過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > セキュリティー > SGD サーバー間の接続の保護

SGD サーバー間の接続の保護

標準インストールでは、アレイ内の SGD サーバー間で送信されるデータは、SGD 管理ツールから送信されるデータを含めて、暗号化されません。Secure Global Desktop 管理者 は、Secure Sockets Layer (SSL) を使用してアレイメンバー間の接続をセキュリティー保護できます。これらの接続に SSL を使用すると、次のようにデータの完全性が保証されます。

このように SSL を使用する方法は、アレイ内のセキュア通信と呼ばれます。

アレイ内のセキュア通信の仕組み

アレイ内のセキュア通信を使用する場合、信頼されている認証局 (CA) によって署名された有効な X.509 証明書が、アレイ内の各 SGD サーバーで必要になります。

アレイ内のセキュア通信用の X.509 証明書は SGD の内部でのみ使用されるため、アレイ内のプライマリ SGD サーバーが CA として機能します。プライマリサーバーには、自己署名付きの CA 証明書と非公開キーが格納されます。アレイ内のすべてのサーバーには、信頼されている証明書ストア (truststore) にプライマリサーバーの CA 証明書のコピーが格納されます。

プライマリサーバーを含めて、アレイ内のすべてのサーバーに、X.509 証明書と非公開キーが格納されます。X.509 証明書は、プライマリサーバーの CA 証明書によって署名され、SGD サーバーのピア DNS 名を共通名 (CN) として含んでいます。これらの証明書は自己署名付きの CA 証明書を使用して作成されるため、SGD 関連の他の接続の保護には使用できません。これらの証明書はサーバーピア証明書と呼ばれ、他の種類の X.509 証明書と区別されます。

アレイ内の 1 つの SGD サーバーが別のサーバーに接続する際 (管理ツールを使用する場合を含む)、接続先の SGD サーバーは SSL ネゴシエーションの一環として自身のサーバーピア証明書を提示します。接続元のサーバーはその証明書を評価し、次のことを確認します。

証明書が有効な場合は、セキュア接続が確立されます。

CA 証明書とサーバーピア証明書の管理

アレイ内のセキュア通信を有効にすると、CA 証明書とサーバーピア証明書が自動的に生成されて、アレイのメンバーに配布されます。アレイの構造が変更されるたびに、CA 証明書とサーバーピア証明書は自動的に更新されます。次の表に、動作の概要を示します。

アレイの変更 動作
サーバーがアレイに追加されたとき
  1. プライマリサーバーの CA 証明書が新しいサーバーにインストールされます。
  2. 新しいサーバーは、プライマリサーバーの CA 証明書によって署名された新しいサーバーピア証明書を取得します。
サーバーがアレイから切り離されたとき
  1. 切り離されたサーバーは、1 つのサーバーだけで構成されるアレイのプライマリサーバーになります。
  2. 切り離されたサーバーは、自身の新しい CA 証明書を作成します。
  3. 切り離されたサーバーは、自身の新しいサーバーピア証明書を作成します。
新しいプライマリサーバーが指定されたとき
  1. 新しいプライマリサーバーは、新しい CA 証明書を生成します。
  2. 新しいプライマリサーバーの CA 証明書がすべての SGD サーバーにインストールされます。
  3. すべてのサーバーは、新しいプライマリサーバーの CA 証明書によって署名された新しいサーバーピア証明書を取得します。

管理者 は、tarantella security peerca --show コマンドを使用して、信頼されている証明書ストア (truststore) 内の証明書を表示できます。信頼されている証明書ストア (truststore) にはプライマリサーバーの CA 証明書が格納されています。

アレイ内のセキュア通信の有効化

アレイ内のセキュア通信はコマンド行から有効にする必要があります。

  1. 中断中のセッションも含めて、実行中のユーザーセッションやアプリケーションセッションがアレイ内に存在しないことを確認します。
  2. アレイを解除します。
    1. スーパーユーザー (root) としてプライマリ SGD サーバーにログインします。
    2. すべてのセカンダリサーバーを切り離して、アレイを解除します。

      次のコマンドを使用して、一度に 1 つずつ切り離してください。

      過去のコマンド構文またはプログラムコードのスキップ# tarantella  array detach --secondary server
    3. アレイの変更がアレイのすべてのメンバーにコピーされてから、次のサーバーを切り離します。

      アレイ内の各 SGD サーバーで tarantella status コマンドを実行して同じ結果が返されるときには、コピーが完了していると判断できます。

  3. アレイ内のすべての SGD サーバーを停止します。
  4. アレイ内のセキュア通信を有効にします。

    各サーバーで次のコマンドを使用します。

    過去のコマンド構文またはプログラムコードのスキップ# tarantella config edit --tarantella-config-security-peerssl-enabled 1
  5. アレイ内のすべての SGD サーバーを起動します。
  6. アレイを再構築します。

    サーバーは、一度に 1 つずつ追加してください。サーバーを追加すると、プライマリサーバーの CA 証明書を信頼するように要求されます。

    1. サーバーを追加するには、アレイに追加するサーバー上で次のコマンドを使用します。
      過去のコマンド構文またはプログラムコードのスキップ# tarantella  array join --primary primary_server

      プライマリサーバーの CA 証明書を信頼するように要求され、証明書のフィンガプリントが表示されます。

    2. フィンガプリントが正しいかどうか確認します。

      プライマリサーバーで、次のコマンドを使用して、プライマリサーバーの CA 証明書のフィンガプリントを表示します。

      過去のコマンド構文またはプログラムコードのスキップ# tarantella security peerca --show

      証明書のフィンガプリントが一致していることを確認します。この作業は、セカンダリサーバーが正規のプライマリサーバーと通信することを確認するうえで重要です。

    3. フィンガプリントが一致している場合は、プライマリサーバーの CA 証明書を受け入れてアレイへの追加を完了します。

    アレイの変更がアレイのすべてのメンバーにコピーされてから、次のサーバーを追加します。アレイ内の各 SGD サーバーで tarantella status コマンドを実行して同じ結果が返されるときには、コピーが完了していると判断できます。

関連トピック