DSA への通信を暗号化する方法
DSA への通信を暗号化するには、ルート証明書(DSA 証明書)が必要です。
cad126jp
DSA への通信を暗号化するには、ルート証明書(DSA 証明書)が必要です。
- 証明書をセットアップします。
- それぞれの DXserver が以下を認識することを確認します。
- リクエストをリスンするときのポート
- DSA とユーザの証明書および公開鍵と秘密鍵の場所
- ルート証明書の場所
注:HSM を使用する場合は、HSM 固有の情報も指定する必要があります。
LDAP バインディングの暗号化
匿名バインディングと認証バインディングの両方に対して LDAP リンク上で SSL 暗号化を強制できます。
匿名バインドに SSL 暗号化を強制するには、DSA 設定のための設定ファイルに以下のコマンドを含めます。
set force-encrypt-anon = true | false
この設定がオンのときは、ユーザが SSL なしで匿名バインドを作成しようとすると、DSA はそれを却下し、「不適切な認証」エラーを返します。
認証バインドに SSL 暗号化を強制するには、DSA 設定のための設定ファイルに以下のコマンドを含めます。
set force-encrypt-auth = true | false
この設定がオンのときは、ユーザが SSL なしで認証バインドを作成しようとすると、DSA はそれを却下し、「不適切な認証」エラーを返します。
set force-encrypt-auth
設定は、クレデンシャルがネットワーク上で暗号化されずに送信されるのを防止しません。ただし、暗号化されていないバインディング リクエストを拒否します。注:
同じコンピュータ上に存在する DSA 間のリンク暗号化を使用する場合、これらのコマンドと共に trust-flags = ssl-encryption-remote
設定を使用することはできません。代わりに、trust-flags = ssl-encryption
を使用してください。そうしないとリンクが暗号化されないため、ローカルで相互に接続する DSA は clear-password 認証レベルで失敗します。また、ルータ DSA 上でのみ SSL 暗号化を強制することや、データ DSA へのクライアントの直接接続を防止することもできます。set disable-client-binds = true
; コマンドを使用することにより、クライアントはデータ DSA に直接接続できないようになります。この設定により、trust-flags = ssl-encryption-remote
設定を使用できるようになります。SSL 暗号化で LDAP クライアントとして動作するように DSA を設定
サードパーティ LDAP サーバと CA Directory バックボーン間で SSL 暗号化をセットアップできます。
CA Directory DSA は、LDAP サーバと通信するために LDAP クライアントとして動作するときに、SSL クライアントとして動作します。つまり、LDAP サーバは CA Directory DSA のルートまたは DSA 証明書のコピーを必要としません。
以下の手順に従って SSL 暗号化を使用し、安全な接続を確立できます。
- 証明機関へのアクセス権があることを確認します。
- 証明機関を使用して、LDAP サーバと DSA の両方に対応するサーバ証明書を作成し、証明機関のルート証明書でそれらに署名します。
- ルート証明書をインポートして、証明機関を信頼するように CA Directory および LDAP サーバを設定します。
- SSL 操作用に証明機関によって署名されたサーバ証明書を使用するように CA Directory および LDAP サーバを設定します。
- LDAP サーバに接続するように CA Directory を設定します。
- 以下のように、すべてが正しく動作していることをテストします。
- LDAP サーバを起動します。
- DSA を起動します。
- DSA コンソール上で以下のコマンドを使用して、SSL が使用されていることを確認します。
trace x500;SSL 操作は前に(SSL)が付くようになりました。