SGD サーバーをセキュアにします。
tarantella security enable
tarantella security enable --certfilecfile
[ --keyfilekfile
] [ --rootfilecarootfile
] [ --firewalltraversal on|off ]
このコマンドは、SGD サーバーをセキュリティー保護するために使用します。
このコマンドには次の制限事項が適用されます。
新規インストールのみ。SGD インストールは、標準接続を使用した新規インストールである必要があります。これまでに SGD のセキュア接続を構成しようとする試みが行われてはいけません。
スタンドアロンサーバーのみ。SGD サーバーは、アレイ内のほかの SGD サーバーと結合されていてはいけません。SGD サーバーがアレイのメンバーである場合は、このコマンドを使用する前に、SGD サーバーをアレイから切り離してください。
インストールするサーバー SSL 証明書を指定するには、--certfile
オプションを使用します。証明書は、OpenSSL で使用されるように、ヘッダー行に "BEGIN CERTIFICATE"
が含まれた、Base 64 でエンコードされた PEM 形式である必要があります。
--certfile
オプションを省略すると、このコマンドは、自己署名付きのサーバー SSL 証明書を生成してインストールします。自己署名付きのサーバー SSL 証明書はテストのためだけに使用してください。
--certfile
オプションと --keyfile
オプションを一緒に使用すると、SGD は、指定された SSL 証明書と鍵ファイルへのシンボリックリンクを作成します。
サポートされていない CA によって SSL 証明書が署名されている場合に CA 証明書をインストールするには、--rootfile
オプションを使用します。このオプションはまた、CA 証明書を SGD サーバーの CA 証明書トラストストアにもインポートします。これは /opt/tarantella/bin/jre/lib/security/cacerts
ファイルです。
SGD サーバーのファイアウォール越えを有効または無効にするには、--firewalltraversal
オプションを使用します。ファイアウォール越えが構成されている SGD サーバーを SGD Gateway とともに使用することはできません。
tarantella security enable コマンドは、SGD をセキュアモードでインストールするときに使用されます。これがデフォルトのインストールモードです。
以前にセキュリティーを構成しようとした場合は、tarantella security enable コマンドに効果はありません。コマンドは、セキュリティー設定がすでに変更されていることを示すエラーメッセージで終了します。
このコマンドを使用する前に、SGD サーバーが実行中であることを確認してください。tarantella status コマンドを使用すると、SGD サーバーの現在のステータスを表示できます。
次の表は、このコマンドで使用可能なオプションを示しています。
オプション | 説明 |
---|---|
| SSL 証明書を格納したファイルの格納場所を指定します。
SSL 証明書ファイルのフルパスを指定する必要があります。このパスは、 |
|
このオプションは、すでに所有している非公開鍵について SGD に通知するために使用します。「tarantella security certrequest」 コマンドを使って CSR を生成して SSL 証明書を取得した場合、このオプションを使う必要はありません。
鍵ファイルのフルパスを指定する必要があります。このパスは、 |
|
CA のルート証明書を含むファイルの場所を指定します。詳細は、SGD セキュリティーサービスで使用するために
CA ルート証明書ファイルのフルパスを指定する必要があります。このパスは、 |
| SGD サーバーのファイアウォール越えを構成します。 このオプションを指定しなかった場合、ファイアウォール越えがデフォルトで有効になります。 |
このコマンドを使用して SGD サーバーをセキュリティー保護した場合は、tarantella security disable コマンドを使用して、セキュリティー設定を以前の状態に戻すことができます。
このコマンドを使用して SGD サーバーをセキュリティー保護する方法についての詳細は、「保護付きの接続の有効化 (自動設定)」を参照してください。
次の例では、SGD サーバーをセキュリティー保護し、指定された SSL 証明書をインストールして、「tarantella security certrequest」 コマンドを使用して CSR が生成されたときに生成された非公開鍵を使用します。
# tarantella security enable \ --certfile /opt/certs/cert
次の例では、SGD サーバーをセキュリティー保護し、指定された SSL 証明書と非公開鍵をインストールします。CA ルート証明書もインストールされます。CSR を生成するために 「tarantella security certrequest」 コマンドは使用されませんでした。
# tarantella security enable \ --certfile /opt/certs/cert \ --keyfile /opt/keys/key \ --rootfile /tmp/rootcert
次の例では、SGD サーバーをセキュリティー保護し、自己署名付きの SSL 証明書をインストールします。この SGD サーバーでは、ファイアウォール越えは有効になっていません。
# tarantella security enable \ --firewalltraversal off