Sun ONE Web Server 6.1 管理者ガイド |
「Security」タブ
管理サーバーの「Security」タブには、次のページがあります。
「Create Database」ページ「Create Database」ページでは、デフォルトの CA 設定で新規の信頼データベースを作成し、これをパスワードで保護することができます。1 つのサーバーに設定できる信頼データベースは 1 つだけです。つまり、新規の信頼データベースを作成できるのは、既存のものがない場合だけです。信頼データベースは、デフォルトの CA エントリで作成されますが、このエントリは、クライアント証明書に対して信頼できる CA としては設定されていません。これらの CA をクライアント証明書に対して信頼できるものとするようにサーバーを設定するには、「「Manage Certificates」ページ」を参照してください。また、信頼データベースの作成については、「Creating a Trust Database」を参照してください。このページには、次の各要素が表示されます。
Database Password: 証明書データベースのパスワードを指定します。
注
データベースパスワードは、プレーンテキストでクライアントから管理サーバーへ送信されます。セキュリティに関するリスクをできるだけ回避するには、サーバー管理に使用するブラウザを管理サーバーと同じマシンで稼動させるか、または管理サーバーに SSL を使用するようにしてください。
Password (again): 「Database Password」フィールドで指定したパスワードを確認します。「Database Password」フィールドに入力した値と異なるパスワードを入力すると、パスワードの再入力を求めるメッセージが表示されます。
OK: エントリを保存します。変更内容を有効にするには、サーバーを再起動する必要があります。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Request a Certificate」ページ「Request a Certificate」ページでは、サーバー証明書の追加または更新を実行することができます。詳細は、「Requesting and Installing Other Server Certificates」を参照してください。
次の各要素が表示されます。
New certificate: 要求する証明書が新規のものであることを指定します。
Certificate renewal: 要求する証明書が、既存の証明書の更新であることを指定します。
Submit to Certificate Authority Via: 証明書要求を送信する方法を指定します。次のオプションから選択します。
Select the module to use with the certificate: 次のいずれかを指定します。
Requestor name: 証明書の発行対象となる名前を指定します。
Telephone number: 要求者の電話番号を指定します。
Common name: DNS 検索で使用される完全修飾ホスト名を指定します (例: www.sun.com)。これは、ブラウザがサイトに接続するのに使用する URL 内のホスト名です。これら 2 つの名前は必ず同一にしてください。同一でない場合には、証明書名とサイト名が一致しないということがクライアントに通知され、証明書の正当性を疑われる場合があります。
Email address: 申請者と CA 間の連絡に使用される業務用電子メールアドレスを指定します。
Organization: 会社、教育機関、組織などの公式かつ法律上の名前を指定します。ほとんどの CA が、この情報を法的文書 (ビジネスライセンスのコピーなど) で証明するように要求します。
Organizational Unit: 会社内の組織単位の説明を指定します。このフィールドはオプション (省略可能) です。
Locality: 組織の所在地の市町村名などを指定します。このフィールドはオプション (省略可能) です。
State or Province: 組織の所在地の都道府県名などを指定します。
Country: 国名を 2 文字の省略形 (ISO書式) で指定します。米国の国コードは US です。
OK: エントリを保存します。変更内容を有効にするには、サーバーを再起動する必要があります。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Install Certificate」ページクライアントに提示するユーザー自身の証明書、または証明書チェーンに使用する CA の証明書をインストールすることができます。
CA から証明書を受け取るときには、ユーザーだけがこれを復号化できるように、公開鍵で暗号化されています。サーバーは、証明書をインストールする際、その証明書を復号するのに指定した鍵ペアファイルのパスワードを使用します。詳細は、「Requesting and Installing Other Server Certificates」を参照してください。
注
証明書チェーンに使用する CA の証明書は、ユーザー自身の証明書をインストールしたときと同じプロセスでインストールします。多くの CA は、ユーザー自身の証明書が入っている同じ電子メールの中に CA 証明書も一緒に入れて送信してきます。CA が自動的に CA の証明書を送信してこない場合、送信するように要求する必要があります。サーバーは、両方の証明書を同時にインストールします。
「Install Certificate」ページでは、サーバーの証明書をインストールすることができます。
次の各要素が表示されます。
Certificate For: 証明書がどこで使用されるかを指定します。次のオプションから選択します。
- This Server: インストール時に、サーバーが証明書の復号用にユーザーが指定した鍵ペアファイルパスワードを使用するよう指定します。
- Server Certificate Chain: クライアントが証明書の CA を認識できない場合でも、クライアントの判断により、SSL 接続を行うことができます。証明書チェーンとは、ユーザー自身の証明書に加えて、CA の証明書を提示するプロセスのことです。クライアントがユーザーの CA に対して証明書を発行した CA を信頼する場合、トランザクションは継続します。つまり、クライアントは 2番目の CA を信頼し、2 番目は 1 番目の CA を、1 番目の CA はユーザーを信頼します。したがって、クライアントはユーザーを信頼することになります。このようにして、信頼の「チェーン」が作成されます。
- Trusted Certificate Authority (CA): CA の証明書を、クライアント認証について信頼された CA のものとして受け入れます。
Cryptographic Module: 証明書に使用されるモジュールを指定します。外部暗号化モジュールをインストールしていない場合、内部モジュールを選択します。
Key Pair File Password: 証明書データベースのパスワードを指定します。
CertificateName: 証明書の共通名を指定します。証明書名が、DNS 検索で使用されるサーバーの完全修飾ホスト名と異なる場合にのみ、証明書名を入力します (例:www.sun.com)。
Message is in This File: CA 証明書が格納されているファイルを指定します。
Message Text (with headers): CA 証明書の内容を入力します。テキストをコピーして貼り付ける場合、必ず、「Begin Certificate」と「End Certificate」のヘッダーも含めてください。
OK: 「Add or Replace Certificate」ページに進みます。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Add or Replace Certificate」ページ「Add or Replace Certificate」ページには、インストールした新規の証明書情報が表示されます。
Add Server Certificate または Replace Server Certificate: 証明書を追加するか、または以前の証明書を表示されているものと置換します。
Back: 「Install a Certificate」ページに戻ります。
Help: オンラインヘルプを表示します。
「Change Password」ページ「Change Password」ページでは、ユーザーの信頼データベースへのアクセスに使用されるパスワードを変更することができます。詳細は、「Changing Passwords or PINs」を参照してください。
次の各要素が表示されます。
Cryptographic Module: 証明書に使用されるモジュールを指定します。外部暗号化モジュールをインストールしていない場合、内部モジュールを選択します。
Old Password: 現在の鍵ペアパスワードを指定します。
New Password: 新規の鍵ペアパスワードを指定します。
Password (again): 「New Password」フィールドで指定したパスワードを確認します。「New Password」フィールドに入力した値とこのフィールドに入力された値が異なる場合、パスワードの再入力を求めるメッセージが表示されます。
OK: エントリを保存します。変更内容を有効にするには、サーバーを再起動する必要があります。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Manage Certificates」ページ「Manage Certificates」ページには、サーバーに関連するインストール済みの証明書がすべて表示され、証明書を管理することができます。詳細は、「Managing Certificates」を参照してください。
外部モジュールをインストールしている場合は、これを行うのはローカルマシンだけにするようにとの警告が表示されます。外部モジュールのパスワードを入力し、「OK」をクリックして、外部モジュールにアクセスして管理できるようにします。
次の各要素が表示されます。
CertificateName: 認証局名を指定します。
Type: 信頼している認証局であるかどうかを指定します。
Expires (Time in UTC): 証明書の有効期間が終了する日時を表示します。証明書の有効期間が終了したら、更新して再び使用できるようにする必要があります。
Help: オンラインヘルプを表示します。
証明書をクリックすると、その証明書に関する情報が表示されます。内部で発行した証明書には、次のオプションがあります。
認証局で発行された証明書には、次のオプションがあります。
変更内容を有効にするには、サーバーを再起動する必要があります。
「Request VeriSign Certificate」ページこのページでは、8 つの基本手順を含む、VeriSign 証明書の要求プロセスを記述します。詳細は、「Requesting and Installing a VeriSign Certificate」を参照してください。
次の各要素が表示されます。
OK: VeriSign Enrollment ウィザードが起動します。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Install VeriSign Certificate」ページこのページでは、要求したサーバー証明書を VeriSign から入手し、サーバーにインストールすることができます。詳細は、「Requesting and Installing a VeriSign Certificate」を参照してください。
外部モジュールをインストールしている場合は、これを行うのはローカルマシンだけにするようにとの警告が表示されます。外部モジュールのパスワードを入力し、「OK」をクリックして、外部モジュールにアクセスして管理できるようにします。
次の各要素が表示されます。
Select the Module to Use with the Certificate: 次のいずれかを指定します。
Cryptographic Module: 証明書に使用されるモジュールを指定します。外部暗号化モジュールをインストールしていない場合、内部モジュールを選択します。
Key Pair File Password: 信頼データベースパスワードを指定します。
Select the Transaction ID to Retrieve: ドロップダウンリストから、要求した証明書を選択することができます。
OK: 選択した証明書をインストールします。変更内容を有効にするには、サーバーを再起動する必要があります。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
「Install CRL/CKLs」ページ「Install CRL/CKLs」ページでは、証明書失効リスト (CRL) や危殆化鍵リスト (CKL) の追加または置換を実行することができます。詳細は、「Installing and Managing CRLs and CKLs」を参照してください。
次の各要素が表示されます。
File Contains: 次のいずれかを選択することができます。
The CRL/CKL is in this file: CRL または CKL の場所を指定します。
OK: ユーザーの選択に基づき、次のいずれかのページが表示されます。
Reset: 変更を取り消して、ページ内の要素を変更前の値に戻します。
Help: オンラインヘルプを表示します。
変更内容を有効にするには、サーバーを再起動する必要があります。
「Add Certificate Revocation List」ページ次の各要素が表示されます。
Add CRL: 指定した CRL をインストールします。
Back: 前のページに戻ります。
Help: オンラインヘルプを表示します。
「Replace Certificate Revocation List」ページ次の各要素が表示されます。
Replace CRL: 指定した CRL を置換します。
Back: 前のページに戻ります。
Help: オンラインヘルプを表示します。
「Add Compromised Key List」ページ次の各要素が表示されます。
Add CKL: 指定した CKL をインストールします。
Back: 前のページに戻ります。
Help: オンラインヘルプを表示します。
「Replace Compromised Key List」ページ次の各要素が表示されます。
Replace CKL: 指定した CKL を置換します。
Back: 前のページに戻ります。
Help: オンラインヘルプを表示します。
「Manage CRL/CKLs」ページ「Manage Certificate Revocation Lists /Compromised Key Lists」ページでは、証明書名でインストールした CRL および CKL が表示されます。有効期間の終了日も表示されます。このページでは、CRL や CKL を表示したり削除したりすることができます。詳細は、「Installing and Managing CRLs and CKLs」を参照してください。
次の各要素が表示されます。
Server CRLs: 選択すると、CRL に関する詳細情報やオプションが表示されます。
Server CKLs: 選択すると、CKL に関する詳細情報やオプションが表示されます。
「CRL/CKL」をクリックすると、「Edit CKL/CRL」ページが表示されます。
Help: オンラインヘルプを表示します。
「Edit CKL/CRL」ページユーザーの選択に応じて、「Edit CKL/CRL」ページに危殆化鍵リスト (CKL: Compromised Key List) または証明書の失効リスト (CRL: Certificate Revocation List) の情報が表示されます。
次の各要素が表示されます。
Delete: 表示されている CKL または CRL を削除します。
Quit: 前のページに戻ります。