12.11.3 証明書の配置
通信暗号化機能で使用する証明書の配置について説明します。
- 〈この項の構成〉
(1) マネージャーホストとビューアーホスト間の暗号化
マネージャーホストとビューアーホスト間の暗号化で必要な証明書を次に示します。
-
マネージャーホストで必要な証明書
-
マネージャーホストのサーバ証明書
-
マネージャーホストのサーバ証明書に対応するルート証明書
-
中間CA(認証局)がある場合は,マネージャーホストのサーバ証明書を発行した中間CA(認証局)の中間証明書
-
-
ビューアーホストで必要な証明書
-
マネージャーホストのサーバ証明書に対応するルート証明書
-
「図12-28 マネージャーとビューアー間の暗号化通信で必要な証明書」に加えて,jcochstatコマンドの-hオプションで他ホストのマネージャーの対処状況を変更するために必要な証明書を次の図に示します。
-
マネージャーホストで必要な証明書
-
マネージャーホストのサーバ証明書
-
マネージャーホストのサーバ証明書に対応するルート証明書
-
中間CA(認証局)がある場合は,マネージャーホストのサーバ証明書を発行した中間CA(認証局)の中間証明書
-
他マネージャーホストの,サーバ証明書に対応するルート証明書
-
-
他マネージャーホストで必要な証明書
-
他マネージャーホストのサーバ証明書
-
他マネージャーホストのサーバ証明書に対応するルート証明書
-
他マネージャーホストのサーバ証明書を発行した中間CA(認証局)の中間証明書(中間CA(認証局)がある場合)
-
(2) マネージャーホストと認証サーバ間の暗号化
マネージャーホストと認証サーバ間の暗号化で,必要な証明書を次に示します。なお,認証サーバの通信暗号化(SSL通信)については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
マネージャーホストで必要な証明書
-
マネージャーホストのサーバ証明書※
-
マネージャーホストのサーバ証明書に対応するルート証明書※
-
中間CA(認証局)がある場合は,マネージャーホストのサーバ証明書を発行した中間CA(認証局)の中間証明書※
-
マネージャーホストの使用するJP1/Base(認証サーバ)のサーバ証明書に対応するルート証明書
注※ マネージャーホストとビューアーホスト間で暗号化通信をしない場合は不要です。マネージャーホストとビューアーホスト間の暗号化については「12.11.3(1) マネージャーホストとビューアーホスト間の暗号化」を参照してください。
-
-
認証サーバで必要な証明書
-
認証サーバのサーバ証明書
-
認証サーバのサーバ証明書に対応するルート証明書
-
中間CA(認証局)がある場合は,認証サーバのサーバ証明書を発行した中間CA(認証局)の中間証明書
-
(3) 上位マネージャーでIM構成管理を使用する場合
階層構成(IM構成)で,上位マネージャーでIM構成管理機能を使用し,かつ下位マネージャーで通信暗号化機能を使用する場合,上位マネージャーホストに下位マネージャーホストのルート証明書を配置します。
IM構成管理の機能については,「6. IM構成管理によるシステムの階層構成の管理」を参照してください。
-
上位マネージャーホストで必要な証明書
-
上位マネージャーホストのサーバ証明書※
-
上位マネージャーホストのサーバ証明書に対応するルート証明書※
-
中間CA(認証局)がある場合は,上位マネージャーホストのサーバ証明書を発行した中間CA(認証局)の中間証明書※
-
下位マネージャーホストのサーバ証明書に対応するルート証明書
注※ 上位マネージャーホストとビューアーホスト間で暗号化通信をしない場合は不要です。マネージャーホストとビューアーホスト間の暗号化については「12.11.3(1) マネージャーホストとビューアーホスト間の暗号化」を参照してください。
-
-
下位マネージャーホストで必要な証明書
-
下位マネージャーホストのサーバ証明書
-
下位マネージャーホストのサーバ証明書に対応するルート証明書
-
中間CA(認証局)がある場合は,下位マネージャーホストのサーバ証明書を発行した中間CA(認証局)の中間証明書
-
(4) ルート証明書の配置の詳細
通信暗号化機能では,クライアントに配置したルート証明書を更新・削除するため,ルート証明書がどのサーバに対応するルート証明書か意識してクライアントに配置する必要があります。
暗号化通信のクライアントとなるホストはビューアーホスト,マネージャーホストです。
複数のルート証明書をマネージャーホストに配置する場合は,ルート証明書を結合して一つのファイルにする必要があります。
複数のルート証明書をビューアーホストに配置する場合は,ルート証明書を結合して一つのファイルにする必要はありません。
ルート証明書の更新・削除の主な契機を次に示します。
-
認証局によってルート証明書が変更された場合
-
ルート証明書に対応するサーバ証明書を使用するホストで通信暗号化機能の使用をやめるなど,ルート証明書に対応するサーバがなくなる場合
次に,ルート証明書の配置の詳細について,ビューアーホスト(クライアント)とマネージャーホスト(サーバ)を例にして説明します。
-
1台のビューアーホストから1台のマネージャーホストに接続する構成
マネージャーホストが1台のため,ビューアーホストに配置するルート証明書は1枚です。
-
ビューアーホストと統合マネージャーホストの通信を暗号化する構成
- 統合マネージャーは通信暗号化機能が有効で,拠点マネージャーおよび中継マネージャーを階層構成とする場合の構成を次の図に示します。
-
図12‒32 ビューアーホストのルート証明書配置の構成(例1)
-
-
1台のビューアーホストから複数のマネージャーホストに接続する構成で各マネージャーホストのサーバ証明書に対応するルート証明書が異なる場合
各マネージャーホストに対応するルート証明書をビューアーホストに配置します。そのため,ビューアーホストに配置するルート証明書は,マネージャーホストの台数分の枚数です。
-
ビューアーホストと統合マネージャーホスト,および拠点マネージャーホストの通信を暗号化する構成
- 統合マネージャーの通信暗号化機能が有効,拠点マネージャーの通信暗号化機能が有効,統合・拠点マネージャーのサーバ証明書に対応するルート証明書が異なる場合,1台のビューアーホストで複数のマネージャーホストを監視する構成を次の図に示します。統合マネージャーは,拠点マネージャーおよび中継マネージャーを階層構成とします。
-
図12‒33 ビューアーホストのルート証明書配置の構成(例2)
-
-
1台のビューアーホストから複数のマネージャーホストに接続する構成で各マネージャーホストのサーバ証明書に対応するルート証明書が同じ場合
各マネージャーホストに対応するルート証明書が同じため,ビューアーホストに配置するルート証明書は1枚です。また,同じルート証明書を異なるファイル名で配置することで,マネージャーホストとルート証明書の対応を1対1にできます。1対1にすることでルート証明書を削除する際に,マネージャーホストに対応するルート証明書がどれか明確になります。1枚のルート証明書が複数のマネージャーホストに対応するルート証明書を削除する場合は,対応するマネージャーホストがないことを確認します。
-
ビューアーホストと統合マネージャーホストの通信,およびビューアーホストと拠点マネージャーホストの通信を暗号化する構成
統合,および拠点マネージャーのサーバ証明書に対応するルート認証書が同じであるため,JP1/IM - Viewに配置するルート証明書は統合,および拠点マネージャーで同一のルート証明書となります。
- 統合マネージャーの通信暗号化機能が有効,拠点マネージャーの通信暗号化機能が有効,統合・拠点マネージャーのサーバ証明書に対応するルート証明書が同じ場合,1台のビューアーホストで複数のマネージャーホストを監視する構成を次の図に示します。統合マネージャーは,拠点マネージャーおよび中継マネージャーを階層構成とします。
-
図12‒34 ビューアーホストのルート証明書配置の構成(例3)
-