このセクションでは、NetIQ Certificate Serverのコンポーネントについて説明します。
NetIQ Certificate Serverは、PKIサーバコンポーネントとiManagerへのプラグインモジュールで構成されます。iManagerは、Certificate Serverの管理インタフェースです。
Certificate Serverでは、次のタスクを実行できます。
eDirectoryツリーと組織に固有の組織認証局を設定します。
公開鍵証明書とその関連秘密鍵を要求および管理し、eDirectoryツリーに保存します。
eDirectoryは、最大4096ビットのキーサイズをサポートします。アプリケーションでX.509認定と4096ビットRSA公開鍵を使用する場合は、アプリケーションが4096ビットRSA鍵をサポートしていないと、正しく動作しません。
TLS接続を確立するために、X.509認定と4096ビットRSA公開鍵を使用する場合は、証明書と2048ビットRSA公開鍵を使用する場合よりもパフォーマンスが低下します。
Certificate Serverでは、証明書作成手順の一環でキーサイズを選択できます。
Certificate Serverは、RSA証明書のサポートと同様に、楕円曲線デジタル署名アルゴリズム(ECDSA)の証明書とキーの使用および管理をサポートします。
RSA鍵との互換性のあるセキュリティを持つECDSA鍵ペアは、RSA鍵よりもはるかに小さく、TLS接続の確立に使用された場合にパフォーマンスを大幅に向上させます。ECDSAは、楕円曲線暗号システム(ECC)を利用します。ECCは、楕円曲線を使ってキーを生成します。この技術は、RSAやDiffie-Hellmanなどのほとんどの公開鍵暗号化方式と組み合わせて使用できます。ECCベースの署名をデジタル証明書とともに使用することには、サイズとパフォーマンスの両面でメリットがあります。
eDirectoryは、次の曲線を使用したECDSA証明書とキーをサポートします。
P-256
P-384
P-521
Suite Bモードでは、Certificate ServerはRFC 5759に準拠します。このRFCは、すべてのSuite B証明書とCRLには、ECDSAとともに、P-256かP-384のどちらかの曲線を使用して生成されたキーを使用して署名する必要があることを規定しています。
証明書にP-256曲線に基づく鍵が含まれている場合、署名するCAの鍵は、P-256またはP-384曲線に基づいていなければなりません。証明書にP-384曲線に基づく鍵が含まれている場合、署名するCAの鍵は、P-384曲線に基づいていなければなりません。証明書とCRLは、署名するCAのキーのサイズに合わせて、SHA-256またはSHA-384を使用してハッシュする必要があります。
NetIQ Certificate Serverをインストールしたら、iManagerを使用してそれを管理します。
iManagerを使用して次のタスクを実行できます。
eDirectoryツリー内に組織認証局(CA)が存在しなければ、インストール中にそれを作成することもできます。インストールの完了後に組織認証局を再度作成することもできます。
組織認証局オブジェクトには、公開鍵、秘密鍵、証明書、証明書チェーン、およびその他の組織認証局に関する設定情報が含まれています。組織認証局オブジェクトは、eDirectory内のセキュリティコンテナ内に存在します。
サーバが認証局サービスを提供するように設定された後、サーバはeDirectoryツリー全体で認証局サービスを実行します。ツリーに従属CA証明書が存在しており、サブCAをホストするサーバをeDirectory 9.0にアップグレードする場合は、ECDSA CA証明書は生成されません。管理者は、従属CAのRSA証明書と同じサブジェクト名を持つ従属CAのECDSA証明書をインポートする必要があります。CAとして機能しているサーバがeDirectory 9.0の場合は、eDirectoryが組織認証局用のECDSA証明書を作成します。組織CAにECDSA証明書が存在する場合は、eDirectoryが自動的にサーバ用のECDSA証明書を作成します。
組織認証局の作成方法については、「組織の認証局オブジェクトを作成する」を参照してください。
証明書サーバをインストールすると、デフォルトのサーバ証明書オブジェクトが作成されます。
SSL CertificateDNS - server_name
サーバ上で設定されたIPアドレスごとの証明書(IP AG xxx.xxx.xxx.xxx - server_name)
サーバ上で設定されたDNS名ごとの証明書(DNS AG www.example.com - server_name)
SSL EC CertificateDNS - server_name
サーバ上で設定されたIPアドレスごとの証明書(IP EC AG xxx.xxx.xxx.xxx - server_name)
サーバ上で設定されたDNS名ごとの証明書(DNS EC AG www.example.com - server_name)
メモ:eDirectory 9.0では、SSL CertificateIPは自動的に作成されません。SSL CertificateDNSには、[サブジェクトの代替名]にリストされているすべてのIPが含まれます。
インストールの完了後に、他のサーバ証明書オブジェクトを作成できます。
サーバ証明書オブジェクトには、公開鍵、秘密鍵、証明書、およびサーバアプリケーションに対してSSLセキュリティサービスを有効にする証明書チェーンが含まれます。サーバ証明書オブジェクトは、組織認証局と外部認証局のどちらかで署名することができます。
サーバは、多数のサーバ証明書オブジェクトをサーバに関連付けることができます。特定のサーバ上で動作している暗号化対応アプリケーションは、そのサーバのサーバ証明書オブジェクトのいずれかを使用するように設定できます。特定のサーバ上で動作している複数のアプリケーションは同じサーバ証明書オブジェクトを使用できますが、サーバ証明書オブジェクトをサーバ間で共有することはできません。
サーバ証明書オブジェクトは、サーバが存在するコンテナ内にのみ作成できます。サーバオブジェクトを移動する場合は、そのサーバに属しているすべてのサーバ証明書オブジェクトも移動する必要があります。サーバ証明書オブジェクトの名前は変更しないでください。どのサーバ証明書オブジェクトがサーバに属しているかは、サーバ証明書オブジェクト名にそのサーバの名前が含まれているかを確認することによって、あるいは、iManagerでサーバ証明書オブジェクトを表示してホストサーバを確認することによって判別できます。
サーバ証明書オブジェクトに保存されている鍵ペアは、その鍵ペアの作成時に入力された名前で参照されます。鍵ペアの名前は、サーバ証明書オブジェクトの名前ではありません。鍵ペアを使用するように暗号化対応アプリケーションを設定する場合、それらのキーは、サーバ証明書オブジェクト名ではなく、鍵ペア名で参照します。
デフォルトサーバ証明書オブジェクトが破損するか無効になった場合は、デフォルト証明書の作成ウィザードを使用してその古いデフォルト証明書を置き換えます。デフォルト証明書の作成ウィザードにアクセスする方法については、「デフォルトのサーバ証明書オブジェクトを作成する」を参照してください。
デフォルトでは、組織CAにECDSA証明書が存在する場合は、eDirectoryがECDSA証明書を作成します。
ユーザは自分のユーザ証明書と秘密鍵にアクセスして、それらを認証、データ暗号化/復号化、デジタル署名、およびセキュリティで保護された電子メールに利用できます。最も一般的な用途の1つが、S/MIME標準を使用してデジタル署名され、暗号化される電子メールの送受信です。
通常は、ユーザ証明書を作成するのに十分な権利を保有するのは、CA管理者だけです。しかし、秘密鍵をeDirectoryからエクスポートしたりダウンロードしたりする権利は、該当ユーザのみが保有します。すべてのユーザが他のユーザの公開鍵証明書をエクスポートできます。
ユーザ証明書は、ユーザのプロパティページの[セキュリティ]タブで作成され、組織認証局によって署名されます。他のCAによって作成された証明書と秘密鍵は、作成後にインポートできます。
複数の証明書をユーザのオブジェクトに保存することができます。
ユーザ証明書の作成方法については、「ユーザ証明書の作成」を参照してください。
ルート認証局は、公開鍵暗号の信頼の基盤です。ルート認証局は、他のCAによって署名された証明書の検証に使用されます。ルート認証局は、SSL、セキュリティで保護された電子メール、および証明書ベースの認証のセキュリティを有効にします。
ルート認証局コンテナは、ルート認証局オブジェクトを含むeDirectoryオブジェクトです。
デフォルトのルート認証局コンテナは、CN=trusted roots.CN=securityです。
ルート認証局コンテナの作成方法については、「ルート認証局コンテナの作成」を参照してください。
ルート認証局オブジェクトは、認証され、有効であると認められたCAのルート認証局証明書を含むeDirectoryオブジェクトです。ルート認証局証明書は、必要に応じてエクスポートして使用することができます。ルート認証局証明書を使用するように設定されたアプリケーションは、ルート認証局コンテナ内のいずれかのCAによって署名された証明書を有効と見なします。
ルート認証局オブジェクトは、ルート認証局コンテナ内に存在する必要があります。
ルート認証局オブジェクトの作成方法については、「ルート認証局オブジェクトの作成」を参照してください。
CA管理者は、組織認証局を使用して、eDirectoryの外部のユーザとサーバの証明書に署名できます。このような証明書は、帯域外の方法でCA管理者に提供されるPKCS #10証明書署名要求(CSR)を使用して要求されます。
CSRを受け取ったCA管理者は、iManagerの証明書発行ツールを使用して、証明書を発行できます。この証明書は、eDirectory内のオブジェクトに保存されません。帯域外の方法で要求元に返す必要があります。
NetIQ Certificate Serverでは、eDirectoryツリー内のすべての証明書の有効性をチェックできます。証明書検証プロセスは、証明書チェーン内の各証明書を、ルート認証局証明書までたどってチェックして、有効または無効のステータスを返します。
組織認証局の証明書の有効性をチェックするには、「組織認証局の証明書の検証」を参照してください。
サーバの証明書の有効性をチェックするには、「サーバ証明書の検証」を参照してください。
ユーザの証明書の有効性をチェックするには、「ユーザ証明書の検証」を参照してください。
ルート認証局の証明書の有効性をチェックするには、「ルート認証局オブジェクトの検証」を参照してください。
現在の時刻が証明書の有効期間内であるか、証明書が取り消されていないか、信頼されている認証局によって署名されているかなど、事前定義された一連の条件を証明書が満たすと、その証明書は有効であると見なされます。
外部認証局によって署名されたCN=trusted roots.CN=security内のユーザ証明書または中間CA証明書を検証する場合、証明書検証が成功するためには、その外部認証局の証明書がルート認証局オブジェクト内に保存されている必要があります。
証明書取り消しリスト(CRL)は、取り消された証明書とその理由の公開されたリストです。
NetIQ Certificate Serverは、CRLを管理するためのシステムを提供します。これはオプションシステムですが、組織認証局によって作成された証明書を取り消せるようにするには、このシステムを実装する必要があります。CRLの管理方法については、「セクション 25.4.7, 証明書取り消しリスト(CRL)のタスク」を参照してください。
NetIQ Certificate Serverのインストール時に、ユーザがCRLコンテナの作成に必要な権利を持っている場合は、CRLコンテナが作成されます。そうでない場合は、インストールが完了してから、適切な権利を持つユーザが手動でCRLコンテナを作成できます。
CRL設定オブジェクトは、CRLコンテナ内に作成できます。オブジェクトには、eDirectoryツリーで使用可能なCRLオブジェクトに関する設定情報が含まれています。通常、ツリーにはCRL設定オブジェクトが1つだけあります。新しい組織認証局を作成またはロールオーバする場合には、複数のCRL設定オブジェクトが必要になりますが、新しい証明書を作成するために使用できるCRL設定オブジェクトは1つだけです。
CRLオブジェクト(配布ポイントとも呼ばれます)は、eDirectoryツリー内の任意のコンテナに作成できます。ただし、NetIQ CRLオブジェクトは通常、CRLコンテナに存在します。CRL設定オブジェクトを作成すると、CRLオブジェクトが自動的に作成されます。CRLオブジェクトには、CRLの詳細情報が記載されたCRLファイルが含まれています。NetIQ CRLオブジェクトの場合、サーバが新しい証明書を発行するたびに、CRLファイルは自動的に作成および更新されます。その他のCRLオブジェクトの場合、サードパーティの認証局からCRLファイルをインポートする必要があります。組織認証局を保持するサーバをeDirectory 9.0にアップグレードするとき、アップグレードプロセスがCRL配布ポイントを自動的に作成します。また、eDirectoryでは、RSAとECDSA証明書用の別個のCRL設定オブジェクトが提供されます。
CRL設定オブジェクトは削除できますが、推奨されていません。CRL設定オブジェクトを削除すると、サーバはCRLファイルを作成しなくなります。CRLオブジェクトで指定された場所にCRLファイルがすでに存在する場合は、有効期限が切れるまで、証明書の検証でそのファイルが使用し続けられます。証明書が期限切れになると、CRL配布ポイントでその既存のCRLファイルを参照しているすべての証明書の検証が失敗します。
CRLオブジェクトを削除すると、サーバが次にCRLファイルを生成するときにCRLオブジェクトが再作成されます。iManagerを使用して作成したCRLオブジェクトを削除しそれをインポートする場合、そのオブジェクトは永続的に失われ、そのオブジェクトを参照するすべての証明書は無効と見なされます。
通常、関連する配布ポイントを含む最後の証明書の有効期限が切れてから1日経過するまで、CRLコンテナ、CRL設定オブジェクト、CRLオブジェクト、CRLファイルは削除しません。
ユーザ、サーバ、および認証局キーを作成するときに、それらをエクスポート可能としてマークできます。鍵がエクスポート可能な場合、その鍵を抽出し、関連する証明書と一緒にファイルに配置できます。ファイルは、他のプラットフォームに転送可能な業界標準の形式(PFXまたはPKCS #12)で書き込まれます。秘密鍵を保護するため、ファイルはユーザが指定したパスワードで暗号化されます。
秘密鍵と証明書をエクスポートして、鍵のバックアップコピーを取ったり、鍵を別のサーバに移動したり、またはサーバ間で鍵を共有したりできます。
秘密鍵と証明書をエクスポートする方法の詳細については、ユーザ証明書と秘密鍵のエクスポートを参照してください。
サーバ証明書、ユーザ証明書、または認証局オブジェクトの作成時に、新しい鍵を作成するのではなく鍵をインポートすることもできます。鍵とそれに関連付けられた証明書は、PFXまたはPKCS #12形式である必要があります。
認証局オブジェクトをサーバの障害から回復するため、1つのサーバから別のサーバに組織認証局を移動するため、または別の認証局に従属する認証局のために、新しい鍵を作成するのではなく、鍵をインポートすることもできます。
ユーザ証明書または秘密鍵がサードパーティ認証局によって署名されている場合でも、インポートすることができます。
サーバ証明書オブジェクトをサーバの障害から回復するため、鍵と証明書を別のサーバに移動するため、または別のサーバと鍵と証明書を共有するために、新しい鍵を作成するのではなく、鍵をインポートすることもできます。
SASサービスオブジェクトは、サーバとサーバ証明書間の通信を容易にします。サーバをeDirectoryツリーから削除する場合は、サーバに関連付けられたSASサービスオブジェクトを削除する必要があります。サーバをツリーに戻す場合は、そのサーバに属するSASサービスオブジェクトを作成する必要があります。ツリーに戻さない場合は、新しいサーバ証明書を作成することはできません。
SASサービスオブジェクトは、サーバヘルスチェックの一部として自動的に作成されます。このオブジェクトを手動で作成する必要はありません。
新しいSASサービスオブジェクトを作成できるのは、サーバオブジェクトと同じコンテナ内に、正しく名付けられたSASサービスオブジェクトが存在しない場合だけです。たとえば、「WAKE」と名付けられたサーバでは、「SASサービス- WAKE」と名付けられたSASサービスオブジェクトが作成されます。ユーティリティでは、サーバオブジェクトからSASオブジェクトまでのDSポインタ、およびSASオブジェクトからサーバオブジェクトまでのDSポインタが追加されます。また、SASサービスオブジェクト上に正しいACLエントリが設定されます。
SASサービスオブジェクトがすでに正しい名前で存在する場合、新しいSASサービスオブジェクトを作成することはできません。古いSASサービスオブジェクトのDSポインタは、誤っていたり見つからなかったりする場合があります。または、ACLが適切でない場合もあります。この場合、破損したSASサービスオブジェクトを削除し、iManagerを使用して新しいSASサービスオブジェクトを作成できます。このサーバに属するサーバ証明書がある場合、[その他]タブを使用して、サーバ証明書をSASサービスオブジェクトへ手動でリンクする必要があります。
SASサービスオブジェクトを作成する方法の詳細については、SASサービスオブジェクトの作成を参照してください。
NICI (Novell International Cryptographic Infrastructure)は、NetIQ Certificate Server、NMAS (NetIQモジュラー認証サービス)、およびその他のアプリケーションに暗号化を提供する、基盤となる暗号化インフラストラクチャです。
NetIQ Certificate Serverを正しく機能させるために、サーバにNICIをインストールする必要があります。NICIは、NetIQ Certificate Serverには付属していません。大抵、NetIQ Certificate ServerがOpen Enterprise Server (OES)やeDirectoryなどの別の製品にバンドルされる場合に、NICIの提供およびインストールが行われます。新しいバージョンのNICIを必要とする場合、NetIQダウンロードWebサイトからをダウンロードできます。