52.9 SentinelとIdentity Managerコンポーネント間のSSLの有効化

自己署名サーバ証明書を作成してエクスポートすることで、SentinelとIdentity Managerコンポーネント間のセキュアな通信を保証できます。有効な認証局が発行した署名付き証明書を使用します。

52.9.1 SentinelとIdentity Managerエンジン/リモートローダ間のSSLの有効化

  1. 新しい証明書を作成するため、次の手順を実行します。

    1. iManagerにログインします。

    2. [NetIQ Certificate Server]>[Create Server Certificate (サーバ証明書の作成)]の順にクリックします。

    3. 適切なサーバを選択します。

    4. サーバのニックネームを指定します。

    5. 残りの項目については、証明書のデフォルト値をそのまま使用します。

  2. サーバ証明書を.pfxフォーマットにエクスポートするには、次の手順を実行します。

    1. iManagerで、[Directory Administration (ディレクトリ管理)]>[オブジェクトの変更]の順に選択します。

    2. キーマテリアルオブジェクト(KMO)を参照して選択します。

    3. [証明書]>[エクスポート]の順にクリックします。

    4. パスワードを入力します。

    5. サーバ証明書をPKCS#12として保存します。たとえば、certificate.pfxです。

  3. 次のコマンドを使用して、エクスポートされた証明書からdxipkey.pemファイルに秘密鍵を展開します。

    openssl pkcs12 -in certificate.pfx -nocerts -out dxipkey.pem –nodes

  4. 証明書をdxicert.pemファイルに展開します。

    openssl pkcs12 -in certificate.pfx -nokeys -out dxicert.pem

  5. ステップ 1で作成されたeDirectoryサーバのCA証明書をBase64形式にエクスポートします。

    1. iManagerで、Roles and Task (役割とタスク) > NetIQ Certificate Access (NetIQ証明書へのアクセス) > ユーザ証明書の順に移動します。

    2. 作成された証明書を参照して選択します。

    3. [エクスポート]をクリックします。

    4. CA証明書をドロップダウンメニューからOU=organizationCA.O=TREENAMEとして選択します。

    5. エクスポート形式をドロップダウンメニューからBASE64として選択します。

    6. 次へをクリックし、証明書を保存します。たとえば、cacert.b64です。

  6. 次のコマンドを使用して、キーストアにCA証明書をインポートします。

    keytool -import -alias <alias name> -file <b64 file> -keystore <keystore file> –noprompt

    次に例を示します。

    keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt

  7. 証明書をAudit Connectorのトラストストアにインポートします。

    1. 管理者としてSentinelメインインタフェースにログインします。

    2. メインのESMディスプレイで、Auditサーバを参照します。

    3. Auditサーバを右クリックして、編集をクリックします。

    4. [セキュリティ]タブで、Strict (厳しい)を選択します。

      メモ:デフォルトでは、最初の接続を許可するようにOpen (オープン) (非セキュア)モードを使用するように設定されています。ただし、運用環境で使用している場合は、モードがStrict (厳しい)に設定されていることを確認してください。

    5. インポートをクリックして、ステップ 6で作成した証明書に移動します。たとえば、idmkeystore.ksです。

    6. Open (オープン)をクリックし、保存をクリックします。

    7. Auditサーバを再起動します。

  8. コンポーネントに基づいた次の場所にステップ 3およびステップ 4で作成した秘密鍵および証明書をコピーします。

    コンポーネント

    Linuxパス

    Windowsパス

    Identity Managerエンジン

    /var/opt/novell/eDirectory/data/dib

    C:\NetIQ\IdentityManager\NDS\DIBFiles

    リモートローダ

    /var/opt/novell/dirxml/rdxml

    リモートローダインストールディレクトリ:

    C:\NetIQ\IdentityManager\RemoteLoader

    または

    C:\NetIQ\IdentityManager\RemoteLoader\64bit

    または

    C:\NetIQ\IdentityManager\RemoteLoader\32bit

    .NETリモートローダ

     

    C:\NetIQ\IdentityManager\RemoteLoader.NET

    ファンアウトエージェント

    /opt/novell/dirxml/fanoutagent

    C:\NetIQ\IdentityManager\FanoutAgent

  9. Identity Managerサービスを再起動します。

52.9.2 Sentinelとユーザアプリケーション間のSSLの有効化

  1. 新しい証明書を作成するため、次の手順を実行します。

    1. iManagerにログインします。

    2. NetIQ Certificate Server > Create User Certificate (ユーザ証明書の作成)をクリックします。

    3. 適切なユーザを選択します。

    4. ユーザのニックネームを指定します。

    5. 作成方法で、カスタムを選択します。

    6. 残りの項目については、証明書のデフォルト値をそのまま使用します。

    7. 次へをクリックします。

    8. Custom Extensions (カスタム拡張)で、New DER Encoded Extensions (新規DERエンコード拡張)を選択します。

    9. /products/RBPM/ext.derカスタム拡張に移動します。

    10. (オプション) 電子メールアドレスを指定します。

    11. 証明書パラメータを確認して、終了をクリックします。

  2. ユーザ証明書をエクスポートするため、次の手順を実行します。

    1. NetIQ Certificate Access (NetIQ証明書へのアクセス) > [ユーザ証明書]をクリックします。

    2. ステップ 1でインポートしたユーザ証明書を選択します。

    3. 有効なユーザ証明書を選択して、エクスポートをクリックします。

    4. パスワードを入力します。

    5. ユーザ証明書をPKCS12として保存します。たとえば、certificate.pfxです。

  3. 次のコマンドを使用して、エクスポートされた証明書をkey.pemファイルに秘密鍵を展開します。

    openssl pkcs12 -in certificate.pfx -nocerts -out key.pem –nodes

  4. 証明書をcert.pemファイルに展開します。

    openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem

  5. ユーザアプリケーションを停止します。

  6. 秘密鍵と証明書をconfigupdate.shに追加します。

    1. configupdate.shを開きます。

    2. [詳細オプションの表示]をクリックします。

    3. NetIQ Sentinelデジタル署名証明書フィールドで、cert.pemをコピーします。

    4. NetIQ Sentinelデジタル署名秘密鍵フィールドで、秘密鍵(key.pem)を展開した場所に移動して、キーをインポートします。

    5. configupdate.shの変更内容を保存します。

  7. ユーザアプリケーションを再起動します。

  8. ステップ 1で作成されたeDirectoryサーバのCA証明書をBase64形式にエクスポートします。

    1. iManagerで、Roles and Task (役割とタスク) > NetIQ Certificate Access (NetIQ証明書へのアクセス) > ユーザ証明書の順に移動します。

    2. 作成した証明書を選択します。

    3. エクスポートをクリックして、[Export private key (秘密鍵のエクスポート)]チェックボックスをクリアします。

    4. エクスポート形式をドロップダウンメニューからBASE64として選択します。

    5. 次へをクリックし、証明書を保存します。たとえば、cacert.b64です。

  9. 次のコマンドを使用して、キーストアにCA証明書をインポートします。

    keytool -import -alias <alias name> -file cacert.b64 -keystore <keystore file> –noprompt

    次に例を示します。

    keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt

  10. 証明書をAudit Connectorのトラストストアにインポートします。

    1. 管理者としてSentinelメインインタフェースにログインします。

    2. メインのESMディスプレイで、Auditサーバを参照します。

    3. Auditサーバを右クリックして、編集をクリックします。

    4. セキュリティタブで、Strict (厳しい)を選択します。

      メモ:デフォルトでは、Open (オープン) (非セキュア)モードを使用することで、最初の接続を許可ように設定されています。ただし、運用環境で使用している場合は、モードがStrict (厳しい)に設定されていることを確認してください。

    5. インポートをクリックして、ステップ 9で作成した証明書に移動します。たとえば、idmKeystore.ksです。

    6. Open (オープン)をクリックし、保存をクリックします。

    7. Auditサーバを再起動します。

  11. ユーザアプリケーションを再起動します。