3.2.8 LDAPディレクトリサーバとの通信におけるセキュリティ設定
LDAPディレクトリサーバとの接続のプロトコルにstartTLSを使用した通信を行う場合は,セキュリティの設定が必要です。共通コンポーネントのトラストストアーにSSLサーバ証明書をインストールする必要があります。共通コンポーネントのトラストストアーにSSL サーバ証明書をインポートするには,hcmds64keytoolコマンド(Windowsの場合)またはkeytoolコマンド(Linuxの場合)を使用します。
- ヒント
-
LDAPディレクトリサーバとの接続のプロトコルにstartTLSを使用しない場合は,この手順は不要です。
事前作業
-
インポートするSSLサーバ証明書を安全な方法で取得します。
-
インポートするSSLサーバ証明書のパスを確認します。
-
トラストストアーファイルのパスを確認します。
- Windowsの場合
-
共通コンポーネントのインストールフォルダ\conf\sec\ldapcacerts
- Linuxの場合
-
共通コンポーネントのインストールディレクトリ/conf/sec/ldapcacerts
-
トラストストアーへのアクセスパスワードを確認します。トラストストアーが既に存在する場合は,作成時に指定したパスワードを確認します。
-
インポートするSSL サーバ証明書は次の条件である必要があります。
- PEM形式またはDER形式である。
- LDAPディレクトリサーバのSSLサーバ証明書を発行した認証局から,ルート認証局までの全認証局の証明書がチェインされた状態である。
- 外部認証サーバ連携コンフィグファイルの「auth.ldap.サーバ識別名.host」に,LDAPディレクトリサーバのSSLサーバ証明書のCNと同じホスト名が指定されている。
共通コンポーネントのトラストストアーにSSLサーバ証明書をインポートする手順
コマンドを実行して共通コンポーネントのトラストストアーにSSLサーバ証明書をインポートします。インポートする手順を次に示します。
-
次のコマンドを実行します。
- Windowsの場合
-
共通コンポーネントのインストールフォルダ\bin\hcmds64keytool -import -alias エイリアス名 -file SSLサーバ証明書のパス -keystore トラストストアーファイルのパス -storepass トラストストアーへのアクセスパスワード
- Linux 6,Linux 7,SUSE Linux 12の場合
-
共通コンポーネントのインストールディレクトリ/uCPSB/jdk/bin/keytool -import -alias エイリアス名 -file SSLサーバ証明書のパス -keystore トラストストアーファイルのパス -storepass トラストストアーへのアクセスパスワード
- Linux 8の場合
-
共通コンポーネントのインストールディレクトリ/uCPSB11/jdk/bin/keytool -import -alias エイリアス名 -file SSLサーバ証明書のパス -keystore トラストストアーファイルのパス -storepass トラストストアーへのアクセスパスワード -storetype JKS
- 重要
-
hcmds64keytoolコマンドまたはkeytoolコマンドで,エイリアス名,トラストストアーファイルパス,およびトラストストアーへのアクセスパスワードを指定するときには,次の点に注意してください。
-
エイリアス名にはトラストストアー内で証明書を識別するための名称を指定します。SSLサーバ証明書が複数ある場合は,トラストストアー内で使用されていない任意のエイリアス名を指定してください。
-
トラストストアーファイルのパスには次の記号を使用しないでください。
「:」,「,」,「;」,「*」,「?」,「"」,「<」,「>」,「|」,「-」
-
トラストストアーファイルのパスは255バイト以内の文字列にしてください。
-
エイリアス名,およびトラストストアーへのアクセスパスワードには引用符(")を含めないでください。
-
-
JP1/AOサーバを再起動します。
共通コンポーネントのトラストストアーにインポートしたSSL サーバ証明書を確認する手順
- Windowsの場合
-
共通コンポーネントのインストールフォルダ\bin\hcmds64keytool -list -v -keystore トラストストアーファイルのパス -storepass トラストストアーへのアクセスパスワード
- Linux 6,Linux 7,SUSE Linux 12の場合
-
共通コンポーネントのインストールディレクトリ/uCPSB/jdk/bin/keytool -list -v -keystore トラストストアーファイルのパス -storepass トラストストアーへのアクセスパスワード
- Linux 8の場合
-
共通コンポーネントのインストールディレクトリ/uCPSB11/jdk/bin/keytool -list -v -keystore トラストストアーファイルのパス -storepass トラストストアーへのアクセスパスワード
共通コンポーネントのトラストストアーにSSLサーバ証明書を削除する手順
コマンドを実行して共通コンポーネントのトラストストアーにインポートしたSSLサーバ証明書を削除できます。削除する手順を次に示します。
-
次のコマンドを実行します。
- Windowsの場合
-
共通コンポーネントのインストールフォルダ\bin\hcmds64keytool -delete -alias エイリアス名 -keystore トラストストアーファイルのパス -storepass トラストストアーへのアクセスパスワード
- Linux 6,Linux 7,SUSE Linux 12の場合
-
共通コンポーネントのインストールディレクトリ/uCPSB/jdk/bin/keytool -delete -alias エイリアス名 -keystore トラストストアーファイルのパス -storepass トラストストアーへのアクセスパスワード
- Linux 8の場合
-
共通コンポーネントのインストールディレクトリ/uCPSB11/jdk/bin/keytool -delete -alias エイリアス名 -keystore トラストストアーファイルのパス -storepass トラストストアーへのアクセスパスワード
-
JP1/AOサーバを再起動します。