D.91. tarantella security enable

SGD サーバーをセキュアにします。

構文

tarantella security enable
tarantella security enable --certfile cfile
                         [ --keyfile kfile ]
                         [ --rootfile carootfile ]
                         [ --firewalltraversal on|off ]

説明

このコマンドは、SGD サーバーをセキュリティー保護するために使用します。

このコマンドには次の制限事項が適用されます。

インストールするサーバー SSL 証明書を指定するには、--certfile オプションを使用します。証明書は、OpenSSL で使用されるように、ヘッダー行に "BEGIN CERTIFICATE" が含まれた、Base 64 でエンコードされた PEM 形式である必要があります。

--certfile オプションを省略すると、このコマンドは、自己署名付きのサーバー SSL 証明書を生成してインストールします。自己署名付きのサーバー SSL 証明書はテストのためだけに使用してください。

--certfile オプションと --keyfile オプションを一緒に使用すると、SGD は、指定された SSL 証明書と鍵ファイルへのシンボリックリンクを作成します。

サポートされていない CA によって SSL 証明書が署名されている場合に CA 証明書をインストールするには、--rootfile オプションを使用します。このオプションはまた、CA 証明書を SGD サーバーの CA 証明書トラストストアにもインポートします。これは /opt/tarantella/bin/jre/lib/security/cacerts ファイルです。

SGD サーバーのファイアウォール越えを有効または無効にするには、--firewalltraversal オプションを使用します。ファイアウォール越えが構成されている SGD サーバーを SGD Gateway とともに使用することはできません。

tarantella security enable コマンドは、SGD をセキュアモードでインストールするときに使用されます。これがデフォルトのインストールモードです。

以前にセキュリティーを構成しようとした場合は、tarantella security enable コマンドに効果はありません。コマンドは、セキュリティー設定がすでに変更されていることを示すエラーメッセージで終了します。

このコマンドを使用する前に、SGD サーバーが実行中であることを確認してください。tarantella status コマンドを使用すると、SGD サーバーの現在のステータスを表示できます。

次の表は、このコマンドで使用可能なオプションを示しています。

オプション

説明

--certfile

SSL 証明書を格納したファイルの格納場所を指定します。

SSL 証明書ファイルのフルパスを指定する必要があります。このパスは、ttasys ユーザーから読み取り可能である必要があります。

--keyfile

--certfile で指定された SSL 証明書の非公開鍵を含むファイルの場所を指定します。

このオプションは、すでに所有している非公開鍵について SGD に通知するために使用します。「tarantella security certrequest」 コマンドを使って CSR を生成して SSL 証明書を取得した場合、このオプションを使う必要はありません。

鍵ファイルのフルパスを指定する必要があります。このパスは、ttasys ユーザーから読み取り可能である必要があります。

--rootfile

CA のルート証明書を含むファイルの場所を指定します。詳細は、SGD セキュリティーサービスで使用するために /opt/tarantella/var/tsp にコピーされます。

CA ルート証明書ファイルのフルパスを指定する必要があります。このパスは、ttasys ユーザーから読み取り可能である必要があります。

--firewalltraversal

SGD サーバーのファイアウォール越えを構成します。

このオプションを指定しなかった場合、ファイアウォール越えがデフォルトで有効になります。

このコマンドを使用して SGD サーバーをセキュリティー保護した場合は、tarantella security disable コマンドを使用して、セキュリティー設定を以前の状態に戻すことができます。

このコマンドを使用して SGD サーバーをセキュリティー保護する方法についての詳細は、「保護付きの接続の有効化 (自動設定)」を参照してください。

次の例では、SGD サーバーをセキュリティー保護し、指定された SSL 証明書をインストールして、「tarantella security certrequest」 コマンドを使用して CSR が生成されたときに生成された非公開鍵を使用します。

# tarantella security enable \
--certfile /opt/certs/cert

次の例では、SGD サーバーをセキュリティー保護し、指定された SSL 証明書と非公開鍵をインストールします。CA ルート証明書もインストールされます。CSR を生成するために 「tarantella security certrequest」 コマンドは使用されませんでした

# tarantella security enable \
--certfile /opt/certs/cert \
--keyfile /opt/keys/key \
--rootfile /tmp/rootcert

次の例では、SGD サーバーをセキュリティー保護し、自己署名付きの SSL 証明書をインストールします。この SGD サーバーでは、ファイアウォール越えは有効になっていません。

# tarantella security enable \
--firewalltraversal off