ZfD Management AgentからZfD Middle Tier Serverへの認証は、チャレンジ/レスポンス方式で行われます。ZfD Middle Tier Serverは、エージェントに認証のチャレンジを行うとき、X.509の証明書を送信します。エージェントが証明書の完全性と信頼性を検証し、機密情報はパブリックキー/プライベートキーとセッションキーによる暗号化を使用して交換されます。
インストール時に、ZfD Middle Tier ServerにはNetIdentityの証明書がインストールされます。NetWareでは、この証明書にサーバが属しているツリーの認証局(CA)の署名が入っています。Windows 2000では、この証明書は自己署名付きの仮の証明書です。これらの証明書は、暗号として有効でも、信頼されるルート認証局の署名がないため、制御された環境以外では信頼されません。デフォルトでは、ZfD Management Agentのインストールはこのような自己署名付き証明書を受け入れますが、これは環境設定可能なインストールパラメータです。制御されたネットワーク以外に配置する場合、ZfD Middle Tier Serverには信頼されるルート認証局が署名した証明書を設定する必要があります。また、信用性を厳密に検証するように環境設定することも重要です。
サーバに対する有効なSSL証明書(つまり、信頼されるルート認証局の署名がある証明書)がすでに存在している場合、NetIdentityの認証処理は同じ証明書を使用できます。
サーバがNetWareサーバである場合は、SSL証明書のキーペア名(ConsoleOneに表示される証明書オブジェクトの名前)を記録してください。Windows 2000サーバの場合は、証明書のフレンドリ名を記録してください。
ブラウザを使用して、ZfD Middle Tier Serverの[NSAdmin]ページ(http://ip-address/oneNet/nsadmin)を表示します。
[General configuration]ページで、[Certificate Name]にステップ 1で記録した名前を設定します。
変更内容を送信します。
ZfD Middle Tier Serverを再起動します。
サーバに対する有効なSSL証明書が存在していない場合は、サーバに対する有効なX.509証明書(つまり、信頼されるルート認証局の署名がある証明書)を設定する必要があります。
信頼されるルート認証局の署名がある証明書を取得します。証明書署名要求の生成とZfD Middle Tier ServerへのルートCAのインストールの該当するプラットフォームの説明に従って操作してください。
キーペア名またはフレンドリ名(プラットフォームによる)が「NetIdentity」でない場合は、ZfD Middle Tier Serverに適切な名前を設定します。上のステップ 1からステップ 4を参照してください。
ZfD Middle Tier Serverを再起動します。
注: いずれの場合も、証明書に信頼されるルートCAのリストに含まれないCAの署名がある場合は、CAの自己署名付き証明書を各ワークステーションにインポートする必要があります。詳細については、Windowsワークステーションへの証明書のインストールを参照してください。
信頼されるルートCAの署名がある証明書がZfD Middle Tier Serverに設定されていると、NetIdentityの証明書を厳密に検証するようにZfD Management Agentを設定できます。次のレジストリキーの設定を変更します。
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity
"Strict Trust"= dword:0x00000001
デフォルトでは、Strict Trustの値は0 (ゼロ)に設定されています。値が存在しないか、値が0x0 (ゼロ)に設定されていると、すべての証明書の受け入れが許可されます。値を0x1に設定すると、信用性が完全に検証できない証明書を拒否するようにZfD Management Agentが構成されます。