クライアント証明書をセッションにリンクする方法(Windows)
目次
casso126jjp
目次
casso126jjp
IIS 7.x (Windows のみ)および Apache ベースの Web サーバについては、クライアント証明書を
Single Sign-On
セッションとリンクできます。この機能は、以下のアイデンティティの一致を確認します。- Single Sign-Onセッションと関連付けられるユーザのアイデンティティ。
- トランザクションで使用されるクライアント証明書のアイデンティティ。
これらのアイテムが一致しない場合、製品はトランザクションをブロックします。
この機能を使用するには、以下のタスクを実行します。
- クライアント証明書を自動的に取得するように、すべての Web サーバを設定します。特に、ログオン サーバがポリシー適用ポイントから分離されている場合はそのようにします。
- X.509 証明書認証方式(他の認証方式がサポートされていない)を使用します。
以下の手順に従います。
プラグインの追加
プラグインの追加はクライアント証明書をセッションとリンクする最初の手順です。
以下の手順に従います。
- エージェントをホストするシステムへログインします。
- テキスト エディタで以下のファイルを開きます。WebAgent.conf
- 次の行を検索します。LoadPlugin="web_agent_home\bin\HttpPlugin.dll"
- 手順 3 でこの行のすぐ後に行を追加します。
- 新規行へ以下のテキストを追加します。LoadPlugin="web_agent_home\bin\CertSessionLinkerPlugin.dll"注:CertSessionLinkerPlugin が HttpPlugin の後に続く必要があります。
- ファイルを保存します。
- Web サーバを再起動します。プラグインが追加されます。設定パラメータを追加して、続行します。
エージェント設定パラメータの設定
プラグインを追加した後に、エージェント設定パラメータを設定します。
以下の手順に従います。
- 管理 UI を使用して、目的のエージェント設定オブジェクトを開きます。
- 以下のパラメータの値を変更します。
- casso126jjpCslCertUniqueAttributeそれによって一意に識別される証明書の属性をリスト表示します。以下の証明書属性が使用できます。
- バージョン
- serialnumber
- signaturealgorithm
- issuerdn
- subjectdn
- validitystart
- validityend
注: このパラメータ内の値の順番は重要ではありません。デフォルト: 無効(serialnumber および issuerdn 属性のみ一致)。 - casso126jjpCslMaxCacheEntriesエージェント キャッシュに含められるエントリの最大数を指定します。注: UNIX で動作する Apache ベースのサーバについては、singleprocessmode パラメータの値を「no」に設定することをお勧めします。この設定によって、複数のリクエスト間で共有されるマルチ プロセッサが作成されます。Apache ベースのサーバがプレフォーク モードで実行される場合、この設定によってパフォーマンスが改善されます。デフォルト: 1000
- 変更内容を保存し、エージェント設定オブジェクトを閉じます。証明書はセッションとリンクされます。