組織CAを別のサーバに移動する方法

This document (3618399) is provided subject to the disclaimer at the end of this document.

環境

Novell Open Enterprise Server
Novell NetWare 6.5
Novell NetWare 6.0
Novell Small Business Suite 6.0
Novell NetWare 5.1
Novell NetWare 5.0
Novell Small Business Suite 5.1
Novell Small Business Suite 5.0

問題の状況

- CA(Certificate Authority: 認証局)を保持するサーバからディレクトリサービスが削除されました。
- サーバがクラッシュし、CAが損傷または破損しました。

- ツリーから認証局を保持しているサーバを削除し、認証局を別のサーバに移動する予定です。
- この組織CAを別のサーバに移動するには何をすべきですか?

解決策

オプションI. サーバが起動して稼動中であり、認証局がCertificate Serverバージョン2.0以上で作成されたものであり、さらに、認証局サーバがまだ作動中かまたは秘密鍵と認証局からの自己署名証明書のエクスポートファイルがある場合は、現在のサーバの証明書をエクスポートして新しいサーバにインポートすることができます。この場合、証明書のエクスポートを試行できるので、認証局がCertificate Serverのどのバージョンで作成されたかを知ることは容易です。そして、自己署名証明書と秘密鍵をエクスポートするオプションがない場合は、エクスポートできないので、後で示すオプションIIの手順に従う必要があります。

次の手順を実行します。

1. iManagerの［ディレクトリ管理］役割で、［オブジェクトの変更］を選択し、ツリーの認証局オブジェクト(ツリーのトップのセキュリティコンテナの下にある)まで参照します。次に［証明書］タブを選択し、［自己署名証明書］にチェックマークを入れて［エクスポート］を選択します。

［秘密鍵のエクスポート］にチェックマークが入っていることを確認し、パスワードを入力して記憶します(パスワードなしではキーをインポートできません)。［次へ］をクリックします。

［エクスポートした証明書を保存］リンクをクリックし、ローカルコンピュータの任意の場所にエクスポートファイルを保存します。次に、ウィンドウを閉じ、認証局オブジェクトの変更を終了します。

2. 既存の認証局をツリーから削除します。これは、［ディレクトリ管理］役割の［オブジェクトの削除］タスクで実行できます。認証局オブジェクトを選択し、削除します。

3. 次に、新しい認証局オブジェクトを作成します。このためには、［Novell Certificate Server］役割の下の［認証局の設定］を選択します。次に、新しいツリーCAサーバにするサーバを参照して選択し、名前を付けます。これは任意の名前にすることができますが、当初は、デフォルトで「treename ca」と呼ばれていました。次に［作成方法］で［インポート］を選択し、［次へ］をクリックして続行します。

次に、ステップ1でエクスポートしたpfxファイルを参照して選択し、パスワードを入力して、［OK］をクリックします。

［次へ］を選択して続行します。

最後に、［完了］をクリックしてツリーCAオブジェクトの作成を完了します。

続いて［OK］をクリックしてを終了します。この作成したばかり証明書のプロパティを表示すると、元の証明局オブジェクトと同じキーと同じ有効期限の日付が示されます。

これで、別のサーバへのCAの移動は完了です。

注意: ここで、作成したばかりのエクスポートした証明書を安全な場所に保存することで、サーバのクラッシュに備えることをお勧めします。エクスポートした証明書のパスワードを保存することも忘れないでください。さもないと、障害回復時にインポートできなくなります。

オプションIIサーバは起動して稼動中ですが、認証局がCertificate Server version 2.0より前に作成されたか、またはCertificate Serverが作動中ではなく、認証局の自己署名証明書のエクスポートファイルがない場合は、現在のサーバから証明書をエクスポートして新しいサーバにインポートすることが「できません」。したがって、認証局オブジェクトを削除して再作成し、新しい認証局オブジェクトからの新しい証明書情報で、ツリー内のすべての証明書を更新する必要があります。

組織CAを別のサーバに移動する手順は次のとおりです。

1. 組織CAオブジェクトを削除します。

注意: 組織CAオブジェクトを削除しても、サーバごとに作成された証明書(Key Material Object)など、組織CAによって署名された証明書は無効になりません。それらの証明書は、期限切れまで引き続き機能します。ただし、認証局を削除して新しい認証局を作成するまでは、新しいサーバをツリーにインストールしたり、新しい証明書を発行することはできません。

2. 組織CAが署名したすべてのユーザ証明書(ユーザオブジェクトに格納されている)を削除します。

注意: ツリーにインポートされた外部CA(VeriSignなど)によって署名されたユーザ証明書は、削除する必要がありません。

3. 新しい認証局オブジェクトを作成します。このためには、iManagerの［Novell Certificate Server］役割の下で、［認証局の設定］を選択します。次に、新しいツリーCAサーバにするサーバを参照して選択し、名前を付けます。これは任意の名前にすることができますが、当初は、デフォルトで「treename ca」と呼ばれていました。次に［作成方法］で［標準］を選択したままにして、［次へ］をクリックして続行します。

要約の画面で、［完了］をクリックして認証局の作成を完了します。

続いて［OK］をクリックしてを終了します。

注意: ここで、作成した証明書のコピーをエクスポートし、安全な場所に保存することで、サーバのクラッシュに備えることをお勧めしますエクスポートした証明書のパスワードを保存することも忘れないでください。さもないと、障害回復時にインポートできなくなります。オプションIの手順に従って、証明書をエクスポートします。

次に、ツリー内の各サーバに関連付けられている証明書を更新する必要があります。このためには、PKIDIAGまたはそれに相当するプログラムをサーバごとに実行し、サーバを再起動します。

注意: PKIDIAGは、SSL Certificate DNSの証明書情報とご使用のサーバに関連付けられているSSL Certificate IPオブジェクトを更新します。サーバのIP AG 証明書(サーバのインストール時にデフォルトで作成)は更新されません。その証明書は作成されますが、全く使用されないので（デフォルト）、単に削除することができます。手動で作成したか、またはNovell Identity Manager eDirectory Driver Certificate Wizardなどにより、他の目的で作成した他の証明書も更新されません。それらの証明書は、新しく作成した認証局オブジェクトから新しい証明書情報を取得する必要に応じて、削除して再作成する必要があります。

注意: VeriSignなどの外部CAによって署名されたサーバ証明書は、引き続き有効であり、置き換える必要はありません。

ここで、PKIDIAGの実行に戻ります。これは、サーバコンソールでPKIDIAGコマンドを発行することにより実行します。PKIDIAGは、パッチ済みの各NetWare 6.5サーバにあるか、または「http://support.novell.com/patches.html」からpkidagを検索してダウンロードできます。

いったんPKIDIAGをロードすると、ログインを促され、フルコンテキストのadminユーザ名とパスワードを入力する必要があります。

PKIDiagユーティリティでは、オプション4、5、および6(既存のKMOオブジェクトを修正するためのスイッチ)を選択します。次のような画面が表示されます。

処理を実行するには、0(ゼロ)を選択します。

いくつかの情報の表示後、次のような要約が表示されます。

検出された修正可能な問題: 2

修正された問題: 2

検出された修正不能な問題: 0

次に、サーバを再起動して、LDAP、TOMCAT、APACHEなどのサービスでこれらの証明書を使用できるようにする必要があります。

注意: 一部のサービス(Tomcatなど)では、現在の証明書をアプリケーションにインポートするように要求される場合があります。このためには、Tomcatにはtckeygen.ncfを使用できます。他のサービスには追加手順が必要なことがあります。

作成済みのカスタム証明書を削除して再作成し、それらをSSL Certificate DNS証明書とSSL Certificate IP証明書に加えて使用します。

PKIDIAGと同じ機能を果たすLinuxコマンドは、「ndsconfig upgrade」であり、ルートとして実行できます。

WindowsのeDirectoryには、対応するユーティリティはありません。Windowsサーバの証明書は、削除して再作成する必要があります。

5. 組織CAの証明書を信頼済みルートとしてブラウザにインポートしたすべてのユーザに、その証明書を削除するように指示します。その証明書を新しい組織CAの自己署名証明書で置き換えます。

6. 証明書を使用するすべてのサービスがステップ5で作成した新しい証明書を使用するように設定します。そのようなサービスでもっとも一般的なものは、LDAP、ポータルサーバ、Webサーバ、ボーダサーバです。ただし、対象になるサービスは他にもあります。SSL Certificate DNSおよびSSL Certificate IPは、単に鍵更新されるだけで、NetWareやLinuxサーバ上で削除されて再作成されることはないないので、これらの証明書を使用するサービスは影響を受けません。ただし、証明書を削除して再作成する必要がある場合は、サービスが影響を受け、サービスを証明書に再リンクする必要があることがあります、

7. 必要に応じてユーザ証明書を再作成します。

追加情報

*注意:* 組織CAの秘密鍵は、NICI提供のサーバ固有キーで暗号化されます。サーバ固有キーは、キーを作成したサーバにしか知られず、他のサーバと共有できません。したがって、サーバ固有キーでCAの秘密鍵を暗号化すると、1つのサーバだけがCAとして機能できます。また、サーバからサーバへのCAの移動が困難になります。
*注意:* 現在、CAの秘密鍵をサーバからサーバに移動できるユーティリティはありません。別のサーバへの組織CAの移動については、セクション全体を読んでから、手順を実行してください。

旧TID番号:10060118

Disclaimer

この情報は、米国Novell, Inc.およびノベル株式会社の内外から発生したものです。本文書の内容または本文書を使用した結果について、いかなる保証、表明または約束も行っていません。また、本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。

本文書に記載されている会社名、製品名はそれぞれ各社の商品、商標または登録商標です。