I.11 NetIQ公開鍵インフラストラクチャサービスのトラブルシューティング

PKI操作が機能しない

iManagerでPKI操作が機能しない場合、NetIQ PKIサービスがLinuxで実行されていないことが考えられます。「npki - 1」と入力してPKIサービスを開始してください。

証明書を作成できない場合は、NICIモジュールが正しくインストールされているか確認する必要があります。『NetIQ eDirectory管理ガイド』の「サーバ上のNICIモジュールを初期化する」を参照してください。NICIがインストールされているかどうかを確認するには、『NetIQ eDirectory管理ガイド』の「サーバ上にNICIがインストールおよび初期化されているかどうかを確認する」を参照してください。

重要なレプリカというエラーコードが表示され、既存のeDirectoryオブジェクトの別のサーバへの移動が失敗した後に、マルチサーバツリー内でツリーキーサーバとして機能しているeDirectoryサーバの削除。

この操作を完了するには、[セキュリティコンテナ]>[KAP]以下にあるW0オブジェクトで、キーサーバDN属性をこのサーバからツリーキーをダウンロードしたツリー内にある別のサーバに変更します。

  1. NetIQ iManagerで、[役割およびタスク]ボタン [役割およびタスク]ボタン をクリックします。

  2. eDirectory管理]>[オブジェクトの変更]の順にクリックします。

  3. W0オブジェクト名およびコンテキスト(通常は、W0.KAP.Security)を指定して、[OK]をクリックします。

  4. 値がある属性]カラムで、[NDSPKI:SDキーサーバDN]を選択してから、[編集]をクリックします。

  5. セキュリティドメインキーサーバのDN]フィールドで別のサーバの名前とコンテキストを指定してから、[OK]をクリックします。

  6. 適用]をクリックし、[OK]をクリックします。

CAを保持しているeDirectoryサーバのアンインストール中に、サーバに作成されたKMOがツリー内の別のサーバに移動されて無効になる

この場合、ツリーのCAおよびKMOをもう一度作成する必要があります。詳細については、『NetIQ eDirectory管理ガイド』の「組織の認証局オブジェクトを作成する」および「サーバ証明書オブジェクトを作成する」を参照してください。

ツリーの認証局を保持するeDirectoryは、アンインストールしないことをお勧めします。

PKIDiagの使用

PKIDiagは、Certificate Serverオブジェクトを診断および修復するために設計されたユーティリティです。PKIDiagを使用すると、次のような処理を行うことができます。

  • サーバが移動された場合に、サーバ関連オブジェクトが正しい名前になっていて包含スキームに一致するように、それらのオブジェクトを名前変更または移動する。

  • 必要なオブジェクトが存在しない場合に、それらのオブジェクトを作成する。

  • オブジェクト間で必要な権限を付与する。

  • オブジェクトがリンクされていない場合にリンクする。

  • SSL CertificateIP証明書およびSSL CertificateDNS証明書が存在しない場合に、それらを作成する。

  • SSL CertificateIP証明書およびSSL CertificateDNS証明書が期限切れになっている場合、期限切れが近づいている場合、または名前が正しくない場合に、それらを修復する。

PKIDiag機能は、iManagerのサーバ自動ヘルスチェックおよびデフォルト証明書の作成タスクという他の2つのプロセスで使用されます。

サーバ自動ヘルスチェックは、サーバが再起動された場合、またはDSREPAIRが実行された場合に必ず実行されます。デフォルト証明書の作成は、Certificate Serverのインストール時に作成されたデフォルト証明書を置き換える場合に使用する処理です。詳細については、デフォルトのサーバ証明書オブジェクトを作成するを参照してください。

PKIDiagとその使用方法の詳細については、TID #3640106を参照してください。

サーバが同期するのを待機中

ユーザ証明書が作成された後、クライアントが新しい証明書を組み込むビューを更新できないことがあります。「サーバが同期するのを待機中」というメッセージが示されたダイアログボックスが表示されます。この時点で、ユーザ証明書の作成は完了していますが、その作成に関わったサーバの同期はまだ完了していません。このダイアログボックスは、ユーザの証明書の作成に影響を与えずに閉じることができます。

証明書のニックネーム再利用のエラー

ユーザ証明書の作成中にエラーが発生する場合は、その証明書に別のニックネームの使用を試みてください。指定したニックネームは、再利用できない可能性があります。

ユーザの秘密鍵のエクスポートで-1426エラー

ユーザオブジェクトが存在するパーティションのレプリカを保持するサーバはすべて、同じレベルの暗号化(米国向け/全世界向けNICI、または制限付きNICIをインポート)が必要です。各サーバで同じレベルの暗号化を保持していない場合、キーサイズが大きすぎると、ユーザの秘密鍵をエクスポートする際に、-1426エラーが表示される場合があります。

-1426エラーの発生後にユーザの秘密鍵をエクスポートするには、パーティションのレプリカを保持するサーバの暗号化をアップグレードするか、エクスポート可能な暗号化を保持するサーバからレプリカを削除する必要があります。

サーバが有効期限切れのSSL CertificateIP証明書を使用している

eDirectory 9.0では、SSL CertificateIP証明書はサポートされません。以前のバージョンからeDirectory 9.0にアップグレードする場合、SSL CertificateIP証明書はサーバに関連付けられたままになります。環境内の証明書の有効期限が切れた場合、SSL CertificateIP証明書は自動的には更新されません。

eDirectory 9.0にアップグレードした後ならいつでも、SSL CertificateIP証明書の代わりに、SSL CertificateDNS証明書の使用を開始できます。

外部認証局

VeriSignなどの一部のサードパーティの認証局では、サーバ証明書の署名に中間認証局を使用しています。これらの証明書をサーバ証明書オブジェクトにインポートするには、サーバ証明書とともに中間認証局とルート認証局証明書が、単一のPKCS #7形式のファイル(.P7B)内に含まれている必要があります。ご使用の認証局でこのファイルを提供できない場合は、Internet Explorer 5.5以降がインストールされたクライアントマシン上で次の手順を実行して、このファイルを作成できます。

  1. サーバ証明書をInternet Explorerにインポートします。このインポートをするには、ファイルをダブルクリックするか、[ファイル]>[開く]を選択してから、そのファイル名を選択します。

  2. Internet Explorerで、この外部認証局の証明書が信頼された証明機関としてリストされていない場合、中間認証局とルートレベル認証局を同じ方法でインポートします。

  3. Internet Explorerで、[ツール]>[インターネットオプション]の順に選択します。[コンテンツ]タブを選択してから、[証明書]ボタンを選択します。

  4. 個人]タブで、対象のサーバ証明書を探します。そのサーバ証明書を選択して、[エクスポート]をクリックします。

  5. ウィザードで[エクスポート ファイルの形式]ページが表示されるまでデフォルトを受け入れてから、このページで[Cryptographic Message Syntax Standard - PKCS #7証明書 (.p7b)]形式を選択します。

  6. ウィザードを続行します。

    これで、PKCS #7ファイルをサーバ証明書オブジェクトにインポートできるようになります。

サーバの移動

サーバオブジェクトを移動する場合、そのサーバのLDAPオブジェクト、SASサービスオブジェクト、およびサーバ証明書オブジェクト(暗号化キーオブジェクト)も移動する必要があります。しかし、その次にそのサーバを再起動する際に、サーバ自動ヘルスチェック機能によって各オブジェクトは移動されます。

DNSサポート

サーバにDNSが設定されている場合、サーバ証明書のデフォルトのサブジェクト名は、次のようになります。

.CN=<サーバのDNS名>.O=<ツリー名>

サーバにDNSが設定されていない場合、デフォルトのサブジェクト名はサーバの完全識別名です。デフォルトのサブジェクト名を変更するには、証明書の作成処理中に[カスタム]を選択します。

eDirectoryからサーバを削除する

eDirectory™からサーバを削除し、その後同じ名前の同じコンテキストにそのサーバを再インストールする場合に、削除するサーバを表すSASサービスオブジェクトが存在するときは、そのオブジェクトも削除した場合にのみ、そのサーバの再インストールが正常に実行されます。

このプロセスは、次のように実行する必要があります。

  1. デフォルトの証明書をバックアップする必要があるかどうかを判断します。バックアップする場合、それらをバックアップします。

  2. デフォルトの証明書を削除します。

  3. SASオブジェクトを削除します。

たとえば、MYSERVERという名前のサーバの場合、SAS Service - MYSERVERという名前のSASオブジェクトがサーバと同じコンテナに存在する可能性があります。サーバをツリーから削除した後で、サーバをツリーに再インストールする前に、このSASオブジェクトを(iManagerを使用して)手動で削除する必要があります。

サーバが組織の認証局またはSDキーサーバの場合、さらにいくつかの手順を実行する必要があります。これらの手順は、「TID #3623407」に記載されています。

このサーバ用に作成されたデフォルトのサーバ証明書も削除する必要があります。これは、サーバが再度挿入されたときにそれらのサーバ証明書が再作成されるようにするためです。

これらの証明書は、「SSL Certificate IP - MYSERVER」および「SSL Certificate DNS - MYSERVER」です。これらの証明書を削除する際は、注意する必要があります。データがこれらの証明書のいずれかを使用して暗号化されていた場合は、証明書を削除する前にデータを取得する必要があります。

認証局のサブジェクト名の制限事項

サブジェクト名に@文字が含まれたサーバ証明書が原因で、SSL接続が失敗する場合があります。この問題の解決方法については、テクニカルサポートに問い合わせてください。

証明書の検証の速度

証明書の検証プロセスには、証明書のデータだけでなく、証明書チェーン内のデータに対する複数のチェックが含まれます。証明書チェーンは、ルート認証局証明書と、必要に応じて1つ以上の中間認証局の証明書からなります。

証明書とその関連付けられた証明書チェーン内の情報を検証することは、時間のかかる処理ではありません。ただし、次の場合、検証にかかる時間が長くなることがあります。

  • 証明書が外部認証局によって署名されていた場合、1つ以上の証明書にCRL配布ポイント拡張が含まれています。

    この証明書を検証するには、チェーン内の該当する証明書ごとのCRLを取得する必要があります。この後、CRLを検査して、証明書が取り消されたかどうかを調べる必要があります。

    CRLが多い場合、またはCRL配布ポイントを運用しているサーバがビジー状態の場合、証明書の検証にしばらく時間がかかる場合があります。次のことを1つ以上を行って、必要な時間を短縮できます。

    • 証明書の取り消しステータスを確認するために使用する接続の速度をアップグレードします。

    • 認証局プロバイダに問い合わせます。

  • 1つ以上の証明書にOCSP AIA拡張がある場合。OCSPレスポンダがビジー状態のときは、検証にかなりの時間がかかることがあります。

  • ユーザ証明書を検証している場合。

    サーバ証明書の場合、証明書チェーン全体がサーバ証明書とともに暗号化キーオブジェクトに保存されます。このため、サーバ証明書が検証済みの場合は、クライアントは1つのオブジェクトを読み込むだけで、必要な証明書すべてを入手できます。ただし、ユーザ証明書は異なる方法で保存されます。ユーザ証明書自体だけがユーザオブジェクトに保存されます。このため、クライアントはユーザ証明書を検証するために、セキュリティコンテナ内に格納されている他のオブジェクトから証明書チェーンを取得する必要があります。

    組織の認証局によって署名されたユーザ証明書を検証するには、クライアントは認証局の証明書を取得するために組織の認証局のオブジェクトを読み込む必要があります。外部認証局によって署名されたユーザ証明書を検証するには、クライアントはユーザ証明書に一致する証明書チェーンを作成するために、セキュリティコンテナ内のルート認証局コンテナを読み込む必要があります。後者の場合、ユーザ証明書の検証が成功するように、管理者が外部認証局の証明書をルート認証局コンテナにインポート済みである必要があります。

    信頼されなくなった有効期限切れの証明書をルート認証局コンテナから削除することで、ユーザ証明書の検証に要する時間を短縮することができます。

組織の認証局削除後の証明書検証

組織の認証局を削除する(バックアップと復元手順の実行中以外)場合、自己署名証明書をエクスポートして、ルート認証局コンテナ内に新しいルート認証局を作成する必要があります。新しいルート認証局を作成しなかった場合、これらの証明書を検証する際に次の動作が発生します。

  • 削除した認証局によって署名されたユーザ証明書が無効になる。これは、ユーザ証明書に署名した認証局の証明書が組織の認証局オブジェクトまたはルート認証局コンテナ内で見つからないためです。これらのユーザ証明書を有効なままにしたい場合は、以前に削除した認証局の自己署名証明書をルート認証局コンテナに追加する必要があります。

  • 削除した認証局によって署名されたサーバ証明書は、引き続き有効である。これは、削除した認証局の証明書がサーバ証明書とともに暗号化キーオブジェクトに格納されるためです。

    鍵の暗号漏洩、またはなんらかのセキュリティ違反(抜け穴)のために、組織の認証局を削除する場合、削除した認証局によって署名されたすべてのユーザ証明書およびサーバ証明書をただちに取り消す必要があります。それらの証明書を取り消すことができない場合は、それらを削除して、それぞれの所定の場所に新しい証明書を作成します。また、この組織の認証局の証明書をブラウザにインポートした可能性のあるすべてのユーザに対して、その証明書を削除するように指示する必要もあります。

セキュリティコンテナの名前変更

セキュリティコンテナの名前を変更することはできません。