Novell Certificate Serverについて

Novell Certificate ServerTMでは、セキュリティコンテナオブジェクトと組織の認証局(CA)オブジェクトを作成することによって、デジタル証明書を作成、発行、および管理できます。組織の認証局オブジェクトにより、データを保護し、安全に伝送できるようになります。NetWare Web ManagerやNetWare Enterprise Web ServerなどのWeb関連製品には、組織の認証局オブジェクトが必要です。eDirectoryサーバを初めてインストールすると、eDirectoryツリー全体のセキュリティコンテナオブジェクトと組織の認証局オブジェクトが自動的に作成され、物理的に格納されます。どちらのオブジェクトもeDirectoryツリーの最上部に作成されます。これらのオブジェクトは、移動せずに作成時の位置にそのまま保管する必要があります。

1つのeDirectoryツリー内に存在できる組織の認証局オブジェクトは1つだけです。最初のサーバ上にすでに作成されている組織の認証局オブジェクトを、別のサーバに移動することはできません。組織の認証局オブジェクトを削除したり、再作成すると、その組織の認証局に関連する証明書はすべて無効になります。

重要:  組織の認証局オブジェクトを永続的に保管しようとするサーバを、最初のeDirectoryサーバにするようにします。組織の認証局オブジェクトの保管先のサーバは、ネットワーク内の継続して稼動する部分であり、アクセス可能で、信頼性が高くなければなりません。

インストール中のサーバがネットワーク内の最初のeDirectoryサーバでない場合、インストールプログラムは組織の認証局オブジェクトが存在するeDirectoryサーバを探し、このサーバを参照します。インストールプログラムは、セキュリティコンテナにアクセスし、サーバ証明書オブジェクトを作成します。

ネットワーク内に組織の認証局オブジェクトがまったく存在しないと、Web関連製品は機能しません。


Novell Certificate Serverでタスクを実行するのに必要な権利

Novell Certificate Serverの設定に関連付けられたタスクを完了するには、管理者は、次の表に記載されているような権利を持っている必要があります。

Novell Certificate Serverのタスク 必要な権利

1台目のサーバを新しいツリーにインストールするか、まだベースセキュリティをインストールしていないツリーの1台目のサーバをアップグレードするためのベースセキュリティ設定

ツリーのルートのスーパバイザ権

セキュリティコンテナのスーパバイザ権

2台目以降のサーバをインストールするためのベースセキュリティ設定

サーバコンテナのスーパバイザ権

W0オブジェクト(セキュリティコンテナ内)のスーパバイザ権

組織の認証局の作成

セキュリティコンテナのスーパバイザ権

サーバ認証オブジェクトの作成

サーバコンテナのスーパバイザ権

組織の認証局オブジェクトのNDSPKI:プライベートキー属性の読み込み権

また、ルート管理者は、サブコンテナの管理者に次の権利を割り当てることによって、組織の認証局を使用する権限を委託することもできます。サブコンテナの管理者がSSLセキュリティを使用するNovell eDirectoryをインストールするには、次のような権利が必要です。

これらの権利はグループや役割に割り当てられ、ここではすべての管理者ユーザが定義されます。Novell Certificate Server関連の特定のタスク実行に必要な権利の詳細については、Novell Certificate Serverオンラインマニュアルを参照してください。


Linux、Solaris、AIX、およびHP-UXシステムでのeDirectory操作に関するセキュリティを確保する

eDirectoryには、PKCS(パブリックキー暗号化サービス)が付属しています。PKCSには、PKI(Public Key Infrastructure)サービスを提供するNovell Certificate Server、NICI(Novell International Cryptographic Infrastructure)、およびSAS*-SSLサーバが含まれます。

次のセクションでは、eDirectoryの操作におけるセキュリティの確保について説明します。

外部認証局の使用については、『Novell Certificate Server 管理ガイド』を参照してください。


サーバ上にNICIがインストールおよび初期化されているかどうかを確認する

次の条件を満たしているかチェックします。これらの条件は、NICIモジュールが正しくインストールおよび初期化されていることを表します。

  • ファイル/etc/nici.cfgが存在する
  • ディレクトリ/var/novell/niciが存在する
  • ファイル/var/novell/nici/primeniciが存在する

これらの条件を満たしていない場合、次のセクションサーバ上のNICIモジュールを初期化する.の手順に従って操作してください。


サーバ上のNICIモジュールを初期化する

  1. eDirectoryサーバを停止します。

    • Linuxでは、次のコマンドを入力します。

      /etc/init.d/ndsd stop

    • Solarisでは、次のコマンドを入力します。

      /etc/init.d/ndsd stop

    • AIXでは、次のコマンドを入力します。

      /etc/ndsd stop

    • HP-UXでは、次のコマンドを入力します。

      /sbin/init.d/ndsd stop

    重要:  ndsdの開始と停止には、ndsmangaeを使用することをお勧めします。

  2. NICIパッケージがインストールされているかどうかを確認します。

    • Linuxでは、次のコマンドを入力します。

      rpm -qa | grep nici

    • Solarisでは、次のコマンドを入力します。

      pkginfo | grep NOVLniu0

    • AIXでは、次のコマンドを入力します。

      lslpp -l | grep NOVLniu0

    • HP-UXでは、次のコマンドを入力します。

      swlist | grep NOVLniu0

  3. (状況によって実行)NICIパッケージがインストールされていない場合、インストールします。

    NICIパッケージがインストールされていないと先に進みません。

  4. パッケージに含まれている.nfkファイルを/var/novell/niciディレクトリにコピーします。

    /var/novell/nici/primeniciプログラムを実行します。

  5. eDirectoryサーバを開始します。

    • Linuxでは、次のコマンドを入力します。

      /etc/init.d/ndsd start

    • Solarisでは、次のコマンドを入力します。

      /etc/init.d/ndsd start

    • AIXでは、次のコマンドを入力します。

      /etc/ndsd start

    • HP-UXでは、次のコマンドを入力します。

      /sbin/init.d/ndsd start

    重要:  ndsdの開始と停止には、ndsmangaeを使用することをお勧めします。


Certificate Server(PKIサービス)を起動する

PKIサービスを開始するには、次のコマンドを入力します。

npki -1


Certificate Server(PKIサービス)を停止する

PKIサービスを停止するには、次のコマンドを入力します。

npki -u


組織の認証局オブジェクトを作成する

  1. Novell iManagerを起動します。

  2. 適切な権利を持った管理者としてeDirectoryツリーにログインします。

    このタスクの適切な権利を参照するには、『Novell Certificate Server 管理ガイド』の「Creating an Organizational CA」を参照してください。

  3. [役割およびタスク]ボタン[役割およびタスク]ボタンをクリックして、 [PKI Certificate Management(PKI認証管理)]をクリックし、[認証局の作成]をクリックします。

    組織の認証局オブジェクトの作成ウィザードが開始します。メッセージに従ってオブジェクトを作成します。ウィザードの各ページに関する特定の情報については、[ヘルプ]をクリックします。

注:  eDirectoryツリーは組織の認証局を1つしか格納できません。


サーバ認証オブジェクトを作成する

サーバ認証オブジェクトは、eDirectoryサーバオブジェクトを格納するコンテナに作成されます。必要に応じて、サーバ上の個々の暗号化対応アプリケーションに、別々にサーバ認証オブジェクトを作成する場合があります。または、そのサーバで使用するすべてのアプリケーションにサーバ認証オブジェクトを1つ作成することもあります。

注:  サーバ認証オブジェクトと暗号化キーオブジェクト(KMO)は同じ意味を示しています。eDirectoryオブジェクトのスキーマ名はNDSPKI:暗号化キーです。

  1. Novell iManagerを起動します。

  2. 適切な権利を持った管理者としてeDirectoryツリーにログインします。

    このタスクの適切な権利を参照するには、『Novell Certificate Server 管理ガイド』の「Creating Server Certificate Objects」を参照してください。

  3. [役割およびタスク]ボタン[役割およびタスク]ボタンをクリックして、[PKI Certificate Management(PKI認証管理)]をクリックし、[サーバ証明書の作成]をクリックします。

    これによってサーバ証明書の作成ウィザードが開始します。メッセージに従ってオブジェクトを作成します。ウィザードの各ページに関する特定の情報については、[ヘルプ]をクリックします。


組織の認証局の自己署名付き証明書をエクスポートする

自己署名付き証明書は、組織の認証局の識別情報と、組織の認証局によって署名された証明書の有効性を確認するために使用できます。

組織の認証局のプロパティページでは、このオブジェクトに関連付けられた証明書とプロパティを参照できます。[自己署名付き証明書]プロパティページでは、自己署名付き証明書を、暗号化対応のアプリケーションで使用するファイルにエクスポートできます。

組織の認証局に存在する自己署名付き証明書は、組織の認証局によって署名された証明書を持つサーバ認証オブジェクトのルート認証局証明書と同じものです。組織の認証局の自己署名付き証明書をルート認証局証明書として認識するサービスでは、組織の認証局によって署名された有効なユーザやサーバが許可されます。

  1. Novell iManagerで、[役割およびタスク]ボタン[役割およびタスク]ボタンをクリックします。

  2. [eDirectory管理]>[オブジェクトの変更]の順にクリックします。

  3. 組織の認証局オブジェクトの名前とコンテキストを指定して、[OK]をクリックします。

    組織の認証局オブジェクトはセキュリティコンテナにあります。

  4. [証明書]タブをクリックし、[Self-Signed Certificate(自己署名付き証明書)]をクリックします。

  5. [エクスポート]をクリックします。

    証明書のエクスポートウィザードが開始します。メッセージに従って証明書をエクスポートします。ウィザードの各ページに関する特定の情報については、[ヘルプ]をクリックします。

  6. [証明書のエクスポートの概要]ページで、[Save the Exported Certificate to a File(エクスポートされた証明書をファイルに保存)]をクリックします。

    証明書がファイルに保存され、ルート認証局として暗号化対応アプリケーションにインポートできるようになります。

  7. [閉じる]をクリックします。

このファイルを、eDirectoryへのセキュア接続を確立するためのすべてのコマンドライン操作に組み込みます。