NetIQ Certificate Serverをインストールした後、次のタスクを実行して、ネットワーク上で使用できるように設定する必要があります。
NetIQ Certificate Serverでは、サーバとエンドユーザの両方の証明書を作成できます。組織認証局または外部(サードパーティ)認証局のいずれかによって、サーバ証明書に署名できます。ユーザ証明書への署名は組織認証局でしかできませんが、PKCS #12形式でサードパーティ認証局によって署名されたユーザ証明書をインポートすることもできます。
サーバ証明書オブジェクトの作成プロセス中に、サーバ証明書オブジェクトに署名する認証局のタイプを尋ねられます。
組織認証局は組織固有のものであり、署名操作には組織固有の公開鍵を使用します。秘密鍵は、組織認証局を作成するときに作成されます。
サードパーティ認証局は、eDirectoryツリーの外部でサードパーティによって管理されます。サードパーティ認証局の例として、VeriSignがあります。
認証局の両方のタイプを同時に使用できます。認証局の1つのタイプを使用しても、もう一方を使用できなくなることはありません。
互換性。 組織認証局は、LDAPサービスなどのNetIQやNovellのアプリケーションと互換性があります。組織認証局によって発行される証明書は、X.509 v3に準拠しており、サードパーティ製のアプリケーションでも使用できます。
認証局のコスト削減。 組織認証局では、コストをかけずにいくらでも公開鍵証明書を作成できます。外部の認証局で単一の公開鍵証明書を取得しようとすると、かなりの費用がかかる可能性があります。
すべて揃った互換性のあるソリューションのコンポーネント。 組織認証局を使用すると、どんな外部サービスにも依存せずに、eDirectoryに組み込まれた完全な暗号化システムを使用できます。さらに、NetIQ Certificate Serverは、さまざまなNetIQまたはNovell製品と互換性があります。
証明書の属性およびコンテンツ制御。 組織認証局は、ネットワーク管理者によって管理されます。ネットワーク管理者は、証明書の有効期間、キーサイズ、署名アルゴリズムなどの公開鍵証明書の属性を決定します。
簡単な管理。 組織認証局は、追加コストや複雑な手順なしに、外部認証局と同様の機能を実行します。
法的責任。 外部認証局の過失により、秘密鍵が漏洩したり、公開鍵証明書が改ざんされたりした場合に、その認証局が賠償責任を負う可能性があります。
可用性。 外部認証局の証明書は、eDirectoryの外部アプリケーションでも幅広く利用可能で信頼される可能性があります。
デフォルトでは、NetIQ Certificate Serverのインストールプロセスで、組織認証局(CA)が作成されます。組織認証局の名前を指定するように求められます。[完了]クリックすると、組織認証局がデフォルトのパラメータで作成され、セキュリティコンテナに配置されます。
組織認証局の作成をより細かく制御する場合は、iManagerを使用して組織認証局を手動で作成できます。また、組織認証局を削除した場合、それを再作成する必要があります。
作成プロセス時に、組織認証局オブジェクトの名前を付け、組織認証局サービスをホストするサーバ(組織認証局サービスが実行されるサーバ)を選択するよう求められます。組織認証局サービスをホストするサーバを決定する際、次の点を考慮します。
物理的に安全なサーバを選択します。
認証局サーバへの物理的アクセスは、システムのセキュリティ上、重要な部分になります。認証局サーバが侵害されると、その認証局によって発行されたすべての証明書も侵害されます。
可用性、安定性、および堅牢性の高いサーバを選択します。
認証局サービスが使用できない場合、証明書は作成できません。証明書はインストール時に作成される必要があるため、これは新しいサーバのインストールに影響します。
信頼できるソフトウェアのみが実行されているサーバを選択します。
不明なまたは不審なソフトウェアを実行していると、認証局サービスが侵害される可能性があります。
ツリーから削除されないサーバを選択します。
サーバがツリーから削除されると、認証局を削除する前に取ったバックアップを使用して認証局オブジェクトを再作成するか、新しい認証局を作成する必要があります。新しい認証局を作成する場合、既存のサーバとユーザ証明書を置換する必要があります。
ツリー内の他のサーバと互換性があるプロトコルを実行しているサーバを選択します。
たとえば、IPです。
ECDSA証明書で組織認証局を作成します。
組織認証局オブジェクトを作成するには、次の手順を実行します。
iManagerを起動します。
適切な権利を持った管理者としてeDirectoryツリーにログインします。
このタスクのための適切な権利を確認するには、セクション 25.6, タスクを実行するために必要なエントリ権を参照してください。
[役割およびタスク]メニューで、[NetIQ Certificate Server]>[認証局の環境設定]の順にクリックします。
組織の認証局オブジェクトが存在しない場合、[Create an Organizational Certificate Authority Object]ダイアログボックスとオブジェクトを作成するウィザードが開きます。メッセージに従ってオブジェクトを作成します。ダイアログボックスまたはウィザードページの具体的な説明については、[ヘルプ]をクリックしてください。
認証局の作成を完了したら、認証局の公開鍵/秘密鍵のペアのバックアップを作成し、安全な場所に保存することをお勧めします。詳細については、組織認証局のバックアップを参照してください。
メモ:eDirectoryツリーは組織の認証局を1つしか格納できません。
NetIQ Certificate Serverに、従属認証局のサポートが追加されました。この機能によって、組織認証局をサードパーティ認証局または別のeDirectoryツリーにある認証局のいずれかに従属させることができます。eDirectoryツリーには、組織認証局を1つしか格納できません。
従属認証局を使用する次のような理由があります。
組織認証局を既存のサードパーティPKIの一部にすることができます。
複数のツリーで、共通のPKIのルート認証局(または信頼アンカー)を共有することができます。
認証局をより安全なシステム上に配置することにより、ルート認証局のセキュリティを向上させることができます。
より緊密に管理されているツリー内にルート認証局を配置することにより、リスクを低減します(たとえば、不正管理者または不正ユーザから保護されているツリー)。
従属認証局を作成するには、既存の組織認証局を最初に削除する必要があります(組織認証局の削除を参照してください)。従属認証局の公開鍵/秘密鍵と証明書チェーンが格納されているPKCS #12ファイルが存在している必要があります。サードパーティ認証局から直接このファイルを取得できます。また、このファイルを作成する方法については、従属認証局のPKCS #12ファイルの作成を参照してください。従属認証局を作成するには、iManagerでツリーに接続して認証局の設定タスクを実行し、[インポート]作成方法を使用します。
サーバ証明書オブジェクト(またはKMO)およびECDSAとRSAキーでPKCS #10 CSRを作成します。
iManagerを起動します。
[役割およびタスク]メニューで、[NetIQ Certificate Server]>[サーバ証明書の作成]の順にクリックします。
認証局をホストするサーバを選択し、証明書のニックネームを指定します。[カスタム]作成方法を選択して[次へ]をクリックします。
[External Certificate Authority]を選択して、[次へ]をクリックします。
アルゴリズムおよびキーサイズを選択し、[秘密鍵のエクスポートを許可]が選択されていることを確認して、[次へ]をクリックします。
重要:eDirectory環境でRSAとECDSAの両方の証明書を使用する場合、使用する証明書ごとにこの手順を繰り返します。NetIQでは、RSAでは2048ビット、ECDSAでは384ビットのキーサイズを使用することをお勧めします。
[サブジェクト名]フィールドの右側にある[編集]ボタンをクリックして、従属認証局とツリーを表すように[サブジェクト名]を編集し、署名アルゴリズムを選択します(NetIQでは、SHA-1より強力なアルゴリズムを使用することをお勧めします)。それから[次へ]をクリックします。
概要が正しいことを確認し、[完了]をクリックします。
[証明書署名要求の保存]をクリックし、プロンプトに従ってCSRをファイルに保存します。
CSRに署名を行い証明書を作成します。
従属認証局がサードパーティPKIの一部である場合、サードパーティ認証局にCSRから証明書を作成させます。
または
従属認証局が別のeDirectoryツリー内の認証局によって署名される場合は、ステップ 2.bから続行します。
メモ:ECDSAの場合、CSRはECDSA CAでしか署名できません。
iManagerを起動します。
[役割およびタスク]メニューで[NetIQ Certificate Server]>[証明書の発行]の順にクリックします。
CSRを含むファイルを選択し、[次へ]をクリックします。
[認証局]の鍵のタイプを選択し、[拡張されたキーの使用目的を有効にする]を選択解除し、[次へ]をクリックします。
認証局の証明書タイプを選択し、[指定なし]または[Specific Path]長のいずれかを選択して、[次へ]をクリックします。
サブジェクト名を確認し、必要に応じて編集します。有効期限(推奨は5~10年です)を指定し、[次へ]をクリックします。
証明書の形式を選択し、[次へ]をクリックします。
完了をクリックします。
[発行された証明書をダウンロードしてください。]をクリックし、プロンプトに従って証明書を保存します。
認証局証明書を取得します。
従属認証局がサードパーティPKIの一部になる場合、サードパーティから認証局証明書を取得します。
または
従属認証局が別のeDirectoryツリー内の認証局によって署名される場合は、ステップ 3.bから続行します。
iManagerを起動します。
[役割およびタスク]メニューで、[NetIQ Certificate Server]>[認証局の設定]の順にクリックします。
[証明書]タブをクリックして、[自己署名証明書]を選択します。
エクスポートをクリックします。
秘密鍵をエクスポートせずに証明書の形式を選択し、[次へ]をクリックします。
[Save the Exported Certificate to a File]をクリックし、プロンプトに従って証明書を保存します。
証明書をサーバ証明書オブジェクト(またはKMO)にインポートします。
重要:eDirectory環境でRSAとECDSAの両方の証明書を使用する場合、使用する証明書ごとにこの手順を繰り返します。
PKCS #12ファイルに公開鍵/秘密鍵をエクスポートします。
ステップ 4.eから操作を続け、[エクスポート]をクリックして、秘密鍵を含めることを選択し、[次へ]をクリックします。
[Save the Exported Certificate to a File]をクリックし、プロンプトに従ってPKCS#12ファイルを保存します。
このファイルのコピーを作成し、パスワードと一緒に安全な場所に保存します。
(オプション)サーバ証明書オブジェクト(またはKMO)を削除します。
組織認証局を削除します。詳細については、組織認証局の削除を参照してください。
サブ認証局証明書と秘密鍵をPKCS #12ファイルからインポートします。詳細については、組織認証局の復元を参照してください。
eDirectory 9.0では、認証局のRSAとECの両方の証明書をサポートします。RSAおよびEC証明書で認証局オブジェクトを作成する際に、次の考慮事項が適用されます。
RSAおよびEC証明書のサブジェクト名は同じである必要があります。
RSAとEC CAは、混合モードにはできません。RSAとEC CAは、ルート認証局またはサブ認証局のいずれかとして使用できます。たとえば、RSA CAをルート認証局として使用し、EC CAをサブCAとして使用することはできません。またその逆も同様です。
eDirectoryでは、eDirectory外部のサードパーティアプリケーションで生成された自己署名認証局証明書をインポートすることはできません。
Suite Bモードで認証局を設定する前に、認証局がホストされているサーバに、NICI 3.0がインストールされていること、Enhanced Background Authenticationを実行するように設定がなされていることを確認します。
Suite Bモードで動作するように認証局を設定するには、次の手順を実行します。
iManagerを起動します。
適切な権利を持った管理者としてeDirectoryツリーにログインします。
[役割およびタスク]メニューで、[NetIQ Certificate Server]>[認証局の設定]の順にクリックします。
[Enable Suite B Mode]を選択します。
[OK]をクリックします。
認証局がSuite Bモードのとき、証明書サーバはRSA証明書を作成できません。どのECDSA証明書がサポートされているかについては、セクション 25.2, NetIQ Certificate Serverのコンポーネントを参照してください。
Suite Bで設定されているeDirectory 9.0ツリーにeDirectoryの旧バージョンを使用するサーバを追加する場合、サーバにSuite B機能がないため、証明書サーバはそのサーバの証明書を作成しません。これらのサーバでSuite B機能を有効にするには、サーバをeDirectory 9.0にアップグレードする必要があります。
サーバ証明書オブジェクトは、サーバのeDirectoryオブジェクトを格納するコンテナに作成されます。必要に応じて、サーバ上にある暗号化対応アプリケーションごとに別個のサーバ証明書オブジェクトを作成することも、そのサーバで使用するすべてのアプリケーションに対して1つのサーバ証明書オブジェクトを作成することもできます。
メモ:サーバ証明書オブジェクトと暗号化キーオブジェクト(KMO)は同じ意味です。eDirectoryオブジェクトのスキーマ名はNDSPKI:暗号化キーです。
証明書サーバをインストールすると、eDirectoryはデフォルトパラメータで、サーバ証明書オブジェクトを自動的に作成し、ターゲットサーバが存在するコンテナに配置します。デフォルト証明書を上書きまたは新しく作成する必要がある場合は、[デフォルト証明書の作成]ウィザードを使用できます。詳細については、デフォルトのサーバ証明書オブジェクトを作成するを参照してください。
サーバ証明書オブジェクトの作成をより細かく制御する場合は、サーバ証明書オブジェクトを手動で作成できます。追加のサーバ証明書オブジェクトを作成することもできます。
iManagerを起動します。
適切な権利を持った管理者としてeDirectoryツリーにログインします。
このタスクのための適切な権利を確認するには、セクション 25.6, タスクを実行するために必要なエントリ権を参照してください。
[役割およびタスク]メニューで、[NetIQ Certificate Server]>[サーバ証明書の作成]の順にクリックします。
この操作により、[Create a Server Certificate]ダイアログボックスと、サーバ証明書オブジェクトを作成する対応するウィザードが開きます。メッセージに従ってオブジェクトを作成します。ダイアログボックスまたはウィザードページの具体的な説明については、[ヘルプ]をクリックしてください。
サーバ証明書オブジェクトの作成プロセス中に、鍵ペアの名前を指定し、鍵ペアを関連付けるサーバを選択するよう求められます。サーバ証明書オブジェクトは、NetIQ Certificate Serverによって生成され、その名前は選択した鍵ペアの名前に基づきます。
[カスタム]作成方法を選択する場合も、サーバ証明書オブジェクトを、組織の組織認証局または外部認証局のいずれで署名するか指定するよう求められます。この決定方法の詳細については、セクション 25.3.1, 使用する認証局のタイプの決定を参照してください。
組織の組織認証局を使用する場合、サーバ証明書オブジェクトが関連付けられているサーバが、組織認証局をホストするサーバと通信できるようにするか、またはそのサーバと同じである必要があります。これらのサーバでは、同じプロトコル(IP)を実行している必要があります。
外部認証局を使用して証明書に署名する場合は、サーバ証明書オブジェクトが関連付けられているサーバによって、外部認証局に送信する必要がある証明書署名要求が生成されます。
証明書が署名されて返されたら、外部認証局のルート認証局と一緒に、それをサーバ証明書オブジェクトにインストールする必要があります。
サーバ証明書オブジェクトを作成した後、これを使用するアプリケーションを設定できます。(参照先セクション 25.3.7, 暗号化対応アプリケーションの設定.) アプリケーションの設定では、鍵は、サーバ証明書オブジェクトを作成したときに入力した鍵ペアの名前で参照されます。
NetIQ Certificate Serverを設定した後、個々の暗号化対応アプリケーションを設定して、作成したカスタム証明書を使用できるようにする必要があります。設定手順は個々のアプリケーションに固有のものであるため、具体的な手順についてはアプリケーションのマニュアルを参照することをお勧めします。
NetIQ Certificate Serverには、設定すれば追加機能を提供できる追加コンポーネントが含まれています。
iManagerを起動します。
適切な権利を持った管理者としてeDirectoryツリーにログインします。
このタスクのための適切な権利を確認するには、セクション 25.6, タスクを実行するために必要なエントリ権を参照してください。
[役割およびタスク]メニューで、[NetIQ Certificate Server]>[ユーザ証明書の作成]の順にクリックします。
この操作により、ユーザ証明書の作成を支援するウィザードが開きます。メッセージに従ってオブジェクトを作成します。ウィザードの各ページに関する特定の情報については、[ヘルプ]をクリックします。
eDirectoryツリーの任意の場所に、ルート認証局コンテナを作成できます。
iManagerを起動します。
適切な権利を持った管理者としてeDirectoryツリーにログインします。
このタスクのための適切な権利を確認するには、セクション 25.6, タスクを実行するために必要なエントリ権を参照してください。
[役割およびタスク]メニューで、[NetIQ Certificate Server]>[ルート認証局コンテナの作成]の順にクリックします。
ルート認証局コンテナの名前を指定します。
ルート認証局コンテナのコンテキストをブラウズして選択します。
[OK]をクリックします。
メモ:複数のアプリケーションで、ルート認証局コンテナに特定の名前を指定し、eDirectoryツリーの特定の場所に配置することが必要になる場合があります。NetIQ Certificate Serverでは、ルート認証局コンテナの名前を「ルート認証局」とし、セキュリティコンテナに配置する必要があります。このコンテナ内の証明書は、外部認証局によって署名されたユーザ証明書と、ルート認証局オブジェクトに保存される中間認証局証明書を検証するために使用されます。サーバ証明書と組織認証局証明書は、独自のオブジェクトに保存されている証明書チェーンを使用します。
ルート認証局オブジェクトは、ルート認証局コンテナにのみ格納できます。
iManagerを起動します。
適切な権利を持った管理者としてeDirectoryツリーにログインします。
このタスクのための適切な権利を確認するには、セクション 25.6, タスクを実行するために必要なエントリ権を参照してください。
[役割およびタスク]メニューで、[NetIQ Certificate Server]>[ルート認証局の作成]の順にクリックします。
この操作によって、ルート認証局オブジェクトを作成するための[Create a Trusted Root Object]ウィザードが開きます。メッセージに従ってオブジェクトを作成します。ウィザードの各ページに関する特定の情報については、[ヘルプ]をクリックします。
メモ:ルート認証局オブジェクトには、すべてのタイプの証明書を保存できます(認証局証明書、中間認証局証明書、またはユーザ証明書)。
SASサービスオブジェクトは、サーバヘルスチェックの一部として自動的に作成されます。このオブジェクトを手動で作成する必要はありません。手動で作成する必要がある場合、次の手順を実行します。
iManagerを起動します。
適切な権利を持った管理者としてeDirectoryツリーにログインします。
このタスクのための適切な権利を確認するには、セクション 25.6, タスクを実行するために必要なエントリ権を参照してください。
[役割およびタスク]メニューで、[NetIQ Certificate Server]>[Create SAS Service Object]の順にクリックします。
この操作によって、SASサービスオブジェクトを作成するための[SASサービスオブジェクトの作成]ウィザードが開きます。メッセージに従ってオブジェクトを作成します。ウィザードの各ページに関する特定の情報については、[ヘルプ]をクリックします。