Secure Global Desktop 4.40 管理者ガイド
> セキュリティー
> SGD サーバー間の接続の保護
標準インストールでは、アレイ内の SGD サーバー間で送信されるデータは、SGD 管理ツールから送信されるデータを含めて、暗号化されません。Secure Global Desktop 管理者 は、Secure Sockets Layer (SSL) を使用してアレイメンバー間の接続をセキュリティー保護できます。これらの接続に SSL を使用すると、次のようにデータの完全性が保証されます。
このように SSL を使用する方法は、アレイ内のセキュア通信と呼ばれます。
アレイ内のセキュア通信を使用する場合、信頼されている認証局 (CA) によって署名された有効な X.509 証明書が、アレイ内の各 SGD サーバーで必要になります。
アレイ内のセキュア通信用の X.509 証明書は SGD の内部でのみ使用されるため、アレイ内のプライマリ SGD サーバーが CA として機能します。プライマリサーバーには、自己署名付きの CA 証明書と非公開キーが格納されます。アレイ内のすべてのサーバーには、信頼されている証明書ストア (truststore) にプライマリサーバーの CA 証明書のコピーが格納されます。
プライマリサーバーを含めて、アレイ内のすべてのサーバーに、X.509 証明書と非公開キーが格納されます。X.509 証明書は、プライマリサーバーの CA 証明書によって署名され、SGD サーバーのピア DNS 名を共通名 (CN) として含んでいます。これらの証明書は自己署名付きの CA 証明書を使用して作成されるため、SGD 関連の他の接続の保護には使用できません。これらの証明書はサーバーピア証明書と呼ばれ、他の種類の X.509 証明書と区別されます。
アレイ内の 1 つの SGD サーバーが別のサーバーに接続する際 (管理ツールを使用する場合を含む)、接続先の SGD サーバーは SSL ネゴシエーションの一環として自身のサーバーピア証明書を提示します。接続元のサーバーはその証明書を評価し、次のことを確認します。
証明書が有効な場合は、セキュア接続が確立されます。
アレイ内のセキュア通信を有効にすると、CA 証明書とサーバーピア証明書が自動的に生成されて、アレイのメンバーに配布されます。アレイの構造が変更されるたびに、CA 証明書とサーバーピア証明書は自動的に更新されます。次の表に、動作の概要を示します。
アレイの変更 | 動作 |
---|---|
サーバーがアレイに追加されたとき |
|
サーバーがアレイから切り離されたとき |
|
新しいプライマリサーバーが指定されたとき |
|
管理者
は、tarantella security peerca --show
コマンドを使用して、信頼されている証明書ストア (truststore) 内の証明書を表示できます。信頼されている証明書ストア (truststore) にはプライマリサーバーの CA 証明書が格納されています。
アレイ内のセキュア通信はコマンド行から有効にする必要があります。
各サーバーで次のコマンドを使用します。
# tarantella config edit --tarantella-config-security-peerssl-enabled 1
サーバーは、一度に 1 つずつ追加してください。サーバーを追加すると、プライマリサーバーの CA 証明書を信頼するように要求されます。
# tarantella array join --primary primary_server
プライマリサーバーの CA 証明書を信頼するように要求され、証明書のフィンガプリントが表示されます。
プライマリサーバーで、次のコマンドを使用して、プライマリサーバーの CA 証明書のフィンガプリントを表示します。
# tarantella security peerca --show
証明書のフィンガプリントが一致していることを確認します。この作業は、セカンダリサーバーが正規のプライマリサーバーと通信することを確認するうえで重要です。
アレイの変更がアレイのすべてのメンバーにコピーされてから、次のサーバーを追加します。アレイ内の各 SGD サーバーで tarantella status
コマンドを実行して同じ結果が返されるときには、コピーが完了していると判断できます。
Copyright © 1997-2007 Sun Microsystems, Inc. All rights reserved.