10.4 JKSリポジトリを使った証明書の使用
NNMi 11-50より前のバージョンでは,NNMiは証明書を保存するためにJava KeyStore (JKS) リポジトリを提供していました。NNMi 11-50以降のバージョンでは,証明書を保存するためにPublic Key Cryptography Standards (PKCS) #12リポジトリが導入されています。NNMi 11-50以降の新しいインスタンスをシステムにインストールすると,新しいPKCS #12ファイルベースの証明書管理方法を利用できます。
ただし,古いバージョンのNNMiをバージョン11-50以降にアップグレードした場合,PKCS #12ファイルベースの証明書管理はすぐには利用できず,NNMiでは証明書管理にJKSリポジトリが引き続き使用されます。
証明書の古いJKSリポジトリは,必要に応じて引き続き使用できます。このセクションでは,証明書のJKSリポジトリを引き続き使用する場合に証明書を使用する方法について説明します。
-
NNMiの新しいインスタンスをインストール済みである場合
-
NNMiを古いバージョンからアップグレードしたが,「10.2 アップグレードされたNNMi環境で新しいキーストアーを使用するための設定」で説明されている手順を実行した場合
|
コンセプト |
説明 |
|---|---|
|
キーストアーとトラストストアー |
トラストストアー:NNMiトラストストアーは,NNMiが信頼するソースから取得した公開キーを格納するnnm.truststoreファイルです。 キーストアー:NNMiキーストアーは,NNMiサーバーのプライベートキーをインポートするnnm.keystoreファイルです。 nnm.truststoreファイルとnnm.keystoreファイルは,次の場所に格納されています。
|
|
デフォルトの NNMi 証明書 |
NNMi は,デフォルトのプロパティを使用して生成される自己署名証明書とともにインストールされます。このデフォルトの証明書は,別の自己署名証明書または CA 署名の証明書に置き換えることができます。 |
|
ツール |
Java の Keytool ユーティリティを使用して証明書を生成および管理します。 NNMi には,証明書をマージして NNMi システムでの信頼性を確立する nnmmergecert.ovpl ユーティリティも付属しています。このプログラムは,高可用性,フェイルオーバー,およびグローバルネットワーク環境のセットアップで使用します。 |
|
サポートされる暗号化アルゴリズム |
NNMi は, RSA アルゴリズムを使用して生成された証明書を受け入れます。 DSA アルゴリズムはサポートされません。 |
|
自己署名証明書 |
自己署名証明書は,一般にサーバーと既知のクライアントグループ間にセキュア通信を確立するために使用します。 NNMi は,デフォルトのプロパティを使用して生成される自己署名証明書とともにインストールされます。 注:自己署名証明書を使用するように設定されている NNMi インスタンスは,ユーザーが Web ブラウザーで NNMi Web コンソールへのアクセスを試みると警告メッセージを表示します。 |
|
CA 署名証明書 |
証明書署名要求に対する応答として受け取る署名付きサーバー証明書には, CA 署名付きの NNMi 証明書と,1 つ以上の CA 証明書が含まれます(1 つ以上の CA 証明書が存在する場合は証明書チェーンとも呼びます)。 注:これらの証明書は1つのファイルに入っていることもあれば,2つの別々のファイルに入っていることもあります。 |
|
ルート署名証明書 |
サーバーおよびユーザーの証明書の署名について信頼できる認証機関を示します。 |
|
中間 CA 証明書 |
サーバーまたはユーザーではなく,ルート CA または中間 CA(それ自体が署名機関)のどちらかで署名される証明書です。 注:中間 CA 証明書を含め,NNMi サーバー証明書からルート CA 証明書までの証明書のリストは,証明書チェーンと呼ばれます。 |