共通キー ストアの展開

すべてのポリシー サーバは、キー ロールオーバーに 1 つの共通キー ストアを使用できます。以下の図は、共通キー ストアの展開を設定するプロセスを示しています。
casso127jpjp
すべてのポリシー サーバは、キー ロールオーバーに 1 つの共通キー ストアを使用できます。以下の図は、共通キー ストアの展開を設定するプロセスを示しています。
Common Keystore Deployment
以下は、図内の完了する必要のある各タスクについてのリンクです。
3
展開の概要
次の図は、以下を含む 1 つの共通キーを使用した展開を示しています。
  • すべてのポリシー サーバのキー データを維持する共通 r12.x キー ストア
    共通キー ストアを使用することにより、すべてのポリシー サーバに関連付けられるエージェントでキーを共有できます。キーを共有すると、両方の環境間でシングル サインオンが有効になります。
  • 共通キー ストアに接続して新しいキーを取得するすべてのポリシー サーバ
  • それぞれのポリシー ストアに接続する既存および新しいポリシー サーバ 
  • (表示なし)対応するポリシー サーバをポーリングして新しいキーを取得するすべての Web エージェント
キー ストア データは、フェールオーバのために複製することができます。データベースまたはディレクトリ サーバのタイプにより、データの複製方法が決まります。
single common key store
共通キー ストアの要件
共通キー ストアを展開するには、以下の要件を満たしてください。満たさない場合、シングル サインオンに失敗します。
  • r12.x ポリシーとキー ストアを個別に維持します。以下の
    いずれか
    の操作を実行します。
    • r12.x 環境のポリシーとキー ストアが連結されている場合、r12.x キーを独自のキー ストアに分けます。このセクションに続く手順を参照してください。
    • r12.x 環境に既に個別にキー ストアがある場合は、キー ストアを r12.x のままにします。12.7 ポリシー サーバは、r12.x キー ストアと通信することができます。ただし、r12.x ポリシー サーバは、12.7 キー ストアと通信できません。
  • すべてのポリシー サーバが共通の r12.x ポリシーストアを使用するように設定します。
  • すべてのポリシー サーバが必ず同じ暗号化キーを使用するようにしてください。暗号化キーの値がわからない場合、ポリシー ストアの r12.x 値をリセットします。12.7 ポリシー サーバをインストールするときに新しい値を使用します。
  • 1 つのポリシー サーバを選択して、動的なエージェント キーを生成します。残りのポリシー サーバのエージェント キー生成を無効にします。
連結されたポリシー ストアから r12.x キー ストアを分離する
r12.x 環境に連結したポリシーとキー ストアがある場合、r12.x キー ストアをポリシー ストアから分離させます。
ポリシー ストアからのキーの分離は、以下のタスクを含む多段階プロセスです。
  1. ポリシーとキー ストアが連結して設定されない
    12.x
     ポリシー サーバをインストールまたは配置します。
  2. r12.x 環境の動的エージェント キー生成を無効にします。
    注:
    利用している環境がスタティック キーを使用する場合、この手順は必要ありません。ただし、ポリシー ストアからキーをエクスポートした後、CA Single Sign-On 管理者はランダムなエージェント キーを生成できません。
  3. エージェント キーを r12.x の連結されたストアからエクスポートします。
  4. 新しい r12.x キー ストアにエージェント キーをインポートします。
  5. すべてのポリシー サーバを設定して、個別のキー ストアを使用します。
  6. 動的エージェント キー生成を再有効化します。
連結されたポリシー/キー ストアを使用しない 12.x ポリシー サーバのインストールまたは配置
キー ストアの分離にポリシー サーバ ユーティリティのセットが必要です。既に連結されたストアを管理するように設定されたポリシー サーバにあるユーティリティを使用しないでください。ストアが連結して設定されていないポリシー サーバでは、必要なユーティリティの独立したセットを利用することができます。これらのユーティリティを使用することにより、連結されたストアを妨げずにキー ストアを設定できます。
以下の手順に従います。
  1. ストアが連結して設定
    されない
     12.x ポリシー サーバをインストールまたは配置します。 
  2. 新しく作成したキー ストアをまだ使用していない 12.x ポリシー サーバを使用して、ストアが連結して設定されていないポリシー サーバ上の r12.x キー ストア インスタンスを分離します。以下の点を考慮します。
    • キー ストアはデフォルトのポリシー ストア スキーマのみを必要とします。 
    • キー ストアは、スーパー ユーザ パスワードを設定するか、またはデフォルトのポリシー ストア オブジェクトをインポートすることを要求しません。
動的エージェント キー生成の無効化
キー ストアの個別化を完了していない場合、r12.x 環境では以下のように 2 種類のキー ストアで動作しています。
  • 一部のポリシー サーバは連結されたポリシー/キー ストアでエージェント キーを使用します。
  • 一部のポリシー サーバは個別のキー ストアでエージェント キーを使用します。
動的エージェント キーの生成を無効にすると、個別のストアに対してエクスポートした後、ポリシー サーバがキーを生成しません。キーがすべてのストアで同期されないため、ポリシー サーバがキーの生成をやめると、シングル サインオンの問題を予防できます。
以下の手順に従います。
  1. r12.x 管理 UI にログインします。
  2. [管理]-[ポリシー サーバ]をクリックします。
  3. [キー管理]-[エージェント キー管理]をクリックします。
  4. [スタティック エージェント キーを使用]オプションを選択します。
  5. [サブミット]をクリックします。
ポリシー サーバはスタティック キーを使用するように設定されます。ポリシー サーバはキーを自動的に生成しません。
エージェント キーを 12.x の連結されたストアからエクスポートする
連結されたポリシー/キー ストアからキーをエクスポートして、それらを個別のキー ストアに利用できるようにします。
以下の手順に従います。
  1. r12.x ポリシー サーバ ホスト システムにログインします。このポリシー サーバが、連結されたポリシー/キー ストアで設定されていることを確認します。
  2. 以下のコマンドを実行して、ポリシー ストアからキーのみをエクスポートします。
    smkeyexport -d
    administrator
     -w
    password
     -o
    file_name
    重要:
    Windows Server でユーザ アカウント制御(UAC)が有効になっている場合、管理者権限でコマンド ライン ウィンドウを開きます。アカウントに管理者権限がある場合でも、このようにコマンド ライン ウィンドウを開きます。
    例:
    smkeyexport -dsuperuser -wpassword -oagentkeys
    エージェント キーが連結されたポリシー/キー ストアからエクスポートされます。
  3. セット アップ ポリシー サーバ ホスト システムに、エージェント キーを含むファイルをコピーします。
新しいキー ストアにエージェント キーをインポートする
連結されたストアからエージェント キーをエクスポートした後、キーを新しいキー ストアにインポートします。
以下の手順に従います。
  1. r12.x ポリシー サーバ ホスト システムにログインします。
  2. 以下のコマンドを実行して、キー ストアにエージェント キーをインポートします。
    smkeyimport -i
    input_filename
     -d
    AdminName
     -w
    AdminPW
     [-c] [-cb] [-cf] [-l] [-v] [-t]
    コマンド引数:
-
i
input_filename
作成した出力ファイルの名前を指定します。指定するファイル名に
.smdif
拡張子が含まれることを確認してください。
-
d
A
dmin_Name
ポリシー サーバの管理者アカウントの名前を指定します。管理者パスワードは、クリア テキストで入力します。
-w
A
dmin_PW
管理者アカウントのパスワードを指定します。
-c
(オプション)入力ファイルにクリアテキストのパスワードが表示されることを指定します。
-cf
(オプション)smkeyimport が FIPS 移行モードで実行されるように指定します。ツールは、FIPS-140 互換の暗号化アルゴリズムを使用してクリア テキスト パスワードおよび共有秘密キーをインポートします。
-
cb
(オプション)下位互換の暗号化アルゴリズムを使用してクリア テキスト パスワードおよび共有秘密キーをインポートするように指示します。
-l
(オプション)エントリを作成して、
input_filename
.log ファイルにログを記録します。
-v
(オプション)トラブルシューティング用に詳細モードを有効にします。
-t
(オプション)トラブルシューティング用にトレースを有効にします。
例:
smkeyimport -iagentkeys -dmyadmin -wsamplepw
smkeyimport ツールは、再暗号化されたエージェント キーをキー ストアにインポートします。
すべてのポリシー サーバを設定して、個別のキー ストアを使用する
並列環境ですべてのポリシー サーバを設定して共通の r12.x キー ストアを使用すると、両方の環境でシングル サインオンを維持します。
以下の手順に従います。
  1. エージェント キーを動的に生成する際に指定されるポリシー サーバを特定します。このポリシー サーバをキー ストアで最後に設定します。
  2. 環境内の他のすべてのポリシー サーバに対して、以下の手順を実行します。
    1. ポリシー サーバ ホスト システムにログインします。
    2. ポリシー サーバ管理コンソールを開きます。
    3. [データ]タブをクリックします。
    4. [データベース]リストから[キー ストア]を選択し、[ポリシー ストアを使用]データベース オプションをクリアします。
    5. [ストレージ]リストからキー ストアのタイプを選択します。
    6. 以下のいずれかの操作を実行します。
      • (LDAP)[LDAP キー ストア]セクションに必要な接続情報を入力します。
      • (ODBC)
        [データソース情報]
        セクションにデータ ソース情報を入力します。
    7. 接続をテストします。
    8. [OK]をクリックします。
    9. ポリシー サーバを再起動して、キー ストアを使用するようにポリシー サーバを設定します。
  3. キー ストアを使用するためにエージェント キーの生成に指定されるポリシー サーバを設定します。
動的エージェント キー生成の再有効化
動的エージェント キー生成を無効にした場合は、エージェント キーの生成に指定されるポリシー サーバの機能を再度有効にします。環境内のすべてのポリシー サーバが新規キー ストアを使用するように設定した後でのみ、この手順を実行します。
以下の手順に従います。
  1. r12.x 管理 UI にログインします。
  2. [管理]-[ポリシー サーバ]をクリックします。
  3. [キー管理]-[エージェント キー管理]をクリックします。
  4. [動的エージェント キーを使用]オプションを選択します。
  5. [サブミット]をクリックします。
    指定されたポリシー サーバはキーを動的に生成するために有効にされます。
ポリシー ストアからキー ストアを分けるために必要な処理が完了しました。