UNIX での PKI Services Manager の構成

証明書を使用してクライアントホスト認証を構成するには、Reflection PKI Services Manager をインストールし、構成する必要があります。それには次の手順を使用します。さまざまな手順が可能です。下記の各ステップの詳細については、Reflection PKI Services Manager ユーザガイドを参照してください。これは、PKI Services Manager コンソールおよび http://support.attachmate.com/manuals/pki.html から入手できます。

設定をはじめる前に、以下を行います。

  • PKI Services Manager をインストールします
  • 接続しているホストから提示される証明書を確認するのに必要な、信頼されている CA 証明書と中間証明書を入手します。
  • ホスト証明書の証明書取り消しチェックを処理する方法を決定します。PKI Services Manager が CRL リスト、OCSP レスポンダを使用する、または証明書に指定されている CRL 配布ポイントに接触するように構成することができます。

PKI Services Manager を構成するには

  1. Reflection PKI Services Manager サーバに root としてログインします。
  2. Reflection PKI Services Manager をインストールします。
  3. トラストアンカとして指定する 1 つまたは複数の証明書のコピーを証明書ストアに入れます。既定の PKI Services Manager ストアは以下の場所にあります。

    /opt/attachmate/pkid/local-store

  4. テキストエディタで PKI Services Manager 構成ファイルを開きます。既定の名前と場所は次の通りです。

    /opt/attachmate/pkid/config/pki_config

  5. TrustAnchor キーワードを使用してトラストアンカーを識別します。例:

    TrustAnchor = trustedca.crt

    または

    TrustAnchor = CN=SecureCA,O=Acme,C=US

    注意:複数のトラストアンカーを構成するには、TrustAnchor の行を追加します。

  6. 証明書取り消しチェックを構成します。例:

    対象

    サンプル構成

    LDAP サーバに格納されている CRL を使用します。

    RevocationCheckOrder = crlserver
    CRLServers=ldap://crlserver

    OCSP レスポンダを使用します。

    RevocationCheckOrder = ocsp
    OCSPResponders = http://ocspresponder

    注意:既定では、PKI Services Manager は、ローカルストアで CRL を探します。この構成を使用する場合、ローカルストアに CRL をコピーする必要があります。

  7. 証明書の信頼のチェーンで中間証明書が必要な場合は、これらの証明書へのアクセスを構成します。例:

    対象

    サンプル構成

    ローカルストアに追加した中間証明書を使用します。

    CertSearchOrder=local

    LDAP サーバに格納されている証明書を使用します。

    CertSearchOrder=certserver
    CertServers=ldap://ldapserver

  8. 変更内容を構成ファイルに保存します。
  9. テキストエディタで PKI Services Manager マップファイルを開きます。既定の名前と場所は次の通りです。

    /opt/attachmate/pkid/config/pki_mapfile

  10. どのクライアントホストが有効な証明書で認証できるかを判定するために、1 つまたは複数のルールを追加します。例えば、ホスト名が証明書の[件名]フィールドの[共通名]の値に指定されている場合にクライアントホストの接続を許可するには

    RuleType = host
      {acme.com}

  11. 有効な PKI Services Manager 構成をテストします。

    /usr/local/sbin/pkid -k

    エラーはありません。構成は有効です。

  12. Reflection PKI Services Manager を再起動します。

    /usr/local/sbin/pkid の再起動

関連項目

UNIX でのサービスの起動と停止

Reflection X Advantage を構成して PKI Services Manager に接続する

Reflection X Advantage での PKI Services Manager の使用