LDAP ディレクトリを使用した中間証明書の配布

Reflection SSL/TLS 接続と Secure Shell 接続では、電子証明書 PKI (Public Key Infrastructure) の核となる構成要素です。電子証明書 (別名、X.509 証明書) は認証局 (CA) によって発行されるもので、証明書内の情報の有効性を保証します。各証明書には、証明書の所有者に関する情報、証明書の所有者の公開鍵のコピー (メッセージおよび電子署名の暗号化と解読に使用)、電子署名 (証明書の内容に基づいて認証局が生成) が含まれています。受信者はこの電子署名を使用して、証明書が不正に変更されておらず、信頼できることを確認します。 を使用したホスト認証を構成できます。Reflection 証明書マネージャの構成方法に応じて、Reflection の格納場所にある証明書のみ、または Windows および Reflection の両方の格納場所にある証明書が Reflection で使用されます。Windows の格納場所には、中間証明書と信頼されたルート証明書が保存されます。Reflection の格納場所には、信頼されたルート証明書のみが保存されます。また、LDAP サーバから中間証明書を検索するように Reflection を構成することもできます。

LDAP ディレクトリに保存されている中間証明書を検索するように Reflection を構成するには、[Reflection 証明書マネージャ] の [LDAP] タブ で LDAP サーバ (1 台または複数) を指定します。

LDAP サーバの構成

Reflection で LDAP ディレクトリ内の証明書を検索できるのは、LDAP 識別名 (DN) が証明書の件名フィールドの内容と完全に一致する場合のみです。例えば、証明書の件名フィールドに以下のオブジェクトが表示されるとします。

  • CN = Some CA

  • O = Acme

  • C = US

この場合、LDAP ディレクトリのエントリの DN は、「CN = Some CA, O=Acme, C = US」である必要があります。

この DN で識別される LDAP エントリの属性は、以下のいずれかを含む必要があります(Reflection ではこれらの属性を上から下に検索します)。

属性

OID (Object Identifier - オブジェクト識別子)

userCertificate;binary

2.5.4.36

cACertificate;binary

2.5.4.37

userCertificate

2.5.4.36

cACertificate

2.5.4.37

mosaicKMandSigCertificate

2.16.840.1.101.2.1.5.5

sdnsKMandSigCertificate

2.16.840.1.101.2.1.5.3

fortezzaKMandSigCertificate

2.16.840.1.101.2.1.5.5

crossCertificatePair;binary

2.5.4.40

crossCertificatePair

2.5.4.40