Secure Global Desktop 4.40 管理者ガイド
> セキュリティー
> ユーザーへの確認要求と X.509 証明書
X.509 証明書が保管されている SGD サーバーにユーザーがログインすると、SGD Client は処理を続行する前に証明書の有効性を検査します。証明書が有効で、ユーザーが SGD への初期接続に同意している場合は、ホスト名と証明書のフィンガプリントがクライアントデバイスの hostsvisited
ファイルに追加されます。hostsvisited
ファイルは、ユーザーのプロファイルキャッシュと同じ場所に保存されます。
ただし、証明書の発行者が不明だったり証明書の有効期限が切れているなど、X.509 証明書に問題がある場合には、証明書警告メッセージが表示され、ユーザーはその証明書を承認するか拒否するかを確認されます。これは、セキュリティーに対する潜在的な危険です。証明書の警告がどのように処理されるかは、SGD セキュリティーサービスが有効になっているかどうかによって異なります。
注 ユーザーが SGD への初期接続を信頼することに同意していない場合は、セキュリティー証明書の確認メッセージが表示されます。
SGD セキュリティーサービスが無効になっているときに、X.509 証明書に関するセキュリティー警告メッセージが表示された場合、ユーザーは、証明書を承認するか拒否するかを選択する前に証明書の詳細を表示できます。
ユーザーが証明書を承認してサーバーへの接続に同意した場合は、ホスト名と証明書のフィンガプリントがクライアントデバイスの hostsvisited
ファイルに追加されます。この証明書は、ユーザーセッションが存続している間キャッシュに保存されます。ユーザーが次回ログインするときに、証明書の確認メッセージは表示されません。
ユーザーが証明書を拒否した場合は、SGD への接続は終了し、証明書の詳細は hostsvisited
ファイルに追加されません。ユーザーが次回ログインするときに、証明書の確認メッセージが表示されます。
ユーザーがすでに証明書を承認している場合、または証明書の問題が発行者が不明であることだけの場合には、証明書の確認メッセージは表示されません。
SGD セキュリティーサービスが有効になっているときに、X.509 証明書に関するセキュリティー警告メッセージが表示された場合、ユーザーは、証明書を永続的に承認するか、一時的に承認するか、または拒否するかを選択する前に証明書の詳細を表示できます。
ユーザーが証明書を一時的に承認してサーバーへの接続に同意した場合は、ホスト名と証明書のフィンガプリントがクライアントデバイスの hostsvisited
ファイルに追加されます。この証明書は、ユーザーセッションが存続している間キャッシュに保存されます。ユーザーが次回ログインするときに、証明書の確認メッセージが表示されます。
ユーザーが証明書を永続的に承認してサーバーへの接続に同意した場合は、ホスト名と証明書のフィンガプリントがクライアントデバイスの hostsvisited
ファイルに追加されます。クライアントデバイスの certstore.pem
ファイルには証明書も追加されます。certstore.pem
ファイルは、ユーザーのクライアントプロファイルキャッシュと同じ場所に保存されます。ユーザーは、証明書だけを承認するか、または証明書とそのチェーンを承認するかを選択できます。ユーザーが次回ログインするときに、証明書の確認メッセージは表示されません。
ユーザーが証明書を拒否した場合は、SGD への接続は終了し、証明書の詳細は hostsvisited
ファイルに追加されません。ユーザーが次回ログインするときに、証明書の確認メッセージが表示されます。
デフォルトインストールでは、SGD は、多数の認証局が署名した X.509 証明書をサポートします。
ほかの種類の Base 64 でエンコードされた PEM 形式の X.509 証明書を使用できます。ただし、このような証明書の有効性を検証するには、その証明書の署名に使われた認証局 (CA) 証明書 (ルート証明書) をインストールする必要があります。CA 証明書をインストールしない場合は、発行者不明エラーが表示され、ユーザーはその証明書を承認するか拒否するかを選択することを求められます。
セキュア (HTTPS) Web サーバーを使っている場合、ルート証明書が Web ブラウザのキーストアにインポートされていないと、ユーザーは Web サーバーの証明書を承認するかどうか確認を求められます。ユーザーに確認を求めることなく Web サーバー証明書を検証できるようにするには、ブラウザの専用ツールを使って、Web ブラウザにルート証明書をインポートする必要があります。
セキュア Web サーバーで Java™ テクノロジを使っている場合、Java Plug-in も、Web サーバーの証明書を承認するかどうか、ユーザーに確認を求めることがあります。これは Java コントロールパネルの設定によります。デフォルトでは、Plug-in はブラウザキーストアにある証明書を使う設定になっています。Plug-in がこのような設定になっていない場合は、必要に応じ、Java コントロールパネルを使ってルート証明書をインポートしてください。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.