この節では、Identity Managerユーザアプリケーションに用意されているデジタル署名サポートを活用するための環境設定について説明します。
メモ:デジタル署名機能用にNovell Certificate Server(Novell PKIインフラストラクチャ)を使用する場合は、eDirectory 8.8以上を使用する必要があります。デジタル署名機能には、eDirectory 8.8に付属するPKI 3.1が必要です。
警告:デジタル署名したドキュメントを保持するには、Novell Audit(またはSentinel)を使用する必要があります。デジタル署名ドキュメントはワークフローデータと一緒にユーザアプリケーションデータベースには保管されません。ログデータベースに保管されます。これらのドキュメントを保管するには、ログを有効にする必要があります。
この項では、次のトピックについて説明します。
iManagerを使ったユーザ証明書の作成
管理者としてログインします。
で を選択します。
証明書を作成するユーザを選択して、
をクリックします。オブジェクトセレクタまたはオブジェクト履歴を使ってユーザを選択できます。
サーバを選択して、証明書のニックネームを作成します。作成方法として
を指定して、 をクリックします。要件に応じて、1024ビットまたは2048ビットのキーサイズを死しますキータイプを
に設定します。他の設定はそのままにして、 をクリックします。デフォルトの環境設定を使用する場合、証明書パラメータはそのままにして
をクリックします。証明書取り消しリスト(CRL)サポートを有効にする場合は、[カスタム]を選択して[CRL signing(CRL署名)]チェックボックスを選択します。
CRL環境設定の詳細は、Novell Certificate Serverのマニュアルを参照してください。
[
]をクリックします。ログアウトします。
ユーザ証明書を、秘密鍵を含むPFXファイルとして保存します。
証明書をエクスポートするユーザとしてログインします。
で、 を選択します。
証明書を選択して、
ボタンをクリックします。証明書のエクスポートウィザードで、
をクリックして証明書と秘密鍵をエクスポートします。次に、[ ]をクリックします。秘密鍵を保護するパスワードを入力して、
をクリックします。カードリーダーがない場合は、
を選択します。そうでない場合は、 リンクをクリックします。後でブラウザにインポートすることもできます。別のブラウザにインポートする場合は、
をクリックします。ファイルを開かないで保存する場合は、
をクリックします。[
]をクリックします。スマートカードを使用している場合は、スマートカードリーダドライバをインストールしてください。
証明書情報をスマートカードに転送するために必要なソフトウェアをインストールします。たとえば、cryptovision(cv act sc/interface)が提供するスマートカードミドルウェアソフトウェアを入手したり、製品の評価版やマニュアルをダウンロードする場合は、http://www.cryptovision.com/idmdigsig.htmlを参照してください。
メモ:cryptovisionミドルウェアソフトウェアは、バージョン3.3以上をインストールする必要があります。スマートカードに証明書情報を転送するには、管理ソフトウェアが必要です。Linux*では、cryptovisionソフトウェアはサポートされていません。
スマートカードにキーペア(証明書)をインポートする
スマートカードの代わりにブラウザ証明書サポートの使用を計画している場合は、上記の手順3~5をスキップすることができます。証明書は、iManagerまたはブラウザ証明書管理ユーザインタフェースを使ってブラウザにインポートできます。cryptovisionアプレットは、Windows上で動作するInternet ExplorerとFirefox*のみをサポートしています。
アプリケーションサーバを環境設定するには、次の手順に従ってください。
JBossを利用している場合はJBOSS_HOME/server/IDM/libディレクトリに、WebSphereを利用している場合は/IBM/WebSphere/AppServer/lib/extディレクトリに、次のJARをコピーします。
dom.jar
xmldigsig.jar
xmlsec.jar
dom.jar、xmldsig.jar、およびxmlsec.jarは、http://java.sun.comからダウンロードできます。これらのJARは、Web Services Developer Packに同梱されています。
cryptovisionの場合は、SafXVerifier.jarも必要です。 SafXVerifier.jarのダウンロードについては、http://www.cryptovision.com/idmdigsig.htmlを参照してください。
JBossに展開するには、xmlsigner.warをJBOSS_HOME/server/IDM/deployディレクトリにコピーします。
WebSphereに展開するには、WebSphere管理コンソールを使ってxmlsigner.warを展開します。
xmlsigner.warのダウンロードの詳細は、http://www.cryptovision.com/idmdigsig.htmlを参照してください。
ルート認証局およびすべての中間証明書をエクスポートし(iManagerを使用)、それをkeytoolコマンドを使ってシステムのローカル設定に指定されているキーストアにインポートします。
JBossの場合の例を次に示します。
keytool -import -trustcacerts -file certFile
certFileは、証明書ファイルへの完全修飾パスです。
WebSphereの場合の例を次に示します。
keytool -import -trustcacerts -file servercert.der -alias myserveralias -keystore trust.p12 -storetype PKCS12
Novell Certificate Serverをご利用の場合は、ルート認証局をエクスポートする必要はありません。
configupdateスクリプト(Windowsの場合configupdate.bat、Linux/Solarisの場合configupdate.sh)を実行して、ユーザアプリケーション環境設定ユーティリティを開始します。
をクリックします。
changeit」です。
で、 に証明書ファイルのパスを入力します。 フィールドに、自分のパスワードを入力します。デフォルトのパスワードは、「トラステッドキーストアには、有効なデジタル署名に使用するすべてのトラステッド署名者の証明書が含まれます。
メモ:JBossの場合、Novell Certificate Serverを使用している場合は、
の フィールドにある文字列(例:C:\Program Files\Java\jdk1.5.0_08\jre\lib\security\cacerts)を単にコピーして、それを の に貼り付けることができます。また、 をコピーして、 フィールドに貼り付けることもできます。WebSphereの場合、たとえばこの文字列は、「/opt/IBM/WebSphere/AppServer/profiles/AppSrv01/ config/cells/citgoNode01Cell/nodes/MyServerNode01/trust.p12」のようになります。
OCSPを使用している場合は、
の フィールドに、OCSPのURIを入力します。この値は、信頼されている証明書のステータスをオンラインで更新する場合に使用されます。URIは、OCSP(Online Certificate Status Protocol)サーバのアクセスポイントを示します。JBossアプリケーションサーバ設定の詳細は、メーカーが提供する次のような資料をを参照してください。
デジタル署名のログを有効にするには、ログプラットフォームエージェントを設定する必要があります。Novell AuditまたはSentinelにイベントをレポートするクライアントはすべて、プラットフォームエージェントが必要です。プラットフォームエージェントは、logevent環境設定ファイルで設定できます。このファイルでは、プラットフォームエージェントがNovell Auditサーバと通信するために必要な情報を設定します。
重要:デジタル署名を含むイベントを記録する場合、記録するデータを十分に処理できる値をLogMaxBigDataに指定する必要があります。
ログの環境設定の詳細は、セクション 3.0, ログのセットアップを参照してください。
ユーザアプリケーションのデジタル署名サポートを設定するには、ユーザアプリケーションのセクション 8.3, デジタル署名サービスの環境設定を参照してください。
タブにある ページを使用してください。詳細については、Identity ManagerのDesignerまたはiManagerを使って、プロビジョニング要求定義のデジタル署名サポートを設定することができます。デジタル署名サポートの基本要件は、Designerを使用する場合でも、iManagerを使用する場合でも同じです。
プロビジョニング要求定義でデジタル署名をサポートするように設定するには、次の事項が必要です。
プロビジョニング要求を開始するためにデジタル署名が必要かどうかを指定する。
ワークフロー内の各承認ステップでデジタル署名が必要かどうかを指定する。各承認ステップには複数の送信リンクがある場合もあるため、各リンクに対してデジタル署名が必要かどうかを指定する必要があります。
要求の開始または承認ステップの実行にデジタル署名が必要かどうかを指定したら、デジタル署名を必要とする各要求/承認ステップに対して次の事項を指定する必要があります。
表 2-2 デジタル署名設定
Designerを使ったプロビジョニング要求定義の設定方法の詳細は、『Identity Managerユーザアプリケーション:設計ガイド』を参照してください。iManagerを使ったプロビジョニング要求定義の設定方法の詳細は、セクション 17.0, プロビジョニング要求定義の設定を参照してください。