8.8 ディレクトリサービスへのSSL接続を設定する
デフォルトでは,ディレクトリサービス通信を有効にすると,NNMiは,ディレクトリサービスからデータを取得するときにLDAPプロトコルを使用します。ディレクトリサービスでSSL接続が必要な場合は,SSLプロトコルを有効にして,NNMiとディレクトリサービスの間を流れるデータを暗号化する必要があります。SSLプロトコルを有効にするときはldap.properties ファイルにjava.naming.security.protocol=sslパラメータを設定してください。
SSLでは,ディレクトリサービスホストとNNMi管理サーバーの間で信頼関係を確立する必要があります。この信頼関係を確立するには,証明書をNNMiトラストストアに追加します。証明書は,ディレクトリサービスホストの識別情報をNNMi管理サーバーに示すものです。
SSL通信用のトラストストア証明書をインストールするには,次の手順を実行します。
-
ディレクトリサーバーから会社のトラストストア証明書を取得する。
ディレクトリサービス管理者からこの証明書のテキストファイルのコピーを入手できます。
-
NNMiトラストストアが格納されているディレクトリに移動する。
-
Windows:%NNM_DATA%\shared\nnm\certificates
-
UNIX:$NNM_DATA/shared/nnm/certificates
certificatesディレクトリから,この手順のコマンドすべてを実行します。
-
-
会社のトラストストア証明書をNNMiトラストストアにインポートする。
a 次のコマンドを実行します。
- Windows
-
%NnmInstallDir%\nonOV\jdk\nnm\bin\keytool -import \
-alias nnmi_ldap -keystore nnm.truststore \
-file <Directory_Server_Certificate.txt>
- UNIX
-
$NnmInstallDir/nonOV/jdk/nnm/bin/keytool -import \
-alias nnmi_ldap -keystore nnm.truststore \
-file <Directory_Server_Certificate.txt>
<Directory_Server_Certificate.txt>は,会社のトラストストア証明書です。
(凡例)
行の最後の\は,行が続いていることを示します。
b トラストストアのパスワードの入力を求められたら,ovpassと入力します。
c 証明書の信頼を確認するメッセージが表示されたら,yと入力します。
- 証明書をトラストストアにインポートするときの出力例
-
このコマンドによる出力形式は次のとおりです。
Owner: CN=NNMi_server.example.com
Issuer: CN=NNMi_server.example.com
シリアル番号 : 494440748e5
Valid from: Tue Oct 28 10:16:21 MST 2008 until: Thu Oct 04 11:16:21 MDT 2108
Certificate fingerprints:MD5: 29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02
SHA1: C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03:7E:C4:03
Trust this certificate? [no]: y
Certificate was added to keystore
-
トラストストアの内容を確認する。
- Windows
-
%NnmInstallDir%\nonOV\jdk\nnm\bin\keytool.exe -list \
-keystore nnm.truststore
- UNIX
-
$NnmInstallDir/nonOV/jdk/nnm/bin/keytool -list \
-keystore nnm.truststore
- (凡例)
-
行の最後の\は,行が続いていることを示します。
トラストストアのパスワードの入力を求められたら,ovpassと入力します。
- トラストストアの出力例
-
トラストストアの出力形式は次のとおりです。
Keystore type: jks
Keystore provider: SUN
Your keystore contains 1 entry
nnmi_ldap, Nov 14, 2008, trustedCertEntry
,Certificate fingerprint (MD5):
29:02:D7:D7:D7:D7:29:02:29:02:29:02:29:02:29:02
トラストストアには複数の証明書を含めることができます。
-
次のコマンドを実行してNNMi を再起動する。
ovstop ovstart
keytoolコマンドの詳細については,http://www.oracle.com/technetwork/java/index.htmlで「鍵と証明書の管理ツール」を検索してください。