificates)」セクションを表示していれば、その新しい証明書が存在 することを確認してください。次に、LDAP サーバーの証明書を Binary DER data データ・ファイルに抽出する必要があります。

4. Tivoli Directory Server に送信される LDAP 認証要求を暗号化するときに WebSphere Application Server によって後で使用されるため、公開自己署名証明 書鍵を「証明書の抽出 (Extract Certificate)」で抽出します。

5. ikeyman ドロップダウン・メニューで「個人証明書 (Personal Certificates)」を 選択し、さらに LDAP SSL 証明書 ldapSSLCert.der を選択します。

6. LDAP SSL が選択されていることを確認して、「証明書の抽出 (Extract

Certificate)」 ボタンをクリックしてください。「証明書をファイルに抽出

(Extract a Certificate to a File)」というタイトルのウィンドウで、以下の値を 入力し、完了したら「OK」をクリックします。必要に応じて、適切な値を使用 してください。

v データ・タイプ: Binary DER data v 証明書ファイル名: LDAPSSLcert.der

v 抽出した証明書を保管したいロケーション (例えば IDS_installdir/keys) を 入力します。IDS_installdir を Tivoli Directory Server インストール・ディ レクトリーで置き換えてください。

v 完了したら、鍵データベースをクローズし、ikeyman を終了してください。

7. 「OK」をクリックしてください。

これで、SSL を使用可能にするよう LDAP サーバーを構成できます。102ページ の『SSL を使用できるよう Tivoli Directory Server を構成』に進んでください。

鍵ストアを WebSphere Application Server で作成し、クライア ントからの SSL アクセスを可能にする

WebSphere とクライアントとの間の SSL 通信用に鍵ストア Webspheressl.jks を 作成します。ここには、クライアント・ブラウザーとの外部 SSL 通信のための自己 署名証明書が入ります。