共通キー ストアの展開
すべてのポリシー サーバは、キー ロールオーバーに 1 つの共通キー ストアを使用できます。以下の図は、共通キー ストアの展開を設定するプロセスを示しています。
casso126jjp
すべてのポリシー サーバは、キー ロールオーバーに 1 つの共通キー ストアを使用できます。以下の図は、共通キー ストアの展開を設定するプロセスを示しています。

以下は、図内の完了する必要のある各タスクについてのリンクです。
3
展開の概要
次の図は、以下を含む 1 つの共通キーを使用した展開を示しています。
- すべてのポリシー サーバのキー データを維持する共通 r12.x キー ストア共通キー ストアを使用することにより、すべてのポリシー サーバに関連付けられるエージェントでキーを共有できます。キーを共有すると、両方の環境間でシングル サインオンが有効になります。
- 共通キー ストアに接続して新しいキーを取得するすべてのポリシー サーバ
- それぞれのポリシー ストアに接続する既存および新しいポリシー サーバ
- (表示なし)対応するポリシー サーバをポーリングして新しいキーを取得するすべての Web エージェント
キー ストア データは、フェールオーバのために複製することができます。データベースまたはディレクトリ サーバのタイプにより、データの複製方法が決まります。

共通キー ストアの要件
共通キー ストアを展開するには、以下の要件を満たしてください。満たさない場合、シングル サインオンに失敗します。
- r12.x ポリシーとキー ストアを個別に維持します。以下のいずれかの操作を実行します。
- r12.x 環境のポリシーとキー ストアが連結されている場合、r12.x キーを独自のキー ストアに分けます。このセクションに続く手順を参照してください。
- r12.x 環境に既に個別にキー ストアがある場合は、キー ストアを r12.x のままにします。12.6.01 ポリシー サーバは、r12.x キー ストアと通信することができます。ただし、r12.x ポリシー サーバは、12.6.01 キー ストアと通信できません。
- すべてのポリシー サーバが共通の r12.x ポリシーストアを使用するように設定します。
- すべてのポリシー サーバが必ず同じ暗号化キーを使用するようにしてください。暗号化キーの値がわからない場合、ポリシー ストアの r12.x 値をリセットします。12.6.01 ポリシー サーバをインストールするときに新しい値を使用します。
- 1 つのポリシー サーバを選択して、動的なエージェント キーを生成します。残りのポリシー サーバのエージェント キー生成を無効にします。
連結されたポリシー ストアから r12.x キー ストアを分離する
r12.x 環境に連結したポリシーとキー ストアがある場合、r12.x キー ストアをポリシー ストアから分離させます。
ポリシー ストアからのキーの分離は、以下のタスクを含む多段階プロセスです。
- ポリシーとキー ストアが連結して設定されない12.xポリシー サーバをインストールまたは配置します。
- r12.x 環境の動的エージェント キー生成を無効にします。注:利用している環境がスタティック キーを使用する場合、この手順は必要ありません。ただし、ポリシー ストアからキーをエクスポートした後、CA Single Sign-On 管理者はランダムなエージェント キーを生成できません。
- エージェント キーを r12.x の連結されたストアからエクスポートします。
- 新しい r12.x キー ストアにエージェント キーをインポートします。
- すべてのポリシー サーバを設定して、個別のキー ストアを使用します。
- 動的エージェント キー生成を再有効化します。
連結されたポリシー/キー ストアを使用しない 12.x ポリシー サーバのインストールまたは配置
キー ストアの分離にポリシー サーバ ユーティリティのセットが必要です。既に連結されたストアを管理するように設定されたポリシー サーバにあるユーティリティを使用しないでください。ストアが連結して設定されていないポリシー サーバでは、必要なユーティリティの独立したセットを利用することができます。これらのユーティリティを使用することにより、連結されたストアを妨げずにキー ストアを設定できます。
以下の手順に従います。
- ストアが連結して設定されない12.x ポリシー サーバをインストールまたは配置します。
- 新しく作成したキー ストアをまだ使用していない 12.x ポリシー サーバを使用して、ストアが連結して設定されていないポリシー サーバ上の r12.x キー ストア インスタンスを分離します。以下の点を考慮します。
- キー ストアはデフォルトのポリシー ストア スキーマのみを必要とします。
- キー ストアは、スーパー ユーザ パスワードを設定するか、またはデフォルトのポリシー ストア オブジェクトをインポートすることを要求しません。
動的エージェント キー生成の無効化
キー ストアの個別化を完了していない場合、r12.x 環境では以下のように 2 種類のキー ストアで動作しています。
- 一部のポリシー サーバは連結されたポリシー/キー ストアでエージェント キーを使用します。
- 一部のポリシー サーバは個別のキー ストアでエージェント キーを使用します。
動的エージェント キーの生成を無効にすると、個別のストアに対してエクスポートした後、ポリシー サーバがキーを生成しません。キーがすべてのストアで同期されないため、ポリシー サーバがキーの生成をやめると、シングル サインオンの問題を予防できます。
以下の手順に従います。
- r12.x 管理 UI にログインします。
- [管理]-[ポリシー サーバ]をクリックします。
- [キー管理]-[エージェント キー管理]をクリックします。
- [スタティック エージェント キーを使用]オプションを選択します。
- [サブミット]をクリックします。
ポリシー サーバはスタティック キーを使用するように設定されます。ポリシー サーバはキーを自動的に生成しません。
エージェント キーを 12.x の連結されたストアからエクスポートする
連結されたポリシー/キー ストアからキーをエクスポートして、それらを個別のキー ストアに利用できるようにします。
以下の手順に従います。
- r12.x ポリシー サーバ ホスト システムにログインします。このポリシー サーバが、連結されたポリシー/キー ストアで設定されていることを確認します。
- 以下のコマンドを実行して、ポリシー ストアからキーのみをエクスポートします。smkeyexport -dadministrator-wpassword-ofile_name重要:Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。例:smkeyexport -dsuperuser -wpassword -oagentkeysエージェント キーが連結されたポリシー/キー ストアからエクスポートされます。
- セット アップ ポリシー サーバ ホスト システムに、エージェント キーを含むファイルをコピーします。
新しいキー ストアにエージェント キーをインポートする
連結されたストアからエージェント キーをエクスポートした後、キーを新しいキー ストアにインポートします。
以下の手順に従います。
- r12.x ポリシー サーバ ホスト システムにログインします。
- 以下のコマンドを実行して、キー ストアにエージェント キーをインポートします。smkeyimport -iinput_filename-dAdminName-wAdminPW[-c] [-cb] [-cf] [-l] [-v] [-t]コマンド引数:
-
i
input_filename
作成した出力ファイルの名前を指定します。指定するファイル名に
.smdif
拡張子が含まれることを確認してください。-
d
Admin_Name
ポリシー サーバの管理者アカウントの名前を指定します。管理者パスワードは、クリア テキストで入力します。
-w
Admin_PW
管理者アカウントのパスワードを指定します。
-c
(オプション)入力ファイルにクリアテキストのパスワードが表示されることを指定します。
-cf
(オプション)smkeyimport が FIPS 移行モードで実行されるように指定します。ツールは、FIPS-140 互換の暗号化アルゴリズムを使用してクリア テキスト パスワードおよび共有秘密キーをインポートします。
-
cb
(オプション)下位互換の暗号化アルゴリズムを使用してクリア テキスト パスワードおよび共有秘密キーをインポートするように指示します。
-l
(オプション)エントリを作成して、
input_filename
.log ファイルにログを記録します。-v
(オプション)トラブルシューティング用に詳細モードを有効にします。
-t
(オプション)トラブルシューティング用にトレースを有効にします。
例:
smkeyimport -iagentkeys -dmyadmin -wsamplepw
smkeyimport ツールは、再暗号化されたエージェント キーをキー ストアにインポートします。
すべてのポリシー サーバを設定して、個別のキー ストアを使用する
並列の環境ですべてのポリシー サーバを設定して共通の r12.x キー ストアを使用すると、両方の環境でシングル サインオンを維持します。
以下の手順に従います。
- エージェント キーを動的に生成する際に指定されるポリシー サーバを特定します。このポリシー サーバをキー ストアで最後に設定します。
- 環境内の他のすべてのポリシー サーバに対して、以下の手順を実行します。
- ポリシー サーバ ホスト システムにログインします。
- ポリシー サーバ管理コンソールを開きます。
- [データ]タブをクリックします。
- [データベース]リストから[キー ストア]を選択し、[ポリシー ストアを使用]データベース オプションをクリアします。
- [ストレージ]リストからキー ストアのタイプを選択します。
- 以下のいずれかの操作を実行します。
- (LDAP)[LDAP キー ストア]セクションに必要な接続情報を入力します。
- (ODBC)[データソース情報]セクションにデータ ソース情報を入力します。
- 接続をテストします。
- [OK]をクリックします。
- ポリシー サーバを再起動して、キー ストアを使用するようにポリシー サーバを設定します。
- キー ストアを使用するためにエージェント キーの生成に指定されるポリシー サーバを設定します。
動的エージェント キー生成の再有効化
動的エージェント キー生成を無効にした場合は、エージェント キーの生成に指定されるポリシー サーバの機能を再度有効にします。環境内のすべてのポリシー サーバが新規キー ストアを使用するように設定した後でのみ、この手順を実行します。
以下の手順に従います。
- r12.x 管理 UI にログインします。
- [管理]-[ポリシー サーバ]をクリックします。
- [キー管理]-[エージェント キー管理]をクリックします。
- [動的エージェント キーを使用]オプションを選択します。
- [サブミット]をクリックします。指定されたポリシー サーバはキーを動的に生成するために有効にされます。
ポリシー ストアからキー ストアを分けるために必要な処理が完了しました。