リモートローダとIdentity Managerエンジンとの間でデータが安全に転送されるようにする必要があります。NetIQでは、通信にTLS/SSL (Transport Layer Security/Secure Socket Layer)プロトコルを使用することをお勧めします。TLS/SSL接続をサポートするには、キーストアファイルまたはKMOに適切な自己署名証明書が必要です。このセクションでは、その証明書を作成、エクスポート、および保管する方法について説明します。
メモ:Identity Managerエンジンをホストするサーバとリモートローダで同じバージョンのSSLを使用してください。サーバとリモートローダのSSLのバージョンが一致していないと、サーバから「SSL3_GET_RECORD:wrong version number」というエラーメッセージが返されます。このメッセージは単なる警告で、サーバとリモートローダ間の通信が中断されることはありませんが、エラーが表示されると混乱を招くおそれがあります。
リモートローダはクライアントのソケットを開いて、リモートインタフェースシムからの接続をリスンします。リモートインタフェースシムとリモートローダは、SSLハンドシェークを実行してセキュアなチャネルを確立します。続いて、リモートインタフェースシムはリモートローダへの認証を実行します。リモートインタフェースシムの認証が成功すると、リモートローダはリモートインタフェースシムへの認証を実行します。正規の権限によって通信が確立されていることを両側から確認できた場合にのみ、同期トラフィックが発生します。
ドライバとIdentity Managerエンジンとの間でSSL接続を確立するプロセスは、次のようにドライバのタイプによって異なります。
ネイティブのドライバ(Active Directoryドライバなど)の場合、Base64エンコード証明書を指します。詳細については、セクション 20.1.2, 自己署名サーバ証明書の管理を参照してください。
Javaドライバの場合、キーストアを作成する必要があります。詳細については、セクション 20.1.3, SSL接続使用時のキーストアファイルの作成を参照してください。
.NETドライバの場合、Base64エンコード証明書を指します。詳細については、セクション 20.1.2, 自己署名サーバ証明書の管理を参照してください。
メモ:リモートローダでは、リモートローダおよびIdentity Managerサーバでホストされているリモートインタフェースシムとの間の接続方法をカスタマイズできます。カスタム接続モジュールを設定する場合、接続文字列で必要な項目と使用可能な項目に関する情報については、モジュールに付属のマニュアルを参照してください。
自己署名サーバ証明書を作成してエクスポートすることで、リモートローダとIdentity Managerエンジン間のセキュアな通信を保証できます。セキュリティを追加する場合は、Suite Bによって指定されるSSL通信のより強力はサイファを設定できます。この通信では、データを暗号化するためにECDSA (Elliptic Curveデジタル署名アルゴリズム)証明書を使用する必要があります。Suite Bが有効な場合、リモートローダは、通信プロトコルとしてTLS 1.2を使用します。Suite Bの詳細については、「Suite B Cryptography」を参照してください。
新しく作成された証明書をエクスポートするか、既存の証明書を使用することができます。
メモ:サーバがツリーに参加すると、eDirectoryによって次のデフォルトの証明書が作成されます。
SSL CertificateIP
SSL CertificateDNS
Suite B対応の証明書
NetIQ iManagerにログインします。
新しい証明書を作成するには、次の手順を実行します。
[NetIQ Certificate Server]>[Create Server Certificate (サーバ証明書の作成)]の順にクリックします。
証明書を所有するサーバを選択します。
証明書のニックネームを指定します。たとえば、「remotecert」と指定します。
メモ:証明書のニックネームにはスペースを使用しないことをお勧めします。たとえば、「remote cert」ではなく「remotecert」を使用します。
また、証明書のニックネームは書き留めておいてください。このニックネームは、ドライバのリモート接続パラメータのKMO名に使用します。
証明書の作成方法を選択して、次へをクリックします。
次の選択肢があります。
標準: このオプションでは、可能な最大キーサイズを使用してサーバ証明書オブジェクトが作成され、組織CAによって公開鍵証明書に署名されます。
カスタム: このオプションでは、ユーザが指定する設定を使用してサーバ証明書オブジェクトが作成されます。サーバ証明書オブジェクトの多数のカスタマイズされた設定を指定できます。このオプションを選択すると、Suite B通信用のECDSA証明書が作成されます。
インポート: このオプションでは、PKCS12(PFX)ファイルからキーと証明書を使用してサーバ証明書オブジェクトが作成されます。このオプションをエクスポート機能と組み合わせて使用すると、サーバ証明書のバックアップおよび復元をしたり、サーバ証明書オブジェクトをサーバから別のサーバへ移動できます。
証明書パラメータを指定します。
残りの項目については、証明書のデフォルト値をそのまま使用します。
[概要]の画面を確認し、終了をクリックして、閉じるをクリックします。
証明書をエクスポートするには、次の手順を実行します。
iManagerで、Roles and Task (役割とタスク) > NetIQ Certificate Access (NetIQ証明書へのアクセス) > Server Certificates (サーバ証明書) の順に移動します。
作成した証明書またはサーバが作成した証明書(SSL CertificateDNSなど)に移動して選択します。
[エクスポート]をクリックします。
CA証明書をドロップダウンメニューからOU=organization CA.O=TREEANAMEとして選択します。
エクスポート形式をドロップダウンメニューから BASE64として選択します。
メモ:リモートローダをWindows 2012 R2 64ビットサーバで実行している場合、証明書はBase64形式にする必要があります。DER形式を使用すると、リモートローダがIdentity Managerエンジンに接続できません。
次へをクリックします。
[保存]、[閉じる]の順にクリックします。
JavaドライバとIdentity Managerエンジンの間でSSL接続を使用するには、キーストアを作成する必要があります。キーストアは、暗号化キーおよび証明書(オプション)を含むJavaファイルです。リモートローダとIdentity Managerエンジンの間でSSLを使用する必要があり、Javaシムを使用する場合は、キーストアファイルを作成する必要があります。次のセクションでは、キーストアファイルの作成方法について説明します。
任意のプラットフォームでキーストアを作成するには、コマンドラインで次のコマンドを入力します。
keytool -import -alias trustedroot -file self-signed_certificate_name -keystore filename -storepass keystorepass
filenameには任意の名前を指定できます(rdev_keystoreなど)。
Linux環境では、create_keystoreファイルを使用します。これは、Keytoolユーティリティを呼び出すシェルスクリプトです。このファイルはrdxmlとともにインストールされ、デフォルトではinstall_directory/dirxml/binディレクトリにあります。create_keystoreファイルは、\dirxml\java_remoteloaderディレクトリにあるdirxml_jremote.tar.gzファイルにも含まれています。
メモ:UNIXコンピュータでは、自己署名証明書を使用してキーストアが作成されると、Base64またはバイナリのDER形式で証明書をエクスポートできます。
コマンドラインで次のコマンドを入力します。
create_keystore self-signed_certificate_name keystorename
たとえば、次のいずれかを入力します。
create_keystore tree-root.b64 mystore create_keystore tree-root.der mystore
create_keystoreスクリプトにより、キーストアパスワード用にハードコードされている“dirxml”のパスワードが指定されます。キーストアに保存されるのはパブリック証明書と公開鍵のみなので、セキュリティリスクはありません。
Windowsでコンピュータでは、Keytoolユーティリティを実行します。このユーティリティは、デフォルトではc:\novel\lremoteloader\jre\binディレクトリにあります。