インストールガイド

(1)

PKI 相互運用性テストスイート

インストールガイド

Ver s i on 1. 0

2003 年 3 月

情報処理振興事業協会セキュリティセンター

(2)

１概要...1

１_.１_. 対応プラットフォーム...1

１_.２_. 要求されるハードウェア構成...1

２サーバー側の外部ソフトウェアのインストール...2

２_.１_. RedHat Linux ^{のインストール}...2

２_.２_. _RedHatのバーチャル_IPの設定...2

２_.３_. _RPMのインストール...4

２_.４_. _OpenLDAPサーバーのインストール...4

２_.５_. _PostgreSQLのインストール...^エラー! ブックマークが定義されていません。２_.６_. _AiCryptoのインストール...5

２_.７_. _Dumpasn1コマンドのインストール...5

３サーバー側環境設定...5

３_.１_. _PostgreSQLの設定...6

３_.２_. _rshdの設定...7

３_.３_. 環境変数の設定...7

４クライアント側の外部ソフトウェアのインストール...8

４_.１_. _Cygwinと_Cygwinパッケージのインストール...8

４_.２_. _Perlモジュールのインストール...9

５クライアント側環境設定...10

５_.１_. _HOSTSファイルの設定...10

５_.２_. 環境変数の設定...10

６サーバーでのテストスイートのインストール...12

７サーバーにおけるテストスイートの環境設定...14

７_.１_. _OpenLDAPの設定...14

７_.２_. _OCSPレスポンダシミュレータ・_GCVSシミュレータの設定...15

８トラブルシューティング...18

８_.１_. サーバー側での動作確認...18

８_.１_.１_{. LDAP}の動作確認... 18

８_.１_.２. PostgreSQL^{の動作確認}... 19

８_.２_. クライアント側での動作確認...20

８_.２_.１. rsh ... 20

８_.２_.２. PostgreSQL... 20

８_.２_.３_{. DB}ユーティリティーの動作確認... 20

(3)

１概要

本書では_PKI相互運用テストスイートのインストール方法について説明する。

• •

１.１. 対応プラットフォーム

対象となるプラットフォームは以下の通りである。 Linux

Win32^（Cygwin^{環境で動作する）}

１.２. 要求されるハードウェア構成

要求されるハードウェアは以下の通り。ネットワークはインターネットに接続できる必要は無く、どちらも、バーチャル_IPの付与を除き一般的な構成である。

サーバー側

Linux^マシン× ^１^(RedHat7.3^{が動作する環境を推奨}⁾ ネットワークインタフェース_(NIC)× １

クライアント側

Win32^マシン× ^１(Windows 2000,XP^{が動作する環境を推奨}) ネットワークインタフェース_(NIC)× １

※_LAN内の固定_IPアドレスが４つ必要である。

クライアント機ウェブブラウザで各種ユーティリティー

参照

テスト対象プログラム for J ava for MS C ryptoA P I

テスト実行スクリプト

L DA P 模擬統合サーバー

L DA P 模擬A s ign2

サーバー

L DA P 模擬G- ID サーバー

NIC NIC

V irtual IP 2

V irtual IP 3 HOS T IP 1

Webサーバ

各種ユーティリティ

OC S P ・ＧＣＶＳシミュレータ

テストデータベース

凡例： IP 割り当て・接続関係参照関係

サーバー機

オリジナルテストケース用

サーバー

V irtual IP 4

(4)

２サーバー側の外部ソフトウェアのインストール

PKI相互運用テストスイートを稼動させるには幾つかのサーバー側、およびクライアント側において幾つかのフリーソフトウェア₍パブリックドメインソフトウェア₎のインストールが必要となる。本章では、サーバー側にインストールが必要な外部ソフトウェアを列挙し、インストール方法について簡単に説明する。

サーバーで必要となるソフトウェアは以下の通りである。 RedHat Linux 7.3

PostgreSQL 7

Apache Web Server 2.x Perl 5

OpenLDAP Server AiCrypto Library rsh

gcc

dumpasn1

２.１. R edHat L inux のインストール

RedHat Linux 7.3 をインストールする。インストールの際にインストールすべきパッケージの大分類が選択できるが、「開発パッケージ」は必須、可能ならば

「_GONE、_KDE」のパッケージをインストールすることを推奨する。ファイヤーウォールの設定に自信がなければ、ファイヤーウォール_(ipchains)をインストールしないことを推奨する。

テストスイートでは、サーバー用には、_DHCPを使わずに、固定_IP アドレスを４つ必要とし、そのうちの一つを_RedHatのインストール時に設定する。

２.２. R edHat のバーチャル IP の設定

PKI テストスイートでは、以下の４つの _LDAP サーバーをエミュレートするために、１つのサーバー機に対し、最低でも４つの固定_IPアドレスが必要となる。

・ _GPKI統合リポジトリ

・日本認証サービス_A-Sign2リポジトリ

・セコムトラストネット・パスポート_{for G-ID}リポジトリ

・オリジナルテストケース用リポジトリ

なお、バーチャル _IP 機能を利用すれば、１つのネットワークインタフェース (NIC)^{に対して複数の}IPアドレスを割り当てることが可能である。

さらにテストスイートでは、以下の２つのシミュレータの動作のために、２つの IPアドレスを必要とする。

・ _OCSPレスポンダシミュレータ

・ _GPKI証明書検証サーバシミュレータ_(GCVS)

インストールガイド

(5)

この２つの_IPアドレスは、前述の、_LDAP用に割り当てる４つの_IPアドレスと同じものであっても良い。

例として、本書ではサーバーホスト名をmmm1とし、１つの_NICに対して、以下の４つの_IPアドレスを使うものとする。(192.168.40.101は_RedHatのインストール時に固定_IPとして指定したアドレスとする。₎

IP^アドレス ^用途

192.168.40.101 ^{テストサーバー、模擬}GPKI^{統合リポジトリ}

192.168.40.102 ^模擬A-Sign2^{リポジトリ、}OCSPレスポンダシミュレータ 192.168.40.103 ^模擬G-ID^{リポジトリ、}GCVS^{シミュレータ}

192.168.40.104 オリジナルテストケース用リポジトリ

/etc/hosts ファイルを以下の通りに記述する。 127.0.0.1 mmm1 localhost

192.168.40.101 mmm1 ldap1 dmz-dir.gpki.go.jp

192.168.40.102 ldap2 iso389.jcsinc.go.jp crca.moj.go.jp ocsp 192.168.40.103 ldap3 repository.secomtrust.net cvs

192.168.40.104 ldap4

この例において、_IP アドレス 192.168.40.102^、192.168.40.103^{、及び} 192.168.40.104^{はバーチャル}IPアドレスである。そのための設定として、

/etc/sysconfig/network-scripts/ifcfg-eth0:1 /etc/sysconfig/network-scripts/ifcfg-eth0:2 /etc/sysconfig/network-scripts/ifcfg-eth0:3

の３つのファイルを作成する。

/etc/sysconfig/network-scripts/ifcfg-eth0:1 DEVICE=eth0:1

BOOTPROTO=static

IPADDR='192.168.40.102' NETMASK=255.255.255.0 ONBOOT=yes

BOOTPROTO=static

(6)

サーバー機を再起動して、ホスト名mmm1、ldap1、ldap2、ldap3およびldap4 に対して_pingが通るか等を確認する。

２.３. R P M のインストール

PKI相互運用テストスイートで必要となる_RedHatのパッケージ_(RPM)は以下の通りである。₍バージョンは以下のもの以降なら構わない₎

apache-1.3.23-11

apache-devel-1.3.23-11 apache-manual-1.3.23-11 apacheconf-0.8.2-2

db3-3.3.11-6

Distutils-1.0.2-2 gcc-2.96-113

perl-5.6.1-34.99.6 perl-DBD-Pg-1.01-8 perl-DBI-1.21-1 postgresql-7.2.1-5

postgresql-libs-7.2.1-5 rsh-0.17-5

rsh-server-0.17-5 xinetd-2.3.4-0.8

コマンド入力 $ rpm –qa | sort により現在インストールされているパッケージの一覧を参照することができるので、不足しているパッケージがあれば、_RPM 配布サイトよりダウンロードし、以下のコマンド入力によりインストールを行う。

$ rpm –ivh [RPM^{パッケージ}]

２.４. OpenL DAP サーバーのインストール

OpenLDAPについては、ソースからのビルドが必要となる。_RPM版では標準オプションでコンパイルされており、--enebale-referrals ^{のオプションがつい} ていないために、_{LDAP v2}の問い合わせに対してもリフェラルの応答を返す GPKIのテスト環境を再現できないためである。

まず、_OpenLDAP の公式サイトより最新版のソースを取得する。動作確認したバージョンは_2.1.15リリース版である。

http://www.openldap.org/software/download/

次に以下のコマンドを順に入力し、インストールを行う。

$ tar xvfz openldap-2.1.15.tgz

$ cd openldap-2.1.12/

$ ./configure --enable-referrals --enable-ldbm --disable-bdb

$ make depend

$ make

$ su

# make install インストールガイド

(7)

２.５. AiC rypto のインストール

PKIテストスイートでは鍵ペアや証明書等のデータの生成のために、名古屋工業大学岩田研究室で開発されたライブラリ_AiCrypto を使用する。以下のサイトよりダウンロードし、インストールガイドに従ってインストールする。

http://mars.elcom.nitech.ac.jp/security/download.html

※ 動作確認を行ったアーカイブはaicrypto21.tar.gz^である。

デフォルトでインストールされるディレクトリは /usr/local/aica^である。２.６. Dumpasn1 コマンドのインストール

Dumpasn1^は、Peter Gutmann氏が作成したソフトウェアである。_ASN.1オブジェクトのダンプや、構文チェックを行うことが出来る。ソースコードやバイナリは以下のサイトから入手できる。

http://www.cs.auckland.ac.nz/~pgut001/

dumpasn1.c ^及び、dumpasn1.cfg をダウンロードし、以下の手順でコンパイルする。

$ gcc -o dumpasn1 dumpasn1.c

最後に、生成されたバイナリファイル _dumpasn1 と、dumpasn1.cfg ^{の両方を、} /usr/local/binにコピーする。サーバー側環境設定

(8)

２.７. P ostgreS QL の設定

1. ^{共通の環境変数の設定}

/etc/profile.d/postgres.shに共通の環境変数設定ファイルを置いておくと、個人で環境変数の設定をする必要がない。以下は設定ファイルの例である。

export PGLIB=/usr/lib/pgsql

export PGDATA=/var/lib/pgsql/data

export LD_LIBRARY_PATH="$LD_LIBRARY_PATH":"$PGLIB" 2. データベースの初期化と利用ユーザの作成

PostgreSQLを起動する前にデータベースの初期化を行う。

# su - postgres

$ initdb -D $PGDATA

3. 認証設定ファイルの編集

認証設定ファイル$PGDATA/pg_hba.conf を編集し、以下の記述を行う。 IP-ADDRESS^とIP-MASKについては、実際にサーバ・クライアントマシンが所属するネットワークセグメントに応じて適宜変更する。

# TYPE DATABASE USER IP-ADDRESS IP-MASK METHOD

local all all trust

host all all 127.0.0.1 255.255.255.0 trust

host all all 192.168.1.0 255.255.255.0 trust

4. PostgreSQL^の起動

以下のコマンドを入力することで、Pos t gr eSQL を起動できる。また、テストスイートの利用ユーザ（以下の例では、username）、apache 及び root のアカウントを、 PostgreSQLの利用ユーザとして登録する。

$ su

# /etc/rc.d/init.d/postgresql start

# /sbin/chkconfig --add postgres

# su - postgres

$ createuser username

Shall the new user be allowed to create databases? (y/n) y Shall the new user be allowed to create more new users? (y/n) y CREATE USER

# createuser apache

Shall the new user be allowed to create databases? (y/n) n Shall the new user be allowed to create more new users? (y/n) n CREATE USER

# createuser root

Shall the new user be allowed to create databases? (y/n) y Shall the new user be allowed to create more new users? (y/n) n CREATE USER

(9)

２.８. rshd の設定

/etc/xinetd.d/{rsh,rexec}^の2つのファイルにおいて、「disable = yes^」^{と設定され} ている場合は、「disable = no」に修正する。さらに、_xinetdを再起動する。

$ su

# /etc/init.d/xinetd restart

サーバマシンの起動時に自動的に _xinetd を起動するようにしたければ、以下のコマンドを実行する。

# /sbin/chkconfig –-level=35 xinetd on

テストを行うクライアントマシンから_rshコマンドが使えるように、テストを行うユーザ（以下の例ではusername）の$HOME/.rhostsファイルにクライアントマシン（以下の例では_mmm2）及びサーバマシン（_mmm1）の_IPアドレスかホスト名をそれぞれ改行区切りで登録し、ファイルパーミッションを設定する。

$ cd ~

$ vi .rhosts mmm1

mmm2

$ chmod 400 .rhosts

最後に、クライアントマシンからrshコマンドによってサーバマシンを利用できることを確認する。

２.９. 環境変数の設定

サーバ側でのテストスイートの実行にあたっては、以下に示す環境変数を設定する必要がある。これらの環境変数設定を、例えば利用者のホームディレクトリにある_.bashrcなどに書いておくことを推奨する。以下は、_.bashrcファイルで環境変数を設定する例である（_{my_name}はテスト実行ユーザのアカウント）。

export PKITESTROOT=/home/my_name/pki14y export PKITESTDB=jnsaipa0833

サーバ側で用いる環境変数の一覧

環境変数名説明

PKITESTROOT テスト環境のルートディレクトリ（必須）

/home/my_name/pki14yなどに設定

PKITESTDB テストケースの納められたデータベース名（必須）

デフォルトでは、jnsaipa0833^{という名前になる}

PKITESTDB_USER データベースに接続する際のユーザ名（必須ではない。デフォ

ルトは_NULL）

PKITESTDB_PASSWD データベースに接続する際のパスワード（必須ではない。デフ

ォルトは_NULL）

(10)

３クライアント側の外部ソフトウェアのインストール

Windowsクライアントマシンでは、_Unix環境をエミュレートする_Cygwinというソフトウェアを利用する。クライアント側で必要となる外部ソフトウェアは以下の通りである。

cygwin

default setup packages (bash, cp, mv, …^{等、基本コマンド}⁾ inetutils (rsh)

perl5 gcc

テスト用にあると便利なパッケージ openssh(client)

openssl(client) PostgreSQL(client) Perl^{モジュール}

DBI DBD::Pg

注：ActivePerl での動作は確認していないため、推奨しない。３.１. C ygwin とC ygwin パッケージのインストール

Cygwinと必要なパッケージのインストール手順を述べる。 i. Cygwin^は米RedHatのサイトにおいて配布されている。

以下の_URLを開き、「Install now!」の画像をクリックし、_setup.exeをダウンロードする。

http://sources.redhat.com/cygwin/

ii. ^{ダウンロードした}setup.exeを実行すると、ダイアログが現れるので、「次へ」をクリックする。

iii. ^「Choose A Download Source^」のダイアログが現れたら、適宜ダウンロード元を選択し₍「Install from Internet^」を推奨)^、「次へ」をクリックする。

iv. ^「Select Root Install Directory^」^{のダイアログでは、}^「Root Directory^」^でインストール先ディレクトリを入力し、「Install For^」^でCygwin^{を利用可能なユー} ザを選び₍「_{All Users}」を推奨₎、「Default Text File Type^{」でファイルの改行} 形式を選択する。₍「_Unix」を推奨₎「次へ」をクリックする。

v. ^「Select Local Package Directory」ダイアログで、ダウンロードしたファイルの置き場所を指定する。そして、「次へ」をクリックする。

vi. インターネットからのダウンロードを指定した場合、プロキシなど接続方法を指定する。そして、「次へ」をクリックする。

vii. ^「Choose Download Site^」^では、パッケージをダウンロードする元を指定する。インストールガイド

(11)

サイトによっては、全てのパッケージがそろわない場合もあるので、インストールできなかった残りのパッケージのインストール作業を何回か繰り返すことになるかもしれない。日本からは、比較的高速でモジュールも揃っている ring.asahi-net.or.jp^、ring.aist-net.or..jp^{などを推奨する。}

viii. ^「Select Packages^」^で、先に列挙した必要なパッケージをインストールするよう選択していることを確認する。リスト表示は「_View」ボタンを何回かクリックすることによりアルファベット順表示にしたほうが探しやすい。_Newのカラムで「_Skip」となっているとそれはインストールされないので、そこをクリックしバージョン番号が表示されるようにする。選び終えたら「次へ」をクリックすると、インターネットに接続し必要なパッケージをダウンロードし、インストールが始まる。

ix. ショートカットやメニューなど登録するか最後に尋ねるので、必要ならチェックすれば、セットアップは終了である。

３.２. P erl モジュールのインストール

データベース関連の _Perl のモジュールは、ソースからビルドしてインストールする必要がある。必要なモジュールは。

DBI DBD-Pg

の₂つである。以下にインストール手順を述べる。

i. CPAN^{サイトの以下の}URL^を開き、^「DBI」と入力し、検索する。 http://search.cpan.org/

ii. 検索結果のバージョン番号のついたリンク₍例：「_DBI-1.32」₎をクリックし、 [Download]のリンクをクリックしアーカイブをダウンロードする。₍例： DBI-1.32.tar.gz)

iii. ^同様に「DBD-Pg^{」と入力して検索し、}^「DBD-Pg」をダウンロードする。₍例： DBD-Pg-1.21.tar.gz)

iv. DBDのアーカイブを解凍し、そのディレクトリに移動する。 C:¥> bash

bash% tar xvfz DBI-1.32.tar.gz bash% cd DBI-1.32

v. コンパイル、テスト、及びインストールを行う。 bash% perl Makefile.PL

bash% make

bash% make test bash% make install

vi. DBD-Pg DBD

(12)

４クライアント側環境設定

４.１. HOS T S ファイルの設定

ホスト名の_IPアドレスの設定ファイル_HOSTSに以下の通りに設定する。 (^{例として、２}.^２節ホスト側の設定例に対応した値となっている。クライアントのホスト名を_mmm2と仮定する。₎

127.0.0.1 mmm2 localhost

192.168.40.101 mmm1 ldap1 dmz-dir.gpki.go.jp

192.168.40.102 ldap2 iso389.jcsinc.go.jp crca.moj.go.jp ocsp 192.168.40.103 ldap3 repository.secomtrust.net cvs

192.168.40.104 ldap4

※ 参考：

HOSTS^{ファイルは、}Windows 2000^では、 C:¥ WINNT¥ system32¥ drivers¥ etc Windows XP ^では

C:¥ WINDOWS¥ system32¥ drivers¥ etc に置かれている。

４.２. 環境変数の設定

クライアント側で設定する環境変数を以下に示す。サーバと同様、これらの環境変数設定を、例えば/etc/profile.d/gpki.sh や、利用者のホームディレクトリにある_.bashrcなどに書いておくことを推奨する。

クライアント側で用いる環境変数

環境変数名説明

PKITESTROOT テスト環境のルートディレクトリ（テスト結果ローダを起動する

場合のみ必須）※

サーバとクライアントが同一のマシンの場合、サーバの PKITESTROOTと同じディレクトリとなる。

PKITESTPROGRAM テスト対象プログラムのパス（必須）※

実行するテスト対象プログラムによって異なる。

PKITESTDATA データディレクトリのパス（必須ではないが、設定しておく

ことを推奨）※

PKITESTRESULT _Resultディレクトリのパス（必須ではないが、設定しておくこ

とを推奨）

PKIRHOST サーバマシンのホスト名（オンラインモードでの実行時必須）

PKIREMOTEROOT サーバマシンにおけるPKITESTROOT^{（オンラインモードで}

の実行時必須）

RSH rshコマンドのパス（デフォルトは/usr/bin/rsh^）

※ _cygwin を利用してテストを実行する場合、 PKITESTROOT ^、 PKITESTPROGRAM^及びPKITESTDATA^のパスはWindows^の形式^（ドライブレター_:/ディレクトリ_/.../ファイル名）で指定する必要がある。

(13)

以下は、クライアントが_Linuxマシンであるときに、_.bashrcファイルを用いて環境変数を設定する例である（_{my_name}はテスト実行ユーザのアカウント）。

export PKITESTROOT=/home/my_name/pki14y

export PKITESTPROGRAM=/usr/local/ChallengePKI2002/gpkiverify export PKITESTDATA=$PKITESTROOT/Data

export PKITESTRESULT=$PKITESTROOT/Result export PKIRHOST=mmm1

export PKIREMOTEROOT=/home/my_name/pki14y export RSH=/usr/bin/rsh

以下は、クライアントが_Windowsマシンであるときに、_Cygwinの_.bashrcを用いて環境変数を設定する例である（_{my_name}はテスト実行ユーザのアカウント）。

export PKITESTROOT=c:/cygwin/home/my_name/pki14y export PKITESTPROGRAM=$HOME/pkiic/pkiicver.exe export PKITESTDATA=$PKITESTROOT/Data

クライアントマシンとサーバマシンが同一のマシンである場合は、３．３節で示したサーバマシン用の環境変数と、本節で示したクライアントマシン用の環境変数の両方を設定する必要がある。以下はその例である（_{my_name} はテスト実行ユーザのアカウント）。

# server settings

export PKITESTROOT=/home/my_name/pki14y export PKITESTDB=jnsaipa0833

# client settings

export PKITESTPROGRAM=/usr/local/ChallengePKI2002/gpkiverify export PKITESTDATA=$PKITESTROOT/Data

(14)

５サーバーでのテストスイートのインストール

PKIテストスイートのアーカイブを取得し、ルート権限で以下の手順でインストールする。₍最新のアーカイブは pki14y-1.0.0.tar.gz^{であるとする。})

i. アーカイブの解凍を行う。

$ mv pki14y-1.0.0.tar.gz /tmp

$ cd /tmp

$ tar xvfz pki14y-1.0.0.tar.gz

$ cd pki14y-1.0.0

ii. configure^{スクリプトの実行}

マシンの環境やインストール先を指定するために、以下に説明するオプションを指定して_configureスクリプトを実行する。_--help オプションでも簡単な全オプションの説明が表示される。

--prefix=テストスイートのインストール先

/usr/local/pki14y ^{を推奨。デフォルトは}/usr/local/pki14y --enable-setwwwdoc=Apacheのドキュメントルート

Apache Web Server のドキュメントルートディレクトリを指定する。通常は/var/www/htdocs ^{あるいは}/var/www/html など。デフォルトは /var/www/htdocs あるいは /var/www/html の存在する方。

--enable-setwwwcgi=Apache^のCGI^{ディレクトリ} Apache Web ServerのCGIディレクトリを指定する。

通常は/var/www/cgi-bin^{。デフォルトは} /var/www/cgi-bin ^{が存在すれ} ば、そのディレクトリ名。

--enable-setaica=AiCrpytoのインストールされたディレクトリ AiCryptoライブラリのインストールされているディレクトリを指定する。通常は/usr/local/aica。デフォルトは /usr/local/aica

--enable-testdb

テストケースのデータベースのインストール先データベース名。デフォルトは jnsaipa0833

--enable-distdb

開発者向け：配布用データベースダンプの取得元データベース名。デフォルトはjnsaipa0833

通常のパッケージを使っている場合、オプション無しで configure ^{スクリプトを} 実行すればよい。

$ ./configure

インストール環境によっては、以下のようにオプションを指定することもできる。

$ ./configure ¥

--prefix=/usr/local/pki14y ¥

--enable-setwwwdoc=/usr/local/apache/htdocs ¥ --enable-setwwwcgi=/usr/local/apache/cgi-bin ¥ --enable-setaica=/usr/share/aica

(15)

iii. ^{ツールのコンパイル}

証明書や鍵生成のためのコマンドのコンパイルを行う。

$ make

iv. ファイルのインストール

全てのファイルをインストールするために、以下のコマンドを実行する。

$ su

# make install

以上で、テストスイートのインストールは完了となる。最後に、テストを実行するユーザのホームディレクトリへ、/usr/local/pki14y以下に存在するテストスイートをコピーする。作業はテストを実行するユーザの権限で行う。以下では、 my_nameという名前のユーザがテストを実行するものとする。

$ cd

$ cp -r /usr/local/pki14y ./pki14y

この場合、/home/my_name/pki14y が、３．３節で示したサーバの環境変数 PKITESTROOT及び、５．２節で示したクライアントの環境変数PKIREMOTEROOT で示すべきディレクトリとなる。

テスト実行ユーザは複数であってもかまわない。その場合、それぞれの実行ユーザの権限で、ホームディレクトリ内にテストスイートを用意する必要がある。

(16)

６サーバーにおけるテストスイートの環境設定設定はルート権限でおこなう。

６.１. OpenL DAP の設定

デフォルトインストールの場合、次のディレクトリ以下に、テストスイートを実行するために必要な_OpenLDAPの設定ファイルが納められている。

/usr/local/pki14y/sample.config/usr/local/etc/openldap

以下は、_openldapの各種設定ファイル・ディレクトリである。

slapd1.conf GPKI統合リポジトリ設定ファイル

slapd2.conf 日本認証サービス_A-Sign2リポジトリ設定ファイル

slapd3.conf パスポート_{for G-ID}リポジトリ設定ファイル

slapd4.conf オリジナルテストケース用リポジトリ設定ファイル

schema/ スキーマファイルが納められたディレクトリ

これらのファイル・ディレクトリは、/usr/local/etc/openldap以下にコピーする。

# cp –r /usr/local/pki14y/sample.config/usr/local/etc/openldap/* ¥ /usr/local/etc/openldap

# chmod 640 /usr/local/etc/openldap/slapd?.conf

# chmod 444 /usr/local/etc/openldap/schema/*

次に、４つのリポジトリのための作業ディレクトリを作成する。これらのディレクトリの所有者は、_ldapとしておく（アカウントが存在しない場合は作成）。

# mkdir /var/lib/ldap1 /var/lib/ldap2 /var/lib/ldap3 /var/lib/ldap4

# mkdir /var/run/openldap

# chown ldap:ldap /var/lib/ldap?

# chown ldap:ldap /var/run/openldap

# chmod 755 /var/run/openldap

最後に、_ldapの起動管理スクリプトを準備する。起動管理スクリプトは、デフォルトでは次の場所に用意されている。

/usr/local/pki14y/sample.config/etc/init.d/ldap

このファイルを、/etc/rc.d/init.dにコピーし、動作確認をする。

# cp /usr/local/pki14y/sample.config/etc/init.d/ldap /etc/rc.d/init.d

# chmod 755 /etc/rc.d/init.d/ldap

# /etc/rc.d/init.d/ldap status slapd^{は停止しています}

/etc/rc.d/init.d/ldap start

slapdを起動中: [ OK ]

マシンを再起動した際も_ldapサーバが起動するように、chkconfigコマンドを実行しておくことを推奨する。

# /sbin/chkconfig --add ldap

(17)

６.２. OC S P レスポンダシミュレータ・GC V S シミュレータの設定

OCSPレスポンダシミュレータ及び_GCVSシミュレータ（_GPKI証明書検証サーバシミュレータ）は、どちらも_CGIプログラムである。これらは、_apacheのバーチャルホスト機能を使って、特定のポートへのアクセスを受け付けるように設定する必要がある。従ってこれらのプログラムを設定するためには、_apache の設定ファイルである_httpd.confを編集する必要がある。

デフォルトインストールがされていれば、サンプルとして、以下の場所に httpd.confファイルが置かれている。

/usr/local/pki14y/sample.config/etc/httpd/conf/httpd.conf

このファイルを、以下の要領で編集し、/etc/httpd/conf/httpd.confと置き換えることで、_OCSP レスポンダシミュレータ及び _GCVS シミュレータを動作させることができる。

i ServerName^の設定

サンプルファイル₄₅₀行目にある ServerNameの設定を、実際のサーバ名に書き換える。

ServerName mmm1

ii. Listenアドレス・ポートの設定

httpd.conf ^{のサンプルファイル} 180 行目に、以下の記述がある。ここに書かれている IP アドレスは、本書で仮定したアドレスである。従って

「192.168.40.103」を、サーバに割り当てた実際の_IPアドレスに書き換える必要がある。なお、ポート番号（コロン「_:」以降の番号）は、変更する必要がない。

Listen 192.168.40.103:2401 Listen 192.168.40.103:2402 Listen 192.168.40.103:2403 Listen 192.168.40.103:2404 Listen 192.168.40.103:2405 Listen 192.168.40.103:2406 Listen 192.168.40.103:2407 Listen 192.168.40.103:2408 Listen 192.168.40.103:2409

iii cgi-bin^の設定

デフォルト以外の設定でインストールを行った場合は、_cgi-bin ディレクトリの位置（デフォルトでは/var/www/cgi-bin）を、適切な値に書き換える。デフォルトインストールであれば、この作業は必要ない。

iv. VirtualHost^の設定

サンプルファイル₁₂₃₂行目に、次の記述がある。ここで書かれている_IPアドレ

(18)

スを、サーバに実際に割り当てた実際の _IP アドレスに書き換える。ポート番号の変更は不要である。

<VirtualHost 192.168.40.102:80> ServerAdmin root@localhost

DocumentRoot /var/www/cgi-bin/ocsp ServerName ocsp

<Directory /var/www/cgi-bin/ocsp> AddHandler cgi-script .cgi .confirm Options Indexes FollowSymLinks ExecCGI

</Directory>

</VirtualHost>

DocumentRoot /var/www/cgi-bin/cvs ServerName cvs

<Directory /var/www/cgi-bin/cvs> AddHandler cgi-script .cgi

Options Indexes FollowSymLinks ExecCGI

</Directory>

</VirtualHost>

</Directory>

</VirtualHost>

...^{（途中略）}...

</Directory>

</VirtualHost> v. ^{ファイルのコピー}

既にあるhttpd.confのバックアップをとり、新しいファイルをコピーする。

# mv /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.orig

# cp /usr/local/pki14y/sample.config/etc/httpd/conf/httpd.conf ¥ /etc/httpd/conf/httpd.conf

以上で、_OCSPレスポンダシミュレータ及び_GCVSシミュレータを動作させるための、_apacheの設定が完了する。

(19)

次に、以下のコマンドを実行し_apacheを再起動する。

# /etc/rc.d/init.d/httpd restart

最後に、以下の_URLを参照し、_OCSPレスポンダシミュレータ_CGI及び_GCVS シミュレータ_CGIが動作していることを確認する。ただし_URLに書かれた_IP アドレスは、実際にサーバに割り当てられたアドレスを記述する。

(1) ^{ブラウザで「}http://192.168.40.102/^{」を表示する。}

「Welcome to OCSP responder simulator」と表示されれば、OCSP^レスポンダシミュレータが正常に動作していることを示す。

(2)^{ブラウザで以下の}URL^{を順に表示する。}

http:// 192.168.40.103:2401 http:// 192.168.40.103:2402 http:// 192.168.40.103:2403 http:// 192.168.40.103:2404 http:// 192.168.40.103:2405 http:// 192.168.40.103:2406 http:// 192.168.40.103:2407 http:// 192.168.40.103:2408 http:// 192.168.40.103:2409

９つの_URLのいずれも、「Welcome to CVS Simulator(port xxxx)^」と表示されれば、_GCVS シミュレータが正常に動作していることを示す。ただし xxx の部分には、アクセスした際のポート番号が表示される。

(20)

７トラブルシューティング

以上でテストスイートを実行できる環境は整った事になり、以降、マニュアル「コマンド実行方法」に従ってテストを行う。テストが動作しない場合には、本節で述べるチェック事項に従って動作確認を行う。

７.１. サーバー側での動作確認

７.１.１. L DAP の動作確認

root権限で以下のコマンドを実行することで、プロセスが起動しているかどうかを確認できる。以下は、正常な場合の実行例である。なお、実行する環境によってプロセス_IDは異なる。

# /etc/rc.d/init.d/ldap status

slapd (pid 6248 6247 6245 6244 6243 6238 6237 6236 6231 6230 6229 6224) を実行中...

# ps -wx | grep slapd

6224 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd1.conf -h ldap://ldap1 -n slapd1 6229 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd1.conf -h ldap://ldap1 -n slapd1 6230 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd1.conf -h ldap://ldap1 -n slapd1 6231 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd2.conf -h ldap://ldap2 -n slapd2 6236 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd2.conf -h ldap://ldap2 -n slapd2 6237 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd2.conf -h ldap://ldap2 -n slapd2 6238 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd3.conf -h ldap://ldap3 -n slapd3 6243 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd3.conf -h ldap://ldap3 -n slapd3 6244 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd3.conf -h ldap://ldap3 -n slapd3 6245 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd4.conf -h ldap://ldap4 -n slapd4 6247 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd4.conf -h ldap://ldap4 -n slapd4 6248 ? S 0:00 /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd4.conf -h ldap://ldap4 -n slapd4

一般ユーザ権限で以下の通りにリポジトリの初期化コマンドを入力することで、 LDAP^{サーバへの情報の登録}^・削除が正常に行えるかどうかを確認できる。以下は、正常に通信が行われている場合の実行例である。

$ cd $PKITESTROOT/bin

$ ./lflush.sh

erasing all repositories... ldap_search: No such object

Delete Result: No such object (32) ldap_search: No such object

Delete Result: No such object (32) contacting to ldap1...

ldap_init( ldap1, 0 ) contacting to ldap2... ldap_init( ldap2, 0 ) contacting to ldap3... ldap_init( ldap3, 0 ) contacting to ldap4... ldap_init( ldap4, 0 )

<OK>

※ 「No such object」のエラーは初めに初期化するときだけ表示される。

※ 最終的に「<OK>」と表示されれば、正常に初期化が行われている。インストールガイド

(21)

次に、サーバから以下の通りに _ldapsearch コマンドを入力することで、各リポジトリに正常に情報が登録されているかどうかを確認することが出来る。以下は、初期化コマンドによって情報が正常に登録されている場合の実行結果である。

・_GPKI統合リポジトリ_(ldap1)

$ ldapsearch -h ldap1 -x -b "c=JP" -LLL "o=*" dn: o=Japanese Government,c=JP

objectClass: top

objectClass: organization o: Japanese Government

# refldap://ldap2/o=Japan%20Certification%20Services,c=JP??sub

# refldap://ldap3/o=SECOM%20Trust.net%20Co.%5C2C%20Ltd.,c=JP??sub

・日本認証サービス_A-Sign2リポジトリ_(ldap2)

$ ldapsearch -h ldap2 -x -b "c=JP" -LLL "o=*" dn: o=Japan Certification Services,c=JP

objectClass: top

objectClass: organization o: Japan Certification Services

# refldap://ldap1/o=Japanese%20Government,c=JP??sub

・パスポートfor G-IDリポジトリ(ldap3)

$ ldapsearch -h ldap3 -x -b "c=JP" -LLL "o=*" dn: o=SECOM Trust.net Co.¥2C Ltd.,c=JP

objectClass: top

objectClass: organization o: SECOM Trust.net Co., Ltd.

# refldap://ldap1/o=Japanese%20Government,c=JP??sub

・オリジナルテストケース用リポジトリ(ldap4)

$ ldapsearch -h ldap4 -x -b "c=JP" -LLL "o=*" dn: o=OriginalTest,c=JP

objectClass: top

objectClass: organization o: OriginalTest

７.１.２. P ostgreS QL の動作確認

psqlコマンドを用いることで、データベースが正常に動作していることを確認できる。以下は、正常に動作している場合の実行結果である。

(22)

$ su postgres

$ psql jnsaipa0833

Welcome to psql, the PostgreSQL interactive terminal. Type: ¥copyright for distribution terms

¥h for help with SQL commands

¥? for help on internal slash commands

¥g or terminate with semicolon to execute query

¥q to quit jnsaipa0833=# ¥d

List of relations

Name | Type | Owner

crl | table | postgres

postgres =#

７.２. クライアント側での動作確認

７.２.１. rsh

クライアント側からサーバーへ_rshできるか確認する。

$ rsh サーバーホスト名

７.２.２. P ostgreS QL

PostgreSQL のクライアントがインストールされていれば、サーバーのデータベースに接続できるか確認する。

７.２.３. DB ユーティリティーの動作確認

クライアントのウェブブラウザで以下の _URL により「各種ユーティリティー」の_CGI.が参照できるか確認する。

http://サーバーホスト名/cgi-bin/gpkitdm_index.cgi