7.5. SGD サーバーの証明書ストア

各 SGD サーバーには、CA 証明書トラストストアとクライアント証明書ストアという 2 つの証明書ストアがあります。

7.5.1. CA 証明書トラストストア

各 SGD サーバーには、独自の CA 証明書トラストストアがあります。これは /opt/tarantella/bin/jre/lib/security/cacerts ファイルです。

CA 証明書トラストストアには、SGD サーバーで信頼されている CA 証明書が格納されます。

/opt/tarantella/etc/data/cacerts.txt ファイルには、SGD の最初のインストール時に CA 証明書トラストストアにあるすべての CA 証明書の、X.500 識別名 (DN) と MD5 署名が入っています。これらは、SGD がデフォルトでサポートしている CA です。ほかの CA のサポートを追加するには、CA 証明書をトラストストアにインポートします。

次に挙げる状況では、CA 証明書のインポートが必要になることがあります。

  • Active Directory 認証 – Active Directory に対して SSL 接続が使用されている場合で、Active Directory サーバーの SSL 証明書がサポートされていない CA または中間 CA によって署名されているとき

    「Active Directory への SSL 接続」を参照してください。

  • LDAP 認証 – LDAP ディレクトリに対して SSL 接続が使用されている場合で、LDAP ディレクトリサーバーの SSL 証明書がサポートされていない CA または中間 CA によって署名されているとき

    「LDAP 認証のネットワーク要件」を参照してください。

インポートする必要がある証明書は次のとおりです。

  • サポートされていない CA – CA 証明書またはルート証明書をインポートします

  • 中間 CA – CA 証明書チェーンをインポートします

tarantella security customca コマンドを使用して CA 証明書または CA 証明書チェーンをインストールすると、CA 証明書は CA 証明書トラストストアにもインポートされます。これが行われるのは、このコマンドを実行した SGD サーバー上だけです。

CA 証明書を手動でインポートするには、keytool アプリケーションを使用します。keytool アプリケーションを使用する方法の詳細については、JDK Tools and Utilities のドキュメントを参照してください。SGD ホストの /opt/tarantella/var/tsp/ca.pem ファイルには、CA 証明書または証明書チェーンが格納されています。

CA 証明書チェーンをインポートする必要がある場合は、チェーン内の各証明書を個別にインポートしてください。

CA 証明書トラストストアのパスワードは changeit です。

7.5.1.1. CA 証明書または証明書チェーンを CA 証明書トラストストアにインポートする方法

SGD サーバーにログインしているユーザーがいないこと、および実行中のアプリケーションセッション (中断されているアプリケーションセッションを含む) が存在しないことを確認してください。

アレイ内の各 SGD サーバー上で次の手順を繰り返します。

  1. SGD ホスト上でスーパーユーザー (root) としてログインします。

  2. CA 証明書をインポートします。

    CA 証明書チェーンをインポートするには、チェーン内の各証明書を個別にインポートする必要があります。

    次のコマンドを使用します。

    # /opt/tarantella/bin/jre/bin/keytool -importcert \
    -keystore /opt/tarantella/bin/jre/lib/security/cacerts \
    -storepass changeit -file CA-certificate-path \
    -alias alias
    

    -alias オプションを使って、証明書を一意に識別します。

  3. SGD サーバーを再起動します。

    CA 証明書を有効にするには、SGD サーバーを再起動する必要があります。

7.5.2. クライアント証明書ストア

各 SGD サーバーには、独自のクライアント証明書ストアがあります。これは /opt/tarantella/var/info/certs/sslkeystore ファイルです。

クライアント証明書ストアには、SGD サーバーが別のサーバーに接続する際に自身の識別に使用する、クライアント証明書が格納されます。

keytool アプリケーションを使用して、サーバーのクライアント証明書を作成およびインストールします。keytool アプリケーションを使用する方法の詳細については、JDK Tools and Utilities のドキュメントを参照してください。

クライアント証明書ストアに対して証明書の追加または削除を行うときは、パスワードを入力する必要があります。クライアント証明書ストアのパスワードは SGD ごとに固有で、/opt/tarantella/var/info/key ファイル内にあります。-storepass および -keypass オプションの両方で、このパスワードを使用します。

7.5.2.1. SGD サーバーのクライアント証明書の CSR を作成する方法

  1. SGD ホスト上でスーパーユーザー (root) としてログインします。

  2. クライアント証明書のキーペアを生成します。

    # /opt/tarantella/bin/jre/bin/keytool -genkeypair \
    -keyalg rsa \
    -keystore /opt/tarantella/var/info/certs/sslkeystore \
    -storepass "$(cat /opt/tarantella/var/info/key)" \
    -alias alias \
    -keypass "$(cat /opt/tarantella/var/info/key)"
    

    -alias オプションを使って、鍵ペアを一意に識別します。

  3. クライアント証明書の証明書発行要求 (CSR) を生成します。

    # /opt/tarantella/bin/jre/bin/keytool -certreq \
    -keystore /opt/tarantella/var/info/certs/sslkeystore \
    -storepass "$(cat /opt/tarantella/var/info/key)" \
    -alias alias \
    -keypass "$(cat /opt/tarantella/var/info/key)" \
    -file CSR-path
    

    alias には、鍵ペアの生成時に使用したエイリアスを指定してください。エイリアスの大文字と小文字は区別されません。

7.5.2.2. SGD サーバーのクライアント証明書をインストールする方法

SGD サーバーにログインしているユーザーがいないこと、および実行中のアプリケーションセッション (中断されているアプリケーションセッションを含む) が存在しないことを確認してください。

アレイ内の各 SGD サーバー上で次の手順を繰り返します。

  1. SGD ホスト上でスーパーユーザー (root) としてログインします。

  2. クライアント証明書をインストールします。

    # /opt/tarantella/bin/jre/bin/keytool -importcert \
    -file certificate-path 
    -keystore /opt/tarantella/var/info/certs/sslkeystore \
    -storepass "$(cat /opt/tarantella/var/info/key)" \
    -alias alias \
    -keypass "$(cat /opt/tarantella/var/info/key)"
    

    クライアント証明書の CSR の生成時に使用したエイリアスを指定してください。エイリアスの大文字と小文字は区別されません。

  3. SGD サーバーを再起動します。

    クライアント証明書を有効にするには、SGD サーバーを再起動する必要があります。