証明書を使用してクライアントホスト認証を構成するには、Reflection PKI Services Manager をインストールし、構成する必要があります。それには次の手順を使用します。さまざまな手順が可能です。下記の各ステップの詳細については、Reflection PKI Services Manager ユーザガイドを参照してください。 これは、PKI Services Manager コンソールおよび http://support.attachmate.com/manuals/pki.html から入手できます。
設定をはじめる前に
接続しているホストから提示される証明書を確認するのに必要な、信頼されている CA 証明書と中間証明書を入手します。
ホスト証明書の証明書取り消しチェックを処理する方法を決定します。PKI Services Manager が CRL リスト、OCSP レスポンダを使用する、または証明書に指定されている CRL 配布ポイントに接触するように構成することができます。
PKI Services Manager を構成するには
Reflection PKI Services Manager サーバに root としてログインします。
Reflection PKI Services Manager をインストールします。
トラストアンカとして指定する 1 つまたは複数の証明書のコピーを証明書ストアに入れます。既定の PKI Services Manager ストアは以下の場所にあります。
/opt/attachmate/pkid/ local-store
テキストエディタで PKI Services Manager 構成ファイルを開きます。既定の名前と場所は次の通りです。
/opt/attachmate/pkid/ config/pki_config
TrustAnchor キーワードを使用してトラストアンカーを識別します。次に例を示します。
TrustAnchor = trustedca.crt
-または-
TrustAnchor = CN=SecureCA,O=Acme,C=US
メモ:複数のトラストアンカーを構成するには、TrustAnchor の行を追加します。
証明書取り消しチェックを構成します。次に例を示します。
変更後: |
サンプル構成 |
---|---|
LDAP サーバに格納されている CRL を使用します。 |
RevocationCheckOrder = crlserver CRLServers=ldap://crlserver |
OCSP レスポンダを使用します。 |
RevocationCheckOrder = ocsp OCSPResponders = http://ocspresponder |
メモ:既定では、PKI Services Manager はローカルストアで CRL を探します。この構成を使用する場合、ローカルストアに CRL をコピーする必要があります。
証明書の信頼のチェーンで中間証明書が必要な場合は、これらの証明書へのアクセスを構成します。次に例を示します。
変更後: |
サンプル構成 |
---|---|
ローカルストアに追加した中間証明書を使用します。 |
CertSearchOrder=local |
LDAP サーバに格納されている証明書を使用します。 |
CertSearchOrder=certserver CertServers=ldap://ldapserver |
変更内容を構成ファイルに保存します。
テキストエディタで PKI Services Manager マップファイルを開きます。既定の名前と場所は次の通りです。
/opt/attachmate/pkid/ config/pki_mapfile
どのクライアントホストが有効な証明書で認証できるかを判定するために、1 つまたは複数のルールを追加します。例えば、ホスト名が証明書の[件名]フィールドの[共通名]の値に指定されている場合にクライアントホストの接続を許可するには
RuleType = host {acme.com}
有効な PKI Services Manager 構成をテストします。
/usr/local/sbin/pkid -k
No errors. Configuration is valid:
Reflection PKI Services Manager を再起動します。
/usr/local/sbin/pkid の再起動