次の節では、OES 2での、OES 2およびすべてのHTTPSサービスの証明書の管理を自動化する方法について概説します。
デフォルトでは、SLES 10 SP1上のHTTPSサービスは、/etc/ssl/servercertsにある2つのファイルを使用するように設定されています。それらのファイルは、rootおよび一部の特定グループ以外は読み込めないように、保護されています。
serverkey.pem: これは、サーバの未加工の秘密鍵を含んでいます。
servercert.pem: これは、サーバの証明書を含んでいます。
Apache、OpenWBEM、およびNovell Remote ManagerのようなOES 2サービスも、これらの証明書を使用するように設定されています。
OES 2は次のように証明書管理を拡張します。
eDirectory™のインストール時は、すべてのHTTPSサービスでeDirectory証明書を使用するように設定するオプションがあります。これは、インストールするツリーのeDirectory認証局を持ち、サーバ用のキーおよび証明書を生成し、自己署名済み一時SLES証明書をeDirectory証明書と置き換えることができることを意味します。
これは、多くの会社にとり、(この章の冒頭にて説明した)セキュリティの脆弱性を排除できる効果的な機能です。
SLES 10 SP1とOES 2を同時にインストールすると、このHTTPSサービスを設定するオプションは、デフォルトで使用可能になります。既存のSLES 10 SP1サーバにOES 2をインストールする場合は、手動でこのオプションを選択する必要があります。これは、前にSLES 10サーバにインストールした可能性のある、サードパーティのキーおよび証明書の上書きを防ぐためです。
キーおよび証明書ファイルは次の場所にインストールされます。
eDirectoryキーおよび証明書を生成するコンポーネントは、Novell Certificate Server™です。
この証明書サーバは、Novell eDirectoryへネイティブに統合された公開鍵暗号化サービスを提供しています。このサーバを使って、ユーザおよびサーバの両方の証明書を作成、発行、管理し、インターネットなどの公衆通信チャネルを介した機密データ伝送を保護できます。
Novell Certificate Serverの完全な情報については、『Novell Certificate Server 3.3 Administration Guide』を参照してください。
サーバ自己供給をアクティブにすると、eDirectoryのサーバオブジェクトが、それら自身の証明書を作成します。PKIヘルスチェックに自動的にサーバの証明書を更新させる場合は、このオプションをアクティブにする必要があります。
この機能に関する詳細については、『Novell Certificate Server 3.3 Administration Guide』のX..509 Certificate Self-Provisioning
を参照してください。
PKIヘルスチェックは、サーバが開始される時に実行します。
サーバ自己プロビジョニングを使用可能にした場合は、ヘルスチェックのルーチンは、次のいずれかを検出すると、自動的にサーバ証明書を置き換えます。
証明書が存在しない。
証明書が期限切れ。
証明書が間もなく期限切れになる。
証明書のIPまたはDNS情報が、サーバの設定と合っていない。
証明書を発行した認証局(CA)が、設定された現行のCAと違う。
この機能に関する詳細については、『Novell Certificate Server 3.3 Administration Guide』のPKI Health Check
を参照してください。
組織CAは副CAとして動作するように設定可能です。これにより、複数のツリーで同一root証明書を共有できます。root証明書は、物理的に保護されたツリーに格納することができます。また、サードパーティのPKIに統合することもできます。詳細については、『Novell Certificate Server 3.3 Administration Guide』のSubordinate Certificate Authority
を参照してください。