Interstage - ソフトウェア

FUJITSU Software
Interstage Application Server
セキュリティシステム運用ガイド
Windows/Solaris/Linux
B1WS-1027-03Z0(00)
2014年2月
まえがき
本書の目的
本書は、セキュリティシステム運用について説明したものです。
セキュリティシステムを運用するまえに、本書をご一読ください。
本書は、本製品を運用管理される方を対象に記述されています。
前提知識
本書を読む場合、以下の知識が必要です。
・ SSLに関する基本的な知識
・ 認証とアクセス制御に関する基本的な知識
・ インターネットに関する基本的な知識
・ XMLに関する基本的な知識
・ Webサービスに関する基本的な知識
・ 使用するOSに関する基本的な知識
本書の構成
本書は、以下の構成になっています。
第1部 セキュリティ侵害の脅威と対策
第1章 セキュリティ侵害の脅威
セキュリティ侵害の脅威について、その概略を説明します。
第2章 セキュリティ対策
セキュリティ侵害の脅威に対しての対策方法を説明します。
第2部 認証とアクセス制御
第3章 Interstageの認証とアクセス制御機能
Interstageの認証とアクセス制御機能について説明しています。
第4章 Interstage HTTP Serverの認証とアクセス制御の設定
Interstage HTTP Serverで認証とアクセス制御を利用する方法を説明しています。
第5章 Interstage ディレクトリサービスのアクセス制御の設定
Interstage ディレクトリサービスのアクセス制御を利用する方法を説明しています。
第6章 セキュリティ監査証跡機能
Interstageのセキュリティ監査証跡機能について説明しています。
第3部 ファイアウォールとプロキシサーバ
第7章 HTTPトンネリング
HTTPトンネリングを利用する方法について説明しています。
第8章 J2EEのHTTPトンネリング
J2EEでHTTPトンネリングを利用する方法について説明しています。
第9章 プロキシ連携
プロキシ連携について説明しています。
-i-
第4部 SSLによる暗号化通信
第10章 Interstage証明書環境の構築と利用
Interstage証明書環境の構築と利用について説明しています。
第11章 SMEEコマンドによる証明書/鍵管理環境の構築と利用
SMEEコマンドによる証明書/鍵管理環境の構築と利用について説明しています。
第12章 Interstage HTTP ServerでSSLを利用する方法
Interstage HTTP ServerでSSLを利用する方法を説明しています。
第13章 Interstage HTTP Server 2.2でSSLを利用する方法
Interstage HTTP Server 2.2でSSLを利用する方法を説明しています。
第14章 CORBAサービスでSSLを利用する方法
CORBAサービスでSSLを利用する方法を説明しています。
第15章 J2EEでSSLを利用する方法
J2EEでSSLを利用する方法を説明しています。
第16章 Portable-ORBでSSLを利用する方法
Portable-ORBでSSLを利用する方法を説明しています。
第17章 Interstage ディレクトリサービスでSSLを利用する方法
Interstage ディレクトリサービスでSSLを利用する方法を説明しています。
付録A セキュリティ動向
セキュリティ動向と、本製品における実装と推奨について説明します。
付録B Interstage組み込み証明書一覧
本製品に組み込まれている証明書一覧を掲載しています。
輸出許可
本ドキュメントを非居住者に提供する場合には、経済産業大臣の許可が必要となる場合がありますので、ご注意くださ
い。
著作権
Copyright 2002-2014 FUJITSU LIMITED
2014年2月 第3版
2012年8月 初版
- ii -
目 次
第1部 セキュリティ侵害の脅威と対策.........................................................................................................................................1
第1章 セキュリティ侵害の脅威...................................................................................................................................................2
1.1 Interstage管理コンソール....................................................................................................................................................................3
1.1.1 Interstage管理コンソールの動作モデル......................................................................................................................................3
1.1.2 保護すべき資源...........................................................................................................................................................................4
1.1.2.1 保護対象機能.......................................................................................................................................................................4
1.1.2.2 保護対象資源.......................................................................................................................................................................4
1.1.3 資源に対して考えうる脅威...........................................................................................................................................................5
1.1.4 脅威への対策...............................................................................................................................................................................5
1.1.4.1 ユーザID・パスワードの解読への対策.................................................................................................................................5
1.1.4.2 ユーザID・パスワードの搾取への対策.................................................................................................................................5
1.1.4.3 ファイルに記録されている情報の書き換えへの対策..........................................................................................................6
1.1.4.4 ファイルに記録されている情報の搾取への対策.................................................................................................................6
1.1.4.5 ファイル自体の破壊への対策..............................................................................................................................................6
1.2 Interstage シングル・サインオン...........................................................................................................................................................6
1.2.1 構成モデル...................................................................................................................................................................................6
1.2.2 考えられる脅威.............................................................................................................................................................................7
1.2.2.1 業務サーバ、または認証サーバをDMZに配置する場合の脅威.......................................................................................7
1.2.2.2 サーバ資源の削除、書き換え、暴露....................................................................................................................................9
1.2.2.3 通信内容の書き換え、暴露..................................................................................................................................................9
1.2.2.4 利用者のなりすまし...............................................................................................................................................................9
1.2.2.5 認証サーバのなりすまし.......................................................................................................................................................9
1.2.2.6 離席による脅威.....................................................................................................................................................................9
1.2.2.7 DoS攻撃................................................................................................................................................................................9
1.2.2.8 アプリケーションの問題.......................................................................................................................................................10
1.2.2.9 クライアントの問題...............................................................................................................................................................10
1.2.2.10 その他の情報漏洩の脅威................................................................................................................................................10
1.2.3 セキュリティ対策.........................................................................................................................................................................10
1.2.3.1 認証基盤構築ファイル、業務システム構築ファイルの保護..............................................................................................10
1.2.3.2 運用資源へのアクセス権限の設定....................................................................................................................................10
1.2.3.3 通信内容の保護..................................................................................................................................................................11
1.2.3.4 パスワードアタックへの対策................................................................................................................................................11
1.2.3.5 認証サーバの確認..............................................................................................................................................................12
1.2.3.6 認証の有効期間の管理......................................................................................................................................................12
1.2.3.7 業務サーバの運用・管理....................................................................................................................................................12
1.2.3.8 アプリケーションプログラミング............................................................................................................................................13
1.2.3.9 パッチの適用について........................................................................................................................................................13
1.2.3.10 Webブラウザに表示するメッセージ..................................................................................................................................13
1.3 J2EEアプリケーション........................................................................................................................................................................14
1.3.1 J2EEアプリケーションの動作モデル..........................................................................................................................................14
1.3.2 保護すべき資源.........................................................................................................................................................................14
1.3.2.1 J2EEアプリケーション運用時に使用する機能...................................................................................................................15
1.3.2.2 保護対象資源.....................................................................................................................................................................15
1.3.3 資源に対して考えうる脅威.........................................................................................................................................................16
1.3.4 脅威への対策.............................................................................................................................................................................16
1.3.4.1 パスワードの解読への対策.................................................................................................................................................17
1.3.4.2 パスワードの搾取への対策.................................................................................................................................................17
1.3.4.3 ファイルに記録されている情報の書き換えへの対策........................................................................................................17
1.3.4.4 ファイルに記録されている情報の搾取への対策...............................................................................................................17
1.3.4.5 データの破壊への対策.......................................................................................................................................................17
1.3.4.6 ファイル自体の破壊への対策............................................................................................................................................17
1.4 データベース連携サービス ..............................................................................................................................................................18
1.4.1 データベース連携サービスの動作モデル ...............................................................................................................................18
1.4.2 保護すべき資源 ........................................................................................................................................................................18
- iii -
1.4.2.1 保護対象機能.....................................................................................................................................................................19
1.4.2.2 保護対象資源.....................................................................................................................................................................19
1.4.3 資源に対して考えうる脅威 ........................................................................................................................................................20
1.4.4 脅威への対策 ............................................................................................................................................................................21
1.4.4.1 ユーザを限定した運用........................................................................................................................................................21
1.4.4.2 定期的なバックアップ..........................................................................................................................................................23
1.4.4.3 リソースが提供するセキュリティ機能の利用.......................................................................................................................23
1.5 OLTP機能.........................................................................................................................................................................................24
1.5.1 OLTPアプリケーションの動作モデル........................................................................................................................................24
1.5.2 保護すべき資源.........................................................................................................................................................................24
1.5.2.1 保護対象機能.....................................................................................................................................................................24
1.5.2.2 保護対象資源.....................................................................................................................................................................25
1.5.3 資源に対して考えうる脅威.........................................................................................................................................................26
1.5.4 脅威への対策.............................................................................................................................................................................27
1.5.4.1 パスワードの解読への対策.................................................................................................................................................27
1.5.4.2 パスワードの搾取への対策.................................................................................................................................................27
1.5.4.3 ファイルに記録されている情報の書き換えへの対策........................................................................................................27
1.5.4.4 ファイルに記録されている情報の搾取への対策...............................................................................................................28
1.5.4.5 データの破壊への対策.......................................................................................................................................................28
1.5.4.6 ファイル自体の破壊への対策............................................................................................................................................28
1.6 Interstage ディレクトリサービス..........................................................................................................................................................28
1.6.1 Interstage ディレクトリサービスの動作モデル............................................................................................................................28
1.6.2 保護すべき資源.........................................................................................................................................................................29
1.6.2.1 Interstage ディレクトリサービスの機能と保護対象資源......................................................................................................29
1.6.3 考えられる脅威...........................................................................................................................................................................30
1.6.4 脅威と対策..................................................................................................................................................................................30
1.6.4.1 パスワードの暗号化............................................................................................................................................................31
1.6.4.2 通信データの暗号化...........................................................................................................................................................31
1.6.4.3 パスワードの定期的な変更.................................................................................................................................................31
1.6.4.4 ユーザを限定した運用........................................................................................................................................................32
1.6.4.5 アクセス制御の設定............................................................................................................................................................32
1.6.4.6 定期的なデータバックアップの実施...................................................................................................................................32
1.6.4.7 ファイルに対するアクセス権の設定....................................................................................................................................32
1.7 マルチサーバ管理 ...........................................................................................................................................................................33
1.7.1 構成モデル ................................................................................................................................................................................33
1.7.2 保護すべき資源 ........................................................................................................................................................................34
1.7.2.1 保護対象機能.....................................................................................................................................................................34
1.7.2.2 保護対象資源.....................................................................................................................................................................35
1.7.3 資源に対して考えうる脅威 ........................................................................................................................................................35
1.7.4 脅威への対策 ............................................................................................................................................................................35
1.7.4.1 ユーザID・パスワードの解読への対策...............................................................................................................................36
1.7.4.2 ユーザID・パスワードの搾取への対策...............................................................................................................................36
1.7.4.3 ファイルに記録されている情報の書き換えへの対策........................................................................................................36
1.7.4.4 ファイルに記録されている情報の搾取への対策...............................................................................................................36
1.7.4.5 ファイル自体の破壊への対策............................................................................................................................................36
1.8 業務構成管理機能...........................................................................................................................................................................36
1.8.1 業務構成管理機能の動作モデル.............................................................................................................................................36
1.8.2 保護すべき資源.........................................................................................................................................................................37
1.8.2.1 保護対象機能.....................................................................................................................................................................37
1.8.2.2 保護対象資源.....................................................................................................................................................................37
1.8.3 資源に対して考えうる脅威.........................................................................................................................................................37
1.8.4 脅威への対策.............................................................................................................................................................................38
1.8.4.1 ファイルに記録されている情報の書き換えへの対策........................................................................................................38
1.8.4.2 ファイルに記録されている情報の搾取への対策...............................................................................................................38
1.8.4.3 ファイル自体の破壊への対策............................................................................................................................................38
第2章 セキュリティ対策............................................................................................................................................................39
- iv -
2.1 共通の対策........................................................................................................................................................................................39
2.1.1 ユーザアカウントについての注意 .............................................................................................................................................39
2.1.2 バックアップについて.................................................................................................................................................................39
2.1.3 Interstage資源のセキュリティ強化..............................................................................................................................................39
2.2 Interstage管理コンソールに関する対策...........................................................................................................................................41
2.3 Interstage HTTP Server運用に関する対策......................................................................................................................................41
2.4 CORBAサービスに関する対策........................................................................................................................................................44
2.5 Portable-ORBに関する対策..............................................................................................................................................................45
2.6 イベントサービスに関する対策.........................................................................................................................................................46
2.7 Interstage ディレクトリサービスの運用に関する対策........................................................................................................................47
2.8 マルチサーバ管理に関する対策 ....................................................................................................................................................47
2.9 業務構成管理に関する対策............................................................................................................................................................48
2.10 Java EEに関する対策.....................................................................................................................................................................48
2.11 J2EE互換に関する対策..................................................................................................................................................................49
2.11.1 IJServerの運用に関する対策..................................................................................................................................................49
2.11.2 Servletサービスに関する対策..................................................................................................................................................50
2.11.3 EJBサービスに関する対策......................................................................................................................................................51
2.11.3.1 EJBの保護対象資源.........................................................................................................................................................51
2.11.3.1.1 保護対象資源............................................................................................................................................................51
2.11.3.2 資源に対して考えうる脅威................................................................................................................................................52
2.11.3.3 脅威への対策....................................................................................................................................................................52
2.11.3.3.1 ユーザを限定した運用...............................................................................................................................................52
2.11.3.3.2 定期的なバックアップ.................................................................................................................................................52
2.11.3.3.3 SSL通信機能による暗号化.......................................................................................................................................53
2.11.4 Interstage JMSに関する対策...................................................................................................................................................53
第2部 認証とアクセス制御........................................................................................................................................................55
第3章 Interstageの認証とアクセス制御機能.............................................................................................................................56
3.1 Interstage シングル・サインオン.........................................................................................................................................................56
3.2 Interstage ディレクトリサービス..........................................................................................................................................................56
3.3 Interstage HTTP Server.....................................................................................................................................................................57
3.3.1 ユーザ認証(基本認証)..............................................................................................................................................................57
3.3.2 IPアクセスコントロール...............................................................................................................................................................58
3.3.3 クライアント認証(証明書認証)...................................................................................................................................................59
3.3.4 オンライン照合............................................................................................................................................................................59
3.4 Interstage HTTP Server 2.2...............................................................................................................................................................60
3.5 コンポーネントトランザクションサービス............................................................................................................................................60
第4章 Interstage HTTP Serverの認証とアクセス制御の設定...................................................................................................62
4.1 ユーザ認証........................................................................................................................................................................................62
4.2 IPアクセスコントロール......................................................................................................................................................................64
4.3 クライアント認証.................................................................................................................................................................................66
4.3.1 環境定義ファイルの設定...........................................................................................................................................................67
4.4 オンライン照合...................................................................................................................................................................................70
4.4.1 ディレクトリサーバの環境設定...................................................................................................................................................71
4.4.2 SSL通信の環境設定..................................................................................................................................................................73
4.4.3 環境定義ファイルの設定...........................................................................................................................................................78
4.5 関連ディレクティブ............................................................................................................................................................................87
4.5.1 Allow..........................................................................................................................................................................................88
4.5.2 AuthLDAPAttribute....................................................................................................................................................................88
4.5.3 AuthLDAPbasedn.......................................................................................................................................................................89
4.5.4 AuthLDAPBindDN....................................................................................................................................................................90
4.5.5 AuthLDAPBindPassword...........................................................................................................................................................91
4.5.6 AuthLDAPCertPath....................................................................................................................................................................91
4.5.7 AuthLDAPEnabled.....................................................................................................................................................................92
4.5.8 AuthLDAPHost..........................................................................................................................................................................93
4.5.9 AuthLDAPPort...........................................................................................................................................................................94
-v-
4.5.10 AuthLDAPSecure.....................................................................................................................................................................94
4.5.11 AuthLDAPSecureVersion........................................................................................................................................................95
4.5.12 AuthLDAPSlotPath..................................................................................................................................................................96
4.5.13 AuthLDAPTknLbl....................................................................................................................................................................97
4.5.14 AuthLDAPTknPwd..................................................................................................................................................................97
4.5.15 AuthName.................................................................................................................................................................................98
4.5.16 AuthType..................................................................................................................................................................................99
4.5.17 AuthUserFile.............................................................................................................................................................................99
4.5.18 Deny........................................................................................................................................................................................100
4.5.19 <Directory>.............................................................................................................................................................................100
4.5.20 DirectoryIndex........................................................................................................................................................................101
4.5.21 Group......................................................................................................................................................................................102
4.5.22 LoadModule............................................................................................................................................................................102
4.5.23 <Location>..............................................................................................................................................................................103
4.5.24 Order.......................................................................................................................................................................................103
4.5.25 Redirect...................................................................................................................................................................................104
4.5.26 Require....................................................................................................................................................................................105
4.5.27 RewriteCond...........................................................................................................................................................................106
4.5.28 RewriteEngine........................................................................................................................................................................107
4.5.29 RewriteRule............................................................................................................................................................................108
4.5.30 SSLCertExpand......................................................................................................................................................................111
4.5.31 SSLNotifyVers........................................................................................................................................................................112
4.5.32 User.........................................................................................................................................................................................113
第5章 Interstage ディレクトリサービスのアクセス制御の設定..................................................................................................114
5.1 アクセス制御の設計........................................................................................................................................................................114
5.2 アクセス制御リストの定義................................................................................................................................................................115
5.2.1 ファイル形式.............................................................................................................................................................................115
5.2.2 アクセス制御リスト定義ファイルの編集....................................................................................................................................116
5.2.3 アクセス制御リスト定義の評価.................................................................................................................................................122
5.3 アクセス制御リストの登録................................................................................................................................................................124
第6章 セキュリティ監査証跡機能............................................................................................................................................127
6.1 アクセスログ.....................................................................................................................................................................................127
6.2 ログインログ......................................................................................................................................................................................133
6.3 ログインログの運用..........................................................................................................................................................................139
6.4 アプリケーションインタフェース詳細...............................................................................................................................................140
第3部 ファイアウォールとプロキシサーバ................................................................................................................................142
第7章 HTTPトンネリング........................................................................................................................................................143
7.1 HTTPトンネリングを使用したHTTPデータ通信.............................................................................................................................143
7.2 HTTPトンネリングの環境設定.........................................................................................................................................................144
7.2.1 Webサーバの環境設定...........................................................................................................................................................145
7.2.2 クライアントの環境設定............................................................................................................................................................147
7.2.3 HTTPトンネリングの起動方法..................................................................................................................................................149
7.2.4 HTTPプロキシサーバ使用時の設定.......................................................................................................................................152
第8章 J2EEのHTTPトンネリング............................................................................................................................................154
8.1 J2EEアプリケーションクライアントでのHTTPトンネリングの使用方法...........................................................................................154
8.2 IJServer(Webアプリケーションのみ運用)でのHTTPトンネリングの使用方法...............................................................................154
8.3 JavaアプレットでのHTTPトンネリングの使用方法..........................................................................................................................155
第9章 プロキシ連携...............................................................................................................................................................156
9.1 プロキシ連携機能(Interstage Webサービス)..................................................................................................................................156
9.2 プロキシ連携機能(Java EEのWebサービス機能)..........................................................................................................................156
第4部 SSLによる暗号化通信.................................................................................................................................................157
- vi -
第10章 Interstage証明書環境の構築と利用...........................................................................................................................159
10.1 証明書と秘密鍵について.............................................................................................................................................................160
10.2 環境の構築方法............................................................................................................................................................................161
10.2.1 Interstage証明書環境のアクセス権限の設定........................................................................................................................162
10.3 CSRによるInterstage証明書環境の構築方法..............................................................................................................................164
10.3.1 Interstage証明書環境の構築と、CSR(証明書取得申請書)の作成.....................................................................................164
10.3.2 証明書の発行依頼.................................................................................................................................................................168
10.3.3 証明書・CRLの登録...............................................................................................................................................................168
10.4 PKCS#12によるInterstage証明書環境の構築方法......................................................................................................................171
10.4.1 Interstage証明書環境の構築.................................................................................................................................................172
10.4.2 PKCS#12データ、証明書、CRLの登録................................................................................................................................172
10.5 証明書を利用するための設定......................................................................................................................................................175
10.5.1 証明書の利用設定.................................................................................................................................................................175
10.5.2 各サービスの環境設定..........................................................................................................................................................175
10.5.3 認証局の証明書のWebブラウザへの登録(Interstage HTTP ServerでSSLを利用する場合のみ)......................................177
10.6 証明書の管理................................................................................................................................................................................178
第11章 SMEEコマンドによる証明書/鍵管理環境の構築と利用............................................................................................... 181
11.1 証明書/鍵管理環境で使用できるSSLライブラリについて...........................................................................................................182
11.1.1 2種類のSMEEについて.........................................................................................................................................................182
11.1.2 証明書/鍵管理環境について................................................................................................................................................182
11.2 証明書/鍵管理環境の構築方法...................................................................................................................................................186
11.2.1 証明書/鍵管理環境の作成....................................................................................................................................................187
11.2.2 秘密鍵の作成と証明書の取得..............................................................................................................................................189
11.2.3 証明書とCRLの登録..............................................................................................................................................................190
11.3 認証局の証明書(発行局証明書)のWebブラウザへの登録........................................................................................................192
11.4 クライアント証明書の運用.............................................................................................................................................................193
11.4.1 クライアント証明書の取得......................................................................................................................................................193
11.4.2 クライアントCA証明書の登録.................................................................................................................................................193
11.5 証明書/鍵管理環境の移行方法...................................................................................................................................................194
11.6 証明書/鍵管理環境の管理...........................................................................................................................................................196
第12章 Interstage HTTP ServerでSSLを利用する方法......................................................................................................... 198
12.1 Interstage証明書環境のSSL通信.................................................................................................................................................198
12.1.1 Interstage証明書環境の構築.................................................................................................................................................198
12.1.2 Interstage HTTP Serverの環境設定......................................................................................................................................198
12.2 SMEEコマンドで構築する証明書/鍵管理環境のSSL通信.........................................................................................................200
12.2.1 証明書/鍵管理環境の構築....................................................................................................................................................200
12.2.2 ユーザPINの登録...................................................................................................................................................................201
12.2.3 Interstage HTTP Serverの環境設定......................................................................................................................................201
12.3 関連ディレクティブ........................................................................................................................................................................206
12.3.1 Alias........................................................................................................................................................................................207
12.3.2 CustomLog..............................................................................................................................................................................208
12.3.3 DocumentRoot........................................................................................................................................................................210
12.3.4 ErrorLog..................................................................................................................................................................................211
12.3.5 Group......................................................................................................................................................................................212
12.3.6 Listen......................................................................................................................................................................................213
12.3.7 LoadModule............................................................................................................................................................................214
12.3.8 LogFormat..............................................................................................................................................................................214
12.3.9 ScriptAlias..............................................................................................................................................................................217
12.3.10 ServerAdmin.........................................................................................................................................................................218
12.3.11 ServerName..........................................................................................................................................................................218
12.3.12 ServerRoot............................................................................................................................................................................219
12.3.13 SetEnvIf................................................................................................................................................................................220
12.3.14 SSLCertExpand....................................................................................................................................................................221
12.3.15 SSLCertExpire......................................................................................................................................................................222
12.3.16 SSLCertName.......................................................................................................................................................................223
12.3.17 SSLCipherSuite....................................................................................................................................................................224
- vii -
12.3.18 SSLClCACertName..............................................................................................................................................................226
12.3.19 SSLEnvDir............................................................................................................................................................................227
12.3.20 SSLExec................................................................................................................................................................................228
12.3.21 SSLHandshakeTimeout........................................................................................................................................................229
12.3.22 SSLLIBMultiSession............................................................................................................................................................229
12.3.23 SSLMaxSession....................................................................................................................................................................230
12.3.24 SSLNotifyVers......................................................................................................................................................................230
12.3.25 SSLSlotDir............................................................................................................................................................................231
12.3.26 SSLTokenLabel....................................................................................................................................................................232
12.3.27 SSLUserPINFile...................................................................................................................................................................233
12.3.28 SSLVerifyClient...................................................................................................................................................................233
12.3.29 SSLVersion...........................................................................................................................................................................234
12.3.30 Timeout.................................................................................................................................................................................236
12.3.31 User.......................................................................................................................................................................................236
12.3.32 <VirtualHost>.......................................................................................................................................................................237
第13章 Interstage HTTP Server 2.2でSSLを利用する方法...................................................................................................238
第14章 CORBAサービスでSSLを利用する方法.....................................................................................................................239
14.1 CORBAサービスのSSL連携........................................................................................................................................................240
14.2 CORBAサーバの環境設定..........................................................................................................................................................241
14.2.1 CORBAサービスへの秘密鍵/証明書の設定.......................................................................................................................242
14.2.2 configファイルの編集.............................................................................................................................................................244
14.2.3 オブジェクトリファレンス作成時のSSL情報付加の指定.......................................................................................................244
14.3 CORBAクライアントの環境設定...................................................................................................................................................245
14.3.1 CORBAサービスへの秘密鍵/証明書の設定.......................................................................................................................245
14.3.2 configファイルの編集.............................................................................................................................................................246
14.4 イベントサービスにおける環境設定.............................................................................................................................................246
第15章 J2EEでSSLを利用する方法.......................................................................................................................................248
15.1 Servletサービスにおける環境設定...............................................................................................................................................248
15.2 EJBサービスにおける環境設定....................................................................................................................................................249
15.3 Interstage JMSにおける環境設定.................................................................................................................................................249
15.4 Interstage Webサービスにおける環境設定..................................................................................................................................249
第16章 Portable-ORBでSSLを利用する方法.........................................................................................................................252
16.1 Portable-ORBのSSL連携..............................................................................................................................................................252
16.2 Portable-ORBの環境設定.............................................................................................................................................................253
16.2.1 認証局の証明書(発行局証明書)の登録..............................................................................................................................253
16.2.2 クライアント証明書の登録......................................................................................................................................................256
16.2.3 Portable-ORBの設定..............................................................................................................................................................260
第17章 Interstage ディレクトリサービスでSSLを利用する方法................................................................................................263
付録A セキュリティ動向..........................................................................................................................................................264
付録B Interstage組み込み証明書一覧...................................................................................................................................266
索引......................................................................................................................................................................................268
- viii -
第1部 セキュリティ侵害の脅威と対策
システムのセキュリティ対策が不充分であると、不正アクセスなどのセキュリティ侵害によって、システムの動作妨害・不正
利用・情報漏洩などが引き起こされる可能性があります。
本部では、セキュリティ侵害の脅威と対策について説明します。
第1章 セキュリティ侵害の脅威.......................................................................................................2
第2章 セキュリティ対策................................................................................................................39
-1-
第1章 セキュリティ侵害の脅威
本章では、本製品の代表的な運用モデルについて、保護すべき資源(保護対象資源)、保護対象資源に対して考えられ
る脅威、および、それぞれの脅威に対する対策について説明します。
保護対象資源は、大きく以下の資源種別に分類されます。資源種別により責任範囲が異なりますので、責任範囲に該
当する方が必要に応じて本章に記載された対策を講じてください。
なお、保護対象資源例に記載されている資源には、使用する製品やエディション、インストールする機能により、該当し
ないものも含まれています。
資源種別
意味
保護対象資源例
システム環境設定
ファイル
システムログファイ
ル
本製品の動作に影響を与える環境設
定ファイル。
ファイルは本製品が提供しますが、環
境設定内容や出力結果については
本製品を運用管理される方が責任を
負います。
・ Interstage関連の定義
・ ネーミングサービス用データファ
イル
・ Interstage HTTP Server環境定義
ファイル
・ OTSシステム情報格納フォルダ
・ トレースログ格納フォルダ
・ RMPプロパティファイル
・ CORBAサービス用ログファイル
・ コンポーネントトランザクションサー
ビスのエラーログファイル
・ トランザクションログファイル
・ Interstage HTTP Server用ログファ
イル
アプリケーション環
境設定ファイル
アプリケーションロ
グファイル
本製品上で動作するアプリケーション
の動作に影響を与える環境設定ファ
イル。
ファイルは本製品が提供しますが、環
境設定内容や出力結果については
本製品上でアプリケーションを運用管
理される方が責任を負います。
・ ワークユニット定義
・ IJServer環境用定義ファイル
・ IJServer用ログファイル
・ CORBAワークユニット用出力ファ
イル
・ インプリメンテーションリポジトリファ
イル
・ ネーミングサービス用データファ
イル
・ リソース定義格納リポジトリ
・ リソースアクセス情報
・ XA連携用プログラム
・ OTS用リソース管理プログラム
ワークユニットのア
プリケーションプロ
セス
システム環境設定ファイルやアプリ
ケーション環境設定ファイルに定義さ
れた設定にしたがって動作するプロ
セス。
プロセス上で動作するアプリケーショ
ンの処理内容は本製品上でアプリ
ケーションを運用管理される方が責任
-2-
・ ワークユニットのアプリケーション
プロセス
資源種別
意味
保護対象資源例
を負います。プロセス自体の管理は、
本製品が行います。
アプリケーション
アプリケーション実
行資源
アプリケーションの実装。
アプリケーションの処理内容は本製品
上でアプリケーションを運用管理され
る方が責任を負います。アプリケーショ
ンの実装ファイルは、OSがファイル管
理します。
・ J2EEアプリケーションの配備対象
アプリケーションが扱うデータや、アプ
リケーションが連携する製品の定義内
容やログ情報。
データや定義内容、ログ情報は、アプ
リケーションの実装に依存した情報で
す。
アプリケーション実行資源を利用する
機能は本製品が提供しますが、環境
設定内容や出力結果については本
製品上でアプリケーションを運用管理
される方が責任を負います。管理方
法は、OSによるファイル管理、連携製
品による情報管理などがあります。
・ J2EEアプリケーションが認証に利
であるEAR、WAR、JAR、RAR
ファイル
用するユーザIDとパスワード
・ データベース内のデータ
・ データベース内のログ
・ J2EEアプリケーションやInterstage
HTTP Serverが利用するリポジトリ
の格納情報
・ J2EEアプリケーションやInterstage
HTTP Serverが利用するリポジトリ
環境定義ファイル
・ J2EEアプリケーションのセションリ
カバリ用永続化ファイル
1.1 Interstage管理コンソール
一般的なInterstage管理コンソールの運用環境におけるセキュリティ侵害の脅威について、その概略を説明します。
1.1.1 Interstage管理コンソールの動作モデル
Interstage管理コンソールの一般的な動作モデルを以下に示します。
-3-
1.1.2 保護すべき資源
Interstage管理コンソールを使用する際に、保護すべき資源について説明します。
1.1.2.1 保護対象機能
以下に示す機能および手順が保護の対象になります。
・ 利用者の認証
・ Webサーバへの接続
・ Interstage管理コンソールの環境設定
1.1.2.2 保護対象資源
Interstage管理コンソールで利用可能な機能を使用する場合、以下に示す資源が使用されます。セキュリティ対策が要
求される場合は、これらの資源をセキュリティ上の保護対象とすることが望まれます。
機能
保護対象資源
利用者の認証
認証に利用されるユーザIDとパスワード
Webサーバへの接続(Interstage HTTP Serverを
利用する場合)
Interstage HTTP Server環境定義ファイル
-4-
1.1.3 資源に対して考えうる脅威
Interstage管理コンソールが保護対象とするべき資源に対して加えられる可能性があるセキュリティ上の脅威を以下に示
します。
保護対象資源
認証に利用されるユーザIDとパスワード
加えられる可能性のある脅威
・ ユーザIDとパスワードの搾取
・ ユーザIDとパスワードの解読
Interstage HTTP Server環境定義ファイル
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
1.1.4 脅威への対策
保護資源に対して考えうる脅威への対策について、以下に示します。
加えられる可能性のある脅威
対策
ユーザID・パスワードの解読
・ 伝達経路の暗号化
ユーザID・パスワードの搾取
・ 情報を保存しているファイルに対するアクセ
ス権の設定
・ 定期的なパスワードの変更
ファイルに記録されている情報の書き換え
・ 情報を保存しているファイルに対するアクセ
ス権の設定
・ 定期的なデータバックアップの実施
ファイルに記録されている情報の搾取
・ 情報を保存しているファイルに対するアクセ
ス権の設定
ファイル自体の破壊
・ ファイルに対するアクセス権の設定
・ 定期的なデータバックアップの実施
1.1.4.1 ユーザID・パスワードの解読への対策
インターネットのように一般的に開放されている環境内でユーザIDやパスワードが伝達される場合、その伝達経路内で
ユーザIDやパスワードが解読される可能性があります。Interstage管理コンソールでは、伝達経路を暗号化する手段を用
意しているため、暗号化を有効にして運用することが有効な対策となります。
1.1.4.2 ユーザID・パスワードの搾取への対策
イントラネットのように特定の利用者だけに開放されている環境内では、伝達経路内でユーザIDやパスワードが解読され
る可能性はそれほど高くありません。ただし、このような環境の場合、ファイル内にユーザIDやパスワード情報が格納され
ているケースが多くなります。これらの情報格納ファイルが不特定多数のユーザからアクセス可能な場合、そこからユー
ザIDやパスワード情報を搾取される危険性が高くなります。このため、ユーザIDやパスワード情報格納ファイルに対して
適切なアクセス権を設定することが脅威への有効な対策となります。
また、定期的にパスワードを変更することも有効な対策となります。
-5-
1.1.4.3 ファイルに記録されている情報の書き換えへの対策
Interstage管理コンソールの動作環境内には、環境定義ファイルなどが存在しています。これらのファイル内容が不正に
書き換えられると、Interstage管理コンソールが動作しなくなるなどの様々な問題が発生します。このような脅威に対して
は、ファイルに適切なアクセス権を設定することが有効な対策となります。
また、定期的にバックアップを行うことも有効な対策となります。バックアップについては、「運用ガイド(基本編)」の「メンテ
ナンス(資源のバックアップ/他サーバへの資源移行/ホスト情報の変更)」を参照してください。
1.1.4.4 ファイルに記録されている情報の搾取への対策
Interstage管理コンソールを動作させるために必要な情報を格納しているファイルが存在しています。これらのファイルの
記述内容も資産の一部であり、その搾取を防止することが重要となります。このような情報搾取の脅威に対しては、情報
を保存しているファイルに適切なアクセス権を設定することが有効な対策となります。
1.1.4.5 ファイル自体の破壊への対策
Interstage管理コンソールの動作環境内には、環境定義ファイルなどが存在しています。これらのファイル内容が不正に
書き換えられると、Interstage管理コンソールが動作しなくなるなどの様々な問題が発生します。このような脅威に対して
は、ファイルに適切なアクセス権を設定することが有効な対策となります。
また、定期的にバックアップを行うことも有効な対策となります。バックアップについては、「運用ガイド(基本編)」の「メンテ
ナンス(資源のバックアップ/他サーバへの資源移行/ホスト情報の変更)」を参照してください。
1.2 Interstage シングル・サインオン
Interstage シングル・サインオンにおけるセキュリティの脅威と、その対策について説明します。
1.2.1 構成モデル
Interstage シングル・サインオンの基本的な構成モデルを以下に示します。
-6-
Interstage シングル・サインオンは、リポジトリサーバ、認証サーバ、および業務サーバの3種類のサーバで構成され、利
用者はクライアントのWebブラウザによりシステムを利用します。
各サーバでは、Webサーバプログラムが実行され、そのWebサーバプログラム上でシングル・サインオンを実現するプロ
グラムが実行されます。認証サーバ、およびリポジトリサーバは利用者の認証を担い、保護リソースへの認可と各種の業
務サービスは業務サーバで実行されます。業務サーバは複数のサーバを設置することが可能です。
クライアントがインターネットからアクセスする場合、DMZに認証サーバ、業務サーバを配置したシステムを構成すること
が可能です。この場合、必ずInterstage シングル・サインオンシステムでセションの管理を行ってください。また、リポジトリ
サーバはイントラネットに配置し、インターネットから直接アクセスできないように保護する必要があります。
1.2.2 考えられる脅威
Interstage シングル・サインオンを運用する上で想定される脅威について説明します。
1.2.2.1 業務サーバ、または認証サーバをDMZに配置する場合の脅威
セション管理の運用を行う場合には、業務サーバ、または認証サーバをDMZに配置することができます。
ただし、DMZに配置することで業務サーバ、または認証サーバが乗っ取られる危険性が高まり、業務サーバ、または認
証サーバが乗っ取られた場合には、通信データの盗聴や改竄、成りすましなどによる不正使用の脅威となります。
ポイント
万が一、業務サーバ、または認証サーバの乗っ取りが行われた場合は、Interstage シングル・サインオンシステムを構成
するすべてのサーバの暗号化情報(サービスID)を更新する必要があります。サービスIDについては、「シングル・サイン
オン運用ガイド」の「旧バージョンの環境定義と機能について」-「サービスIDファイルについて」を参照してください。
各サーバの暗号化情報(サービスID)の更新方法について以下に説明します。
各コマンドの詳細については、「リファレンスマニュアル(コマンド編)」の「シングル・サインオン運用コマンド」を参照してく
ださい。
・ リポジトリサーバ
- リポジトリサーバを1台で構成、またはリポジトリサーバ(更新系)とリポジトリサーバ(参照系)に負荷分散する構成
の場合
1. ssoupsidコマンドを使用して、リポジトリサーバ(複数台で運用している場合は、更新系)の暗号化情報(サー
ビスID)を更新します。
2. リポジトリサーバを再起動します。(注1)
3. 認証基盤構築ファイルをダウンロードし、認証サーバ、およびリポジトリサーバを複数台で運用している場
合は、リポジトリサーバ(参照系)に転送します。
4. 業務システム構築ファイルをダウンロードし、業務サーバ管理者に配布します。
- リポジトリサーバ(更新系)を増設して負荷分散する構成の場合
1. ssoupsidコマンドを使用して、マスタで運用するSSOリポジトリを作成したリポジトリサーバ(更新系)の暗号化
情報(サービスID)を更新します。
2. リポジトリサーバを再起動します。(注1)
3. 暗号化情報(サービスID)を更新したマシンで以下を行います。
- ssobackupコマンドを使用して、リポジトリサーバ資源を移出します。
- 認証基盤構築ファイルをダウンロードし、認証サーバに転送します。
- 業務システム構築ファイルをダウンロードし、業務サーバ管理者に配布します。
-7-
4. ssorestoreコマンドを使用して、負荷分散している残りのすべてのリポジトリサーバ(更新系)に、移出したリ
ポジトリサーバ資源を移入します。
・ リポジトリサーバ(参照系)
リポジトリサーバ(参照系)を使用している場合は、ssoimpsvコマンドを使用して、リポジトリサーバ(参照系)の暗号化情
報(サービスID)を更新し、リポジトリサーバ(参照系)を再起動します。(注1)
・ 認証サーバ
ssoimpacコマンドを使用して、認証サーバの暗号化情報(サービスID)を更新し、認証サーバを再起動します。(注1)
(注2)(注3)
・ 業務サーバ
ssoimpazコマンドを使用して、業務サーバの暗号化情報(サービスID)を更新し、業務サーバを再起動します。(注1)
・ Javaアプリケーション
Interstage シングル・サインオンが提供するJAASを利用したJavaアプリケーションを使用している場合は、ssoimpazコ
マンドを使用して、業務サーバ用のサービスIDファイルを作成します。サービスIDファイルの作成後、Javaアプリケー
ションを再起動します。
注1)各サーバ、およびアプリケーションの再起動の方法については「シングル・サインオン運用ガイド」の「運用・保守」「シングル・サインオンの停止」、および「シングル・サインオン運用ガイド」の「運用・保守」-「シングル・サインオンの起動」
を参照してください。
注2)統合Windows認証を行っている場合は、統合Windows認証アプリケーションも再起動してください。統合Windows
認証アプリケーションの再起動については、「シングル・サインオン運用ガイド」の「運用・保守」-「シングル・サインオンの
停止」-「認証サーバの停止」、および「シングル・サインオン運用ガイド」の「運用・保守」-「シングル・サインオンの起動」「認証サーバの起動」を参照してください。
注3)認証サーバ間連携を行っている場合は、認証サーバ間連携サービスも再起動してください。認証サーバ間連携サー
ビスの再起動の方法については「シングル・サインオン運用ガイド」の「認証サーバ間連携」-「運用・保守」-「認証サーバ
間連携サービスの起動・停止・削除」を参照してください。
暗号化情報(サービスID)を更新後、認証、および認可が正常に行われない場合、暗号化情報(サービスID)の更新に失
敗している可能性があります。暗号化情報(サービスID)の整合性を確認し、対処を行ってください。
暗号化情報(サービスID)の整合性の確認
・ 暗号化情報(サービスID)の更新を行った各サーバのシステムのログに、sso00204のメッセージが出力されていること
を確認してください。
メッセージが出力されていない場合、暗号化情報(サービスID)の更新が行われていません。再度、暗号化情報(サー
ビスID)の更新を行ってください。
・ 暗号化情報(サービスID)の更新を行った各サーバ、またはJavaアプリケーションの再起動が行われたか確認してく
ださい。
暗号化情報(サービスID)の更新時、システムのログにsso00204のメッセージが出力されますので、それ以降にサー
バを起動したメッセージがシステムのログに出力されているか、またはJavaアプリケーションの起動を行ったか確認し
てください。
再起動を行っていない場合は、サーバ、またはJavaアプリケーションを再起動してください。
・ リポジトリサーバ(参照系)、認証サーバ、および業務サーバのシステムのログに出力されている、sso00204のメッセー
ジの「サービスIDファイルの整合性ID」が、リポジトリサーバ(複数台で運用している場合は、更新系)のシステムのロ
グに出力されている、sso00204のメッセージの「サービスIDファイルの整合性ID」と同じであることを確認してください。
「サービスIDファイルの整合性ID」 が異なっている場合は、再度、暗号化情報(サービスID)の更新を行ってください。
-8-
1.2.2.2 サーバ資源の削除、書き換え、暴露
リポジトリサーバ、認証サーバ、および業務サーバでは、それぞれのサーバを構築するために必要になる認証基盤構築
ファイルや業務システム構築ファイル、またサーバ構築後に作成される定義ファイルやサービスIDファイルなど、プログラ
ムを制御する重要なファイルを持っています。これらの資源に対する脅威として、次の脅威が考えられます。
・ 資源が削除され、システムを構築、運用することができない。
・ 資源が書き換えられることにより、認証や認可が行われないなど管理者の意図と異なる運用となる。
・ 資源が暴露されることで、利用者のなりすましやシステムの乗っ取りが行われる。
1.2.2.3 通信内容の書き換え、暴露
各サーバ間や、クライアントであるWebブラウザとサーバ間では、ユーザ名やパスワード、認証/認可を制御するための情
報など、重要なデータが流れています。これらが書き換えられると、正しい認証/認可の制御が行えなくなってしまいま
す。また、これらのデータが盗聴されることにより、パスワードが漏洩する、なりすましが行われるという危険性があります。
通信内容は、ネットワークからの盗聴だけではなく、通信経路上に存在するプロキシサーバのログや業務サーバのアク
セスログに記録されている情報から漏洩する危険性があります。
1.2.2.4 利用者のなりすまし
Interstage シングル・サインオンでは、利用者は証明書による証明書認証、ユーザ名/パスワードによるパスワード認証、
およびそれらの組み合わせによる認証によって認証されます。
証明書認証では、実際にはそれと対となる秘密鍵が必要であり、この秘密鍵が漏洩することによりなりすましが行われる
危険性があります。同様に、パスワード認証ではユーザ名とパスワードが必要であり、これらが漏洩することでなりすまし
が行われる危険性があります。特にパスワードは他人が推測して試すことが比較的容易にできてしまうため、安易なパス
ワードを使用することは非常に危険です。また、攻撃者が特別なプログラムを用意して、辞書攻撃や総当り攻撃を行う可
能性もあります。
1.2.2.5 認証サーバのなりすまし
パスワード認証の場合、認証サーバは利用者にユーザ名とパスワードの提示を求めます。実際には、Webブラウザが利
用者にユーザ名/パスワード入力ダイアログを表示して入力を促します。通常は、利用者がWebブラウザを使用して業務
サーバにアクセスすることにより、この認証要求が発生します。
しかし、利用者がWebブラウザからユーザ名/パスワードの入力を求められるのは、認証サーバによるものとは限りません。
攻撃者が認証サーバと偽ってサーバを用意し、そこに利用者を導いてユーザ名/パスワードの入力を促すことが考えられ
ます。利用者が気付かず、攻撃者が用意したサーバに正しいユーザ名とパスワードを提示してしまう危険性があります。
1.2.2.6 離席による脅威
利用者がサービスの使用中に席を離れた場合、利用者が認証を行ったWebブラウザを攻撃者が不正に操作する危険
性があります。攻撃者は、利用者の認証が有効な間、利用者に代わって業務システムにアクセスすることができてしまい
ます。
1.2.2.7 DoS攻撃
DoS(Denial of Sevices)攻撃では、攻撃者はシステムに大量のアクセスを発生させてサーバの負荷を上げます。これによ
りレスポンスが悪くなりサービスの質が劣化する、または正規の利用者がサービスを利用できなくなってしまう危険性があ
ります。
-9-
1.2.2.8 アプリケーションの問題
Interstage シングル・サインオンでは、Webブラウザのcookieに重要な情報を格納しています。業務サーバで運用するア
プリケーションにXSS(Cross Site Scripting)などの脆弱性が存在する、または悪意を持ったアプリケーションが配置される
ことで、攻撃者がcookieを入手してなりすましを行う危険性があります。
1.2.2.9 クライアントの問題
Webブラウザに不具合が存在し、それを利用した攻撃によりcookieが漏洩するといった脆弱性が明らかになることがあり
ます。Interstage シングル・サインオンでは、利用者はクライアントにWebブラウザを使用するため、このような問題が脅威
となります。
1.2.2.10 その他の情報漏洩の脅威
Interstage シングル・サインオンでは、Webブラウザに表示するメッセージの内容を利用者の環境に応じてカスタマイズす
ることができます。メッセージとして表示する情報が、攻撃者にとって攻撃の足がかりとなってしまう危険性があります。
1.2.3 セキュリティ対策
想定される脅威への対策方法を以下に示します。
1.2.3.1 認証基盤構築ファイル、業務システム構築ファイルの保護
リポジトリサーバ、認証サーバ、業務サーバを構築するために必要な認証基盤構築ファイルや業務システム構築ファイル
については、ダウンロードする際に指定したパスワードとともに、第三者に漏洩しないように管理し、安全な手段で受け渡
しを行ってください。
なお、ダウンロードした認証基盤構築ファイルや業務システム構築ファイルは、ファイルをダウンロードする際に指定した
パスワードで暗号化されていますが、ファイルの内容を暴露されることで、利用者へのなりすましやシステムの乗っ取りが
行われる可能性があります。このため、サーバの構築が完了した場合は、必ず削除するようにしてください。
万が一、業務サーバ、または認証サーバの乗っ取りが行われた場合は、Interstage シングル・サインオンシステムで使用
している暗号化情報(サービスID)を更新し、今まで使用していた暗号化情報(サービスID)を無効にしてください。
暗号化情報(サービスID)の更新方法については、「1.2.2.1 業務サーバ、または認証サーバをDMZに配置する場合の脅
威」を参照してください。
1.2.3.2 運用資源へのアクセス権限の設定
各サーバの運用資源を保護するには、運用資源に適切なアクセス権限を設定する必要があります。これら資源にアクセ
スを許可するユーザ、プログラムを必要最小限にすることで、攻撃者による削除や書き換え、暴露から資源を保護するこ
とができます。
Interstage シングル・サインオンでは、適切なアクセス権限を必ず運用資源に設定していますが、Webサーバの実効ユー
ザを変更する場合は、アクセス権限の変更を行う必要があります。
また、管理者が誤って運用資源を削除してしまう危険性もあります。運用資源は定期的にバックアップしてください。
Webサーバの実効ユーザを変更する場合は、「シングル・サインオン運用ガイド」の「運用・保守」を参照してください。運
用資源をバックアップする場合は、「運用ガイド(基本編)」を参照してください。
- 10 -
1.2.3.3 通信内容の保護
通信内容の書き換えや暴露の脅威から保護するには、暗号化が有効な対策となります。認証サーバ、業務サーバのプ
ロトコルは必ずhttpsとし、通信内容を暗号化してください。httpsを運用するためには、SSLの環境が必要です。なお、リポ
ジトリサーバについてはInterstage シングル・サインオンのプログラムが通信内容を暗号化していることから、SSL通信を
使用する必要はありません。
httpsによる認証サーバ、業務サーバの環境構築については、「シングル・サインオン運用ガイド」の「環境構築(SSO管理
者編)」、「環境構築(業務サーバ管理者編)」を参照してください。
DoS攻撃を想定して、より安全なシステムを運用するには、ファイアウォールを導入して認証サーバ、リポジトリサーバを
保護するという対策が有効です。詳細については、「シングル・サインオン運用ガイド」の「より安全に利用するために」を
参照してください。
1.2.3.4 パスワードアタックへの対策
認証時に使用するパスワードは、盗まれて不正に利用される危険があります。パスワードを盗む攻撃には、ハッキング
ツールを使用した総当り攻撃や辞書攻撃があります。より安全にシステムを運用するためには、利用者に次のような運用
指導を行う必要があります。
実際には、対象となるシステムの運用要件やセキュリティポリシを加味してルールを決定し、運用指導を行ってください。
また、Interstage シングル・サインオンは、Interstage ディレクトリサービスを使用してリソース情報を一元管理しており、
Interstage ディレクトリサービスを使用する際に必要な管理者DNの認証情報(パスワード)についても保護する必要があり
ます。Interstage ディレクトリサービスの管理者DNの認証情報(パスワード)に対する脅威と対策については、「1.6 Interstage
ディレクトリサービス」を参照してください。
推測されにくいパスワード
パスワードは、他人に推測されにくいものである必要があります。また、ツールなどによる機械的な分析で割り出しにくい
ものである必要があります。
推測されにくいパスワードとは、以下の条件を満たしたものです。
・ 名前や生年月日などの個人情報から推測できない。
・ 可能な限り長い文字列にする。
・ アルファベットの大文字と小文字、さらに数字、記号を混在させる。
・ 単語をそのまま使用しない。
・ 同じ文字の繰り返しなどの簡単な文字列でない。
パスワードの管理方法
パスワードは、絶対に他人に知られないようにしなければなりません。次のような行為は極めて危険です。
・ 他人にパスワードを教える。
・ パスワードのメモを他人の目に触れる場所におく。
・ パスワードをWebブラウザなどに記憶させる。
パスワードの定期的な変更
上記2点について注意したとしても、パスワード漏洩の可能性はあります。そのため、パスワードを定期的に変更すること
で、安全に運用することが可能となります。
- 11 -
ポイント
Interstage シングル・サインオンでは、パスワードの変更機能を提供していません。パスワードの変更については、使用す
るシステムのルールにしたがい、適切な頻度で変更するよう運用指導してください。
パスワードが他人に推測された場合や盗まれた場合には、すべての業務サーバを停止し、以下の操作で設定した再認
証の間隔が経過したことを確認してください。
・ SSOリポジトリのユーザ情報の「ssoCredentialTTL」に設定した利用者ごとの再認証の間隔。
・ Interstage管理コンソールの[セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブ
> [詳細設定[表示]]の[認証後の動作] > [再認証の間隔]で設定した標準の再認証の間隔。
再認証の間隔が経過した後に、推測された、または盗まれたパスワードを変更し、すべての業務サーバを起動し直して
ください。
1.2.3.5 認証サーバの確認
偽の認証サーバが提示したフォーム認証ページ/基本認証ダイアログに、利用者が誤ってユーザ名/パスワードを入力し
てしまわないよう指導が必要です。
・ 正しい認証サーバのホスト名(URL)を利用者に広報します。
・ 業務サーバへのアクセスは、Webブラウザに設定したブックマークや、信頼できるサイトに用意されているリンクを利
用させます。
・ Webブラウザが表示する基本認証ダイアログについて要求元が不確かである場合は、一度キャンセルしてWebブラ
ウザのアドレス表示域に表示されたURLが正しい認証サーバと一致していることを確認させます。
・ Webブラウザが表示するフォーム認証ページについて要求元が不確かである場合は、Webブラウザのアドレス表示
域に表示されたURLが正しい認証サーバと一致していることを確認させます。
1.2.3.6 認証の有効期間の管理
攻撃者が利用者の離席によって、利用者が認証を行ったWebブラウザを不正に操作し、業務システムにアクセスするこ
とを防止するためには、利用者の認証の有効期間(セション)を適切に管理する必要があります。
・ サービス使用中に離席する場合は、セションを無効にするよう利用者に運用指導してください。
・ 利用者がセションを無効にせず離席した場合でも一定時間経過後に自動的にセションが無効になるようシステム設
計してください。
Interstage シングル・サインオンにおけるセションの管理については、「シングル・サインオン運用ガイド」の「概要」を参照
してください。
1.2.3.7 業務サーバの運用・管理
業務サーバの保護リソースへの不当なアクセスを防止して、正しい認証/認可制御を行うためには業務サーバを適切に
運用、管理する必要があります。
特に、業務サーバをMicrosoft(R) Internet Information Servicesに組み込んでいる場合、適切に運用しないと、保護リソー
スに対して意図した通りにアクセス制御されない場合があります。「シングル・サインオン運用ガイド」の「環境構築(業務
サーバ管理者編)」-「業務サーバの追加」を参照して、適切な運用を行なってください。
- 12 -
・ 業務サーバのプロトコルはhttpsとし、Webブラウザとの通信内容を暗号化してください。
・ 同じサーバの別のポートで不要なWebサーバを運用しないでください。
・ 業務サーバのサービスIDは、業務サーバのFQDNで作成してください。
・ 業務サーバにCGIなどのアプリケーションを配置する場合は、XSS(Cross Site Scripting)などのセキュリティ上の問題
がないことを確認してください。
・ 業務サーバにログインできるユーザは必要最小限に制限するとともに、ログインの事実を記録してください。
1.2.3.8 アプリケーションプログラミング
業務サーバで運用するアプリケーションは、バッファオーバフローやXSS(Cross Site Scripting)の脆弱性を残さず、セキュ
アにプログラミングされていることを確認してください。
これはInterstage シングル・サインオンを使用する場合に限らず、Webアプリケーションに一般的に求められる対策です。
また、Interstageで提供しているシングル・サインオンJavaAPIを使用する場合には、以下のような脅威が考えられますの
で、各脅威に対する対処を実施してください。
シングル・サインオンJavaAPIを使用したサーブレットアプリケーションの場合
加えられる可能性のある脅威
アプリケーションの改ざん
対策
・ IJServer、またはIJServerクラスタの運用を行
うアカウントのパスワードの漏洩や採取に備
えパスワードの定期的な変更を行ってくだ
さい。
アプリケーションの破壊
・ 定期的なデータバックアップの実施をしてく
ださい。
クレデンシャル情報およびUID/PASSWORDの
漏洩
・ WebサーバをSSLで運用してください。
・ Webサーバのアクセスログファイルに対する
アクセス権限を必要最低限に設定してくだ
さい。
・ FORMのメソッドにGETを使用せずにPOST
を使用してください。
定義ファイル(ログイン構成ファイル)の改ざん・
暴露
・ 運用資源に対するアクセス権限を必要最小
定義ファイル(ログイン構成ファイル)の破壊
・ 定期的なデータバックアップの実施をしてく
限にしてください。
ださい。
1.2.3.9 パッチの適用について
Webブラウザや各OSの不具合に関する情報は、定期的に確認する必要があります。問題が発見された場合、パッチや
回避方法が公開されます。利用者が使用するWebブラウザには、常に最新のセキュリティパッチを適用させてください。
同様に、各サーバのOSについても最新の修正を適用するようにしてください。
1.2.3.10 Webブラウザに表示するメッセージ
Webブラウザに表示するメッセージをカスタマイズする場合には、その内容に十分注意してください。
・ 攻撃の足がかり、ヒントとなるような情報が含まれないようにしてください。
- 13 -
・ 電話番号やメールアドレス、URLなどを表示する場合は、それを公開することに問題がないことを確認してください。
1.3 J2EEアプリケーション
一般的なJ2EEアプリケーションにおけるセキュリティ侵害の脅威について、その概略を説明します。
1.3.1 J2EEアプリケーションの動作モデル
J2EEアプリケーションの一般的な動作モデルを以下に示します。
一般的なJ2EEアプリケーションでは、J2EEアプリケーションのクライアントプログラムが各種のコンポーネントを利用して業
務を実行します。このJ2EEアプリケーションのクライアントプログラムは、単独のJavaプログラムとして実行されることも、Web
ブラウザ経由で実行されることもあります。Webブラウザ経由での実行の場合、Webサーバがその動作に介在します。こ
のWebサーバはDMZ(DeMilitarized Zone)におき、Webブラウザ、イントラネット領域のどちらに対するアクセスの場合も
ファイアウォールを経由させるようにするのが一般的です。
DMZにJDKを配置することはセキュリティ上問題となる場合があります。DMZでServletサービスを運用する場合には、こ
の問題を回避するためのひとつの手段として、JDKの代わりにJREを用いてServletサービスを運用する方法が挙げられ
ます。
1.3.2 保護すべき資源
一般的なJ2EEアプリケーションを使用する際に保護すべき資源について説明します。
- 14 -
1.3.2.1 J2EEアプリケーション運用時に使用する機能
一般的なJ2EEアプリケーションを運用する場合、以下に示す機能を使用することができます。
・ 利用者の認証
・ Webサーバへの接続
・ ServletおよびEJBの呼び出し
・ データベースからのデータ読み込み
・ データベースへのデータ書き込み
・ Webサーバの動作環境設定
・ ServletおよびEJB実行環境の設定
・ J2EEアプリケーションの配備
・ セション情報のリカバリ
どの機能を使用するかは、利用者のアプリケーションプログラムの構成によって変わります。ここであげた機能が、すべて
のJ2EEアプリケーションで使用されているわけではありません。
1.3.2.2 保護対象資源
J2EEアプリケーションで可能な機能を使用する場合、以下に示す資源が使用されます。高度なセキュリティ対策が要求
される場合は、これらの資源をセキュリティ上の保護対象とすることが望まれます。
機能
保護対象資源
利用者の認証
認証に使用されるパスワード
Webサーバへの接続(Interstage HTTP Serverを
利用する場合)
Interstage HTTP Server用ログファイル
・ アクセスログ
・ エラーログ
ServletおよびEJBの呼び出し
IJServer用ログファイル
・ コンテナログ
・ コンテナ情報ログ
データベースからのデータ読み込み
・ データベース内のログ
・ データベース内のデータ
データベースへのデータ書き込み
・ データベース内のログ
・ データベース内のデータ
Webサーバの動作環境設定(Interstage HTTP
Serverを利用する場合)
Interstage HTTP Server用環境定義ファイル
ServletおよびEJB実行環境の設定
IJServer環境用定義ファイル
J2EEアプリケーションの配備
配備対象であるEAR、WAR、JAR、RARファイ
ル
セション情報のリカバリ
セションリカバリ用永続化ファイル
- 15 -
1.3.3 資源に対して考えうる脅威
J2EEアプリケーションが保護対象とするべき資源に対して加えられる可能性があるセキュリティ上の脅威を以下に示しま
す。
保護対象資源
認証に使用されるパスワード
加えられる可能性のある脅威
・ パスワードの解読
・ パスワードの搾取
Interstage HTTP Server用ログファイル
・ ファイルに記録されている情報の書き換え
・ アクセスログ
・ ファイルに記録されている情報の搾取
・ エラーログ
・ ファイル自体の破壊
IJServer用ログファイル
・ ファイルに記録されている情報の書き換え
・ コンテナログ
・ ファイルに記録されている情報の搾取
・ コンテナ情報ログ
・ ファイル自体の破壊
データベース内のログ
・ 記録されている情報の書き換え
・ 記録されている情報の搾取
・ データの破壊
データベース内のデータ
・ 記録されている情報の書き換え
・ 記録されている情報の搾取
・ データの破壊
Interstage HTTP Server用環境定義ファイル
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
IJServer環境用定義ファイル
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
配備対象であるEAR、WAR、JAR、RARファイ
ル
・ ファイル自体の破壊
セションリカバリ用永続化ファイル
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
1.3.4 脅威への対策
保護資源に対して考えうる脅威への対策について、その概略を以下に示します。なお、具体的な対策については、個々
のコンポーネントのための記述をご参照ください。
加えられる可能性のある脅威
対策
パスワードの解読
・ パスワードの暗号化
パスワードの搾取
・ パスワード情報格納ファイルに対するアクセ
ス権の設定
- 16 -
加えられる可能性のある脅威
ファイルに記録されている情報の書き換え
対策
・ 情報を保存しているファイルに対するアクセ
ス権の設定
・ 定期的なデータバックアップの実施
ファイルに記録されている情報の搾取
・ 情報を保存しているファイルに対するアクセ
ス権の設定
データの破壊
・ 定期的なデータバックアップの実施
ファイル自体の破壊
・ ファイルに対するアクセス権の設定
1.3.4.1 パスワードの解読への対策
インターネットのように一般的に開放されている環境内でパスワードが伝達される時、その伝達経路内においてパスワー
ドが解読される可能性があります。このような場合は、パスワードを暗号化することで解読の脅威に対抗することができま
す。Webブラウザ経由で、httpsプロトコルを使った通信を行うことは、このケースの例です。
1.3.4.2 パスワードの搾取への対策
イントラネットのように特定の利用者にのみ開放されている環境内では、伝達経路内でパスワードが解読される可能性は
それほど高くありません。ただし、そのような環境はパスワードそのものの管理元となることがあります。このような場合、パ
スワード情報はファイル内に格納されているというケースが多くなります。このパスワード情報格納ファイルが不特定多数
のユーザからアクセス可能になっていると、そこからパスワード情報を搾取される危険性が高くなります。このため、パス
ワード情報格納ファイルに対して適切なアクセス権を設定することは、脅威への有効な対策となります。
1.3.4.3 ファイルに記録されている情報の書き換えへの対策
J2EEアプリケーションの動作環境内には環境定義ファイルなどが存在しています。これらのファイル内容が不正に書き
換えられると、J2EEアプリケーションが動作しなくなるなどの様々な問題が発生し得ます。このような脅威に対しては、情
報を保存しているファイルに適切なアクセス権を設定することが有効です。また、不正な書き換えが起こった場合に備え
て定期的なデータバックアップを実施するということも有効な対策となります。
1.3.4.4 ファイルに記録されている情報の搾取への対策
J2EEアプリケーションを動作させるために必要な情報を格納しているファイルが存在しています。これらのファイルの記
述内容も資産の一部であり、その搾取を防止することは重要です。このような情報搾取の脅威に対しては、情報を保存
しているファイルに適切なアクセス権を設定することが有効です。
1.3.4.5 データの破壊への対策
J2EEアプリケーションにはデータベースを利用するものが存在します。このようなケースでは、データベースに格納され
たデータ自体の保護にも気を配るべきです。データベース自身が持つセキュリティ機能を利用することに加えて、定期的
にデータバックアップを実施することが、データ破壊への有効な対策となります。
1.3.4.6 ファイル自体の破壊への対策
J2EEアプリケーションの動作環境内には、その存在が必須であるファイルがあります。このようなファイルが何らかの理由
で破壊されてしまうと、J2EEアプリケーションの動作は不可能になります。このようなファイル破壊の脅威に対しては、ファ
イル自体に適切なアクセス権を設定することが有効です。
- 17 -
1.4 データベース連携サービス
データベース連携サービスを利用した運用形態におけるセキュリティ侵害の脅威について、その概略を説明します。
データベース連携サービスは、以下の機能を利用した場合に必要となります。
・ J2EEアプリケーションにおける「分散トランザクション機能」
・ OLTP機能における「グローバルトランザクション機能(グローバルトランザクション連携)」
ポイント
データベース連携サービスが提供する機能については、OLTPサーバ運用ガイドの「データベース連携サービスが実現
する機能」、または「J2EE ユーザーズガイド(旧版互換)」の「JTS/JTA編」を参照してください。
1.4.1 データベース連携サービスの動作モデル
データベース連携サービスの一般的な動作モデルを以下に示します。
上記の図は、データベース連携サービスが利用される部分を記載しています。その他のゾーンについては、J2EEアプリ
ケーションおよびOLTP機能に依存します。また、これら依存する機能によりデータベース連携サービスが配置されるゾー
ンも異なります。
1.4.2 保護すべき資源
データベース連携サービスを使用する際に保護すべき資源について説明します。
- 18 -
1.4.2.1 保護対象機能
以下に示す機能および手順が保護の対象となります。
・ OTSシステムの環境設定
・ リソース定義ファイルの登録・削除
・ XA連携用プログラムの作成・削除
・ OTS用リソース管理プログラムの作成・削除
・ OTSシステムの運用操作
・ OTS用リソース管理プログラムの運用操作
・ JTS用リソース管理プログラムの運用操作
・ アプリケーションの運用操作
・ トランザクションの操作
・ リソースアクセス
どの機能を使用するかは、利用者の動作モデルによって異なります。データベース連携サービス利用時のすべてのケー
スにおいて、ここで列挙した機能が該当するわけではありません。
1.4.2.2 保護対象資源
データベース連携サービスでは、以下に示す資源が使用されます。高度なセキュリティ対策が要求される場合は、これ
らの資源をセキュリティ上の保護対象とすることが望まれます。
機能
OTSシステムの環境設定
保護対象資源
・ OTSシステム情報格納フォルダ
・ トランザクションログファイル
・ トレースログ格納フォルダ
リソース定義ファイルの登録・削除
・ リソース定義格納リポジトリ
XA連携用プログラムの作成・削除
・ XA連携用プログラム
OTS用リソース管理プログラムの作成・削除
・ リソース管理プログラム
OTSシステムの運用操作
・ OTSシステム情報格納フォルダ
・ トランザクションログファイル
・ トレースログ格納フォルダ
OTS用リソース管理プログラムの運用操作
・ リソース定義格納リポジトリ
・ リソースアクセス情報
JTS用リソース管理プログラムの運用操作
・ リソース定義格納リポジトリ
・ RMPプロパティファイル
・ リソースアクセス情報
・ トレースログ格納フォルダ
アプリケーションの運用操作
・ リソース定義格納リポジトリ
・ リソースアクセス情報
- 19 -
機能
保護対象資源
・ トレースログ格納フォルダ
トランザクションの操作
・ トランザクションログファイル
・ トレースログ格納フォルダ
・ リソースアクセス情報
リソースアクセス
・ トレースログ格納フォルダ
保護対象資源の配置場所を以下に示します。
・ OTSシステム情報格納フォルダ
データベース連携サービスをインストールしたフォルダ\etc フォルダ
・ トランザクションログファイル
OTSシステム作成時に指定したトランザクションログファイル
・ トレースログ格納フォルダ
データベース連携サービスをインストールしたフォルダ\var フォルダ
・ リソース定義格納リポジトリ
データベース連携サービスをインストールしたフォルダ\etc\repository フォルダ
・ RMPプロパティファイル
データベース連携サービスをインストールしたフォルダ\etc\RMP.properties ファイル
・ リソースアクセス情報
データベース連携サービスをインストールしたフォルダ\etc\repository フォルダ
・ OTSシステム情報格納フォルダ
データベース連携サービスをインストールしたディレクトリ/etc ディレクトリ
・ トランザクションログファイル
OTSシステム作成時に指定したトランザクションログファイル
・ トレースログ格納フォルダ
データベース連携サービスをインストールしたディレクトリ/var ディレクトリ
・ リソース定義格納リポジトリ
データベース連携サービスをインストールしたディレクトリ/etc/repository ディレクトリ
・ RMPプロパティファイル
データベース連携サービスをインストールしたディレクトリ/etc/RMP.properties ファイル
・ リソースアクセス情報
データベース連携サービスをインストールしたディレクトリ/etc/repository ディレクトリ
1.4.3 資源に対して考えうる脅威
データベース連携サービスが保護対象とするべき資源に対して想定できる脅威を以下に示します。
保護対象資源
OTSシステム情報格納フォルダ
脅威
・ 情報の書き換え
- 20 -
保護対象資源
脅威
・ 情報の搾取
・ データの破壊
・ ファイルの破壊
トランザクションログファイル
・ 情報の書き換え
・ 情報の搾取
・ データの破壊
・ ファイルの破壊
トレースログ格納フォルダ
・ 情報の書き換え
・ 情報の搾取
・ データの破壊
・ ファイルの破壊
リソース定義格納リポジトリ
・ 情報の書き換え
・ 情報の搾取
・ データの破壊
・ ファイルの破壊
RMPプロパティファイル
・ 情報の書き換え
・ 情報の搾取
・ データの破壊
・ ファイルの破壊
リソースアクセス情報
・ パスワードの解読
・ パスワードの搾取
1.4.4 脅威への対策
データベース連携サービスでは、以下の対処を実施することにより、セキュリティ侵害への対策を図ることができます。
・ ユーザを限定した運用
・ 定期的なバックアップ
・ リソースが提供するセキュリティ対策機能の利用
1.4.4.1 ユーザを限定した運用
ユーザを限定した運用を実施することにより、以下の脅威に対する防衛が可能です。
・ 情報の書き換え
・ 情報の搾取
・ データの破壊
・ ファイルの破壊
・ パスワードの搾取
- 21 -
ユーザを限定した運用は、以下の3つの手順により実現されます。
・ サービスの抑止
・ 特定ユーザによる運用
・ 保護対象資源のアクセス権を変更
サービスの抑止
Interstageが動作するノードにおいて、リモートからアクセス可能なサービス(telnetやftpなど)を抑止することで、不正なア
クセスを防ぎます。これにより、ネットワークを介した不正アクセスを防止できます。
リモートからアクセス可能なサービスの抑止方法などについては、オペレーティングシステムのマニュアルを参照してくだ
さい。
特定ユーザによる運用
システム全体の運用を「特定ユーザ」に固定することで、情報の書き換えを防ぎます。データベース連携サービスでは、
オペレーティングシステムごとに以下の「特定ユーザ」を選定します。
Administrator (管理者ユーザ)
root (スーパユーザ)
選定した「特定ユーザ」を使用して、データベース連携サービスの環境構築/運用を開始します。すでに環境が構築さ
れている場合は、利用している機能に応じて、以下の作業を再度実施してください。
・ アプリケーションの作成
- 「特定ユーザ」の権限を設定したアプリケーションを作成します。
・ リソース管理プログラムの作成
- 「特定ユーザ」の権限を設定したリソース管理プログラムを作成します。
・ アプリケーションの運用
- 「特定ユーザ」の権限でアプリケーションを起動します。
保護対象資源のアクセス権を変更
保護対象資源のアクセス権を変更することにより、「特定ユーザ」以外からのアクセスを禁止します。これにより保護対象
資源への不正アクセスを防止できます。本対策を実施する場合は、前述した「特定ユーザによる運用」を事前に実施し
ている必要があります。また、本作業も「特定ユーザ」を利用して実施してください。
以下に手順を提示します。
1. OTSシステムおよびリソース管理プログラムを停止します。
isstop -f
2. 保護対象資源のアクセス権を変更します。
変更対象となる保護対象資源は、以下の5つです。
- OTSシステム情報格納フォルダ
- 22 -
- トランザクションログファイル
- トレースログ格納フォルダ
- リソース定義格納リポジトリ
- RMPプロパティファイル
対象保護資源の[プロパティ]を使用してアクセス権を変更してください。詳細な設定方法については、オペレーティ
ングシステムのマニュアルを参照してください。
chmodコマンドを使用してアクセス権を変更してください。詳細な設定方法については、オペレーティングシステム
のマニュアルを参照してください。
3. OTSシステムおよびリソース管理プログラムを起動します。
isstart
1.4.4.2 定期的なバックアップ
定期的なバックアップを実施することにより、不正な書き換えが発生した場合も、環境を復元することが可能です。定期
的なバックアップにより、以下の脅威に対する防衛が可能です。
・ 情報の書き換え
・ データの破壊
・ ファイルの破壊
定期的なバックアップによる運用は、以下の2つの手順があります。
・ データのバックアップ
・ データのリストア
データのバックアップ
otsbackupsysコマンドを使用して定期的にバックアップを実施します。本コマンドを定期的に実施することにより、保護対
象資源が破壊される前の情報を保存し、破壊された場合にも必要な世代をリストアすることが可能となります。コマンドの
詳細については、「リファレンスマニュアル(コマンド編)」を参照してください。
データのリストア
保護対象資源に対して不正な書き換えや破壊を検出した場合に実施します。データのリストアは、otsrestoresysコマンド
を使用して実施します。バックアップされた任意のファイルを指定してリストアしてください。コマンドの詳細については、
「リファレンスマニュアル(コマンド編)」を参照してください。
1.4.4.3 リソースが提供するセキュリティ機能の利用
インターネットのように一般的に開放されている環境内でパスワードが伝達される場合、その伝達経路内においてパス
ワードが解読される可能性があります。データベース連携サービスでは、各リソースベンダが公開するセキュリティ機能を
使用してパスワードを暗号化することにより、以下の脅威に対する防衛が可能です。
・ パスワードの解読
詳細な機能については、各リソースベンダのマニュアルを参照してください。
- 23 -
1.5 OLTP機能
一般的なOLTPアプリケーションにおけるセキュリティ侵害の脅威について、その概略を説明します。
1.5.1 OLTPアプリケーションの動作モデル
OLTPアプリケーションの一般的な動作モデルを以下に示します。
一般的なOLTPアプリケーションでは、CORBAクライアントプログラムより業務を実行します。このクライアントプログラム
は、単独のCORBAのクライアントプログラムとして実行されることも、Webブラウザからアプレットで実行されることもありま
す。CORBAクライアントプログラムはイントラネット内に配置することが一般的ですが、インターネット領域に配置した場
合、Webサーバ(「HTTPトンネリング」)がその動作に介在します。このWebサーバはDMZ(DeMilitarized Zone)におき、イ
ンターネット領域、イントラネット領域のどちらに対するアクセスの場合もファイアウォールを経由させるようにするのが一
般的です。
1.5.2 保護すべき資源
一般的なOLTPアプリケーションを使用する際に保護すべき資源について説明します。
1.5.2.1 保護対象機能
以下に示す機能および手順が保護の対象になります。
・ 利用者の認証
・ CORBAアプリケーション呼び出し
・ トランザクションアプリケーションの呼び出し
- 24 -
・ ネーミングサービスへのアクセス
・ インタフェースリポジトリへのアクセス
・ ロードバランスへのアクセス
・ Interstageの環境設定
・ ワークユニット定義の登録/削除
どの機能を使用するかは、利用者の動作モデルによって異なります。ここで列挙した機能が、OLTPアプリケーション利
用時のすべてのケースに該当するわけではありません。
1.5.2.2 保護対象資源
OLTPアプリケーションで可能な機能を使用する場合、以下に示す資源が使用されます。高度なセキュリティ対策が要求
される場合は、これらの資源をセキュリティ上の保護対象とすることが望まれます。
機能
利用者の認証
CORBAアプリケーション呼び出し
保護対象資源
認証に使用されるパスワード
・ CORBAサービス用ログファイル
・ インプリメンテーションリポジトリファイル
・ CORBAワークユニット用出力ファイル
- 標準出力用ログファイル
- 標準エラー出力ファイル
トランザクションアプリケーションの呼び出し
・ エラーログファイル
・ ワークユニット定義
・ トランザクションアプリケーション用出力ファ
イル
- ファイルトランザクションアプリケーション
用標準出力ファイル
- トランザクションアプリケーション用標準
エラー出力ファイル
ネーミングサービスへのアクセス
・ ネーミングサービス用データファイル
インタフェースリポジトリへのアクセス
・ インタフェースリポジトリ用データファイル
ロードバランスへのアクセス
・ ロードバランス用ネーミングサービス
Interstageの環境設定
・ Interstage関連の定義
- Interstageシステム定義ファイル
- Interstage動作環境定義
- CORBAサービスの動作環境ファイル
- コンポーネントトランザクションサービス
の環境定義ファイル
ワークユニット定義の登録/削除
・ ワークユニット定義
- 25 -
1.5.3 資源に対して考えうる脅威
OLTPアプリケーションが保護対象とするべき資源に対して加えられる可能性があるセキュリティ上の脅威を以下に示し
ます。
保護対象資源
認証に使用されるパスワード
加えられる可能性のある脅威
・ パスワードの解読
・ パスワードの搾取
CORBAサービス用ログファイル
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
インプリメンテーションリポジトリファイル
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
CORBAワークユニット用出力ファイル
・ 記録されている情報の書き換え
・ 記録されている情報の搾取
・ データの破壊
エラーログファイル
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
ワークユニット定義
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
トランザクションアプリケーション用出力ファイ
ル
・ 記録されている情報の書き換え
・ 記録されている情報の搾取
・ データの破壊
ネーミングサービス用データファイル
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
インタフェースリポジトリ用データファイル
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
ロードバランス用ネーミングサービス
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
Interstage関連の定義
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
ワークユニット定義
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
- 26 -
保護対象資源
加えられる可能性のある脅威
・ ファイル自体の破壊
1.5.4 脅威への対策
保護資源に対して考えうる脅威への対策について、以下に示します。
加えられる可能性のある脅威
対策
パスワードの解読
・ パスワードの暗号化
パスワードの搾取
・ パスワードの暗号化
・ 定期的なパスワードの変更
ファイルに記録されている情報の書き換え
・ 情報を保存しているファイルに対するアクセ
ス権の設定
・ 定期的なデータバックアップの実施
ファイルに記録されている情報の搾取
・ 情報を保存しているファイルに対するアクセ
ス権の設定
データの破壊
・ ファイルに対するアクセス権の設定
・ 定期的なデータバックアップの実施
ファイル自体の破壊
・ ファイルに対するアクセス権の設定
・ 定期的なデータバックアップの実施
1.5.4.1 パスワードの解読への対策
インターネットのように一般的に開放されている環境内でパスワードが伝達される時、その伝達経路内においてパスワー
ドが解読される可能性があります。このような場合は、パスワードを暗号化することで解読の脅威に対抗することができま
す。
1.5.4.2 パスワードの搾取への対策
イントラネットのように特定の利用者にのみ開放されている環境内では、伝達経路内でパスワードが解読される可能性は
それほど高くありません。ただし、そのような環境はパスワードそのものの管理元となることがあります。このような場合、パ
スワード情報はファイル内に格納されているというケースが多くなります。このパスワード情報格納ファイルが不特定多数
のユーザからアクセス可能になっていると、そこからパスワード情報を搾取される危険性が高くなります。このため、パス
ワード情報格納ファイルに対して適切なアクセス権を設定することは、脅威への有効な対策となります。
1.5.4.3 ファイルに記録されている情報の書き換えへの対策
OLTPアプリケーションの動作環境内には環境定義ファイルなどが存在しています。これらのファイル内容が不正に書き
換えられると、OLTPアプリケーションが動作しなくなるなどの様々な問題が発生し得ます。このような脅威に対しては、
ファイルに適切なアクセス権を設定することが有効です。
また、定期的にバックアップを行うことも有効です。バックアップについては、「運用ガイド(基本編)」の「メンテナンス(資源
のバックアップ/他サーバへの資源移行/ホスト情報の変更)」を参照してください。
- 27 -
1.5.4.4 ファイルに記録されている情報の搾取への対策
OLTPアプリケーションを動作させるために必要な情報を格納しているファイルが存在しています。これらのファイルの記
述内容も資産の一部であり、その搾取を防止することは重要です。このような情報搾取の脅威に対しては、情報を保存
しているファイルに適切なアクセス権を設定することが有効です。
1.5.4.5 データの破壊への対策
OLTPアプリケーションの動作環境内には環境定義ファイルなどが存在しています。これらのファイル内容が不正に書き
換えられると、OLTPアプリケーションが動作しなくなるなどの様々な問題が発生し得ます。このような脅威に対しては、
ファイルに適切なアクセス権を設定することが有効です。
また、定期的にバックアップを行うことも有効です。バックアップについては、「運用ガイド(基本編)」の「メンテナンス(資源
のバックアップ/他サーバへの資源移行/ホスト情報の変更)」を参照してください。
1.5.4.6 ファイル自体の破壊への対策
OLTPアプリケーションの動作環境内には環境定義ファイルなどが存在しています。これらのファイル内容が不正に書き
換えられると、OLTPアプリケーションが動作しなくなるなどの様々な問題が発生し得ます。このような脅威に対しては、
ファイルに適切なアクセス権を設定することが有効です。
また、定期的にバックアップを行うことも有効です。バックアップについては、「運用ガイド(基本編)」の「メンテナンス(資源
のバックアップ/他サーバへの資源移行/ホスト情報の変更)」を参照してください。
1.6 Interstage ディレクトリサービス
Interstage ディレクトリサービスにおけるセキュリティ侵害の脅威について、その概略を説明します。
1.6.1 Interstage ディレクトリサービスの動作モデル
Interstage ディレクトリサービスの一般的な動作モデルを以下に示します。
- 28 -
Interstage ディレクトリサービスは、一般的に、J2EEアプリケーションのセキュリティ機能やInterstage HTTP Serverのオンラ
イン照合機能で、ディレクトリサービスとして使用されます。これらのInterstage ディレクトリサービスクライアントは、イントラ
ネット内に配置することが一般的です。また、Interstage ディレクトリサービスクライアントとInterstage ディレクトリサービスの
サーバとの間にSSLアクセラレータを配置します。
マルチサーバ管理を行う際には、実際の業務データが流れるLANと、管理サーバと管理対象サーバの間で運用管理の
データを流すLANとを分ける方法が一般的です。このマルチサーバ管理のログイン認証機能で、Interstage ディレクトリ
サービスを使用する場合は、管理サーバとInterstage ディレクトリサービスのサーバとの間にSSLアクセラレータを配置し
ます。
1.6.2 保護すべき資源
Interstage ディレクトリサービスを使用する際に保護すべき資源について説明します。
1.6.2.1 Interstage ディレクトリサービスの機能と保護対象資源
Interstage ディレクトリサービスは、クライアントからの認証要求に応じて結果を返します。
以下の機能で構成されています。
・ ユーザ認証機能
・ エントリ検索機能
・ エントリ操作機能
・ Interstage ディレクトリサービスに対する操作
・ ログ機能
・ 動作環境定義
- 29 -
各機能で使用する保護対象資源を示します。
機能
ユーザ認証機能
保護対象資源
・ 登録ユーザ(エントリ)の認証情報(パスワー
ド)
・ Interstage ディレクトリサービスの管理者用
DN(識別情報)の認証情報(パスワード)
エントリ検索機能
・ 検索結果に含まれるパスワード
エントリ操作機能
・ エントリに含まれるパスワード
Interstage ディレクトリサービスに対する操作
・ Interstage ディレクトリサービス
ログ機能
・ ログに関する設定ファイル
・ ログデータ
・ 環境定義ファイル
動作環境定義
1.6.3 考えられる脅威
Interstage ディレクトリサービスが保護対象とすべき資源に対して想定されるセキュリティ上の脅威を以下に示します。
保護対象資源
登録ユーザ(エントリ)の認証情報(パスワード)
Interstage ディレクトリサービスの管理者DNの認
証情報(パスワード)
検索結果に含まれるパスワード
脅威
・ パスワードの解読
・ パスワードの搾取
・ パスワードの解読
・ パスワードの搾取
エントリ、およびエントリに含まれるパスワード
・ エントリの漏洩
・ エントリ、およびパスワードの改ざん
・ エントリ、およびパスワードの削除
ログに関する設定ファイル
・ ファイルに設定されている情報の改ざん
・ ファイル自体の破壊
ログデータ
・ ログデータに記録されている情報の改ざん
・ ログデータ自体の破壊
環境定義ファイル
・ ファイルに設定されている情報の改ざん
・ ファイル自体の破壊
1.6.4 脅威と対策
Interstage ディレクトリサービスでは、以下の対策を実施することにより、セキュリティ侵害に対する防衛が可能です。
- 30 -
脅威
パスワードの解読
パスワードの搾取
対策
・ パスワードの暗号化
・ 通信データの暗号化
・ パスワードの定期的な変更
・ アクセス制御の設定
Interstage ディレクトリサービスの不正運用
エントリの漏洩
エントリ、およびパスワードの改ざん
エントリ、およびパスワードの削除
・ ユーザを限定した運用
・ アクセス制御の設定
ファイルに設定されている情報の改ざん
ログデータに記録されている情報の改ざん
・ 定期的なデータバックアップの実施
ファイル自体の破壊
ログデータ自体の破壊
・ ファイルに対するアクセス権の設定
1.6.4.1 パスワードの暗号化
クライアントからリポジトリに対して、エントリを検索した場合、検索結果に含まれるパスワード(userPassword属性)は、暗
号化されたパスワード文字列で取得できます。パスワードの暗号化により、第三者から解読される脅威に対抗できます。
ユーザパスワード暗号化方式については、「ディレクトリサービス運用ガイド」の「概要」-「Interstage ディレクトリサービス
の主な機能」-「パスワードの保護」を参照してください。
1.6.4.2 通信データの暗号化
クライアントからリポジトリに対して、処理要求を行う場合、初期設定では、識別名(DN)、認証情報(パスワード)、およびそ
の他の通信データが暗号化されずに使用されます。レプリケーション機能を使用する場合のマスタ・スレーブ間の通信
においても同様です。
クライアントとリポジトリ間の通信データを、SSL通信で暗号化することにより、通信を傍受されたとしても解読・搾取の脅威
に対抗することができます。
SSL通信については、「第17章 Interstage ディレクトリサービスでSSLを利用する方法」を参照してください。
1.6.4.3 パスワードの定期的な変更
伝送路内に悪意のある人(マシン)による不正アクセスによって、パスワードが推測・解読される可能性があります。運用規
約にユーザ認証で使用するパスワード設定規約を設け、利用者に遵守させることを推奨します。
パスワード設定規約の具体例
・ パスワードは他人が予想できないものを設定する。
- 英大小文字・特殊文字・数字を混在させる。
- 個人情報(名前、ニックネーム、電話番号、生年月日など)を使用しない。
- 8文字以上とする。
・ パスワードは定期的に変更する。例えば、1年に4回(3ヶ月ごとに)変更し、今までに使用したパスワードとは異なるも
のに変更しなくてはならない。
- 31 -
1.6.4.4 ユーザを限定した運用
パスワードの解読や搾取によるなりすましの脅威がない状態でも、エントリ管理ツールをInterstage ディレクトリサービスの
管理者DNでログインしたままで離席した際に、同じフロア内に悪意のある人がいる場合、以下のような不正運用を行わ
れる可能性があります。
不正運用の例
・ エントリのパスワードを改ざん、削除する。
このような脅威に対抗するために運用規定にユーザを限定した運用規定を設け、利用者に遵守させることを推奨します。
ユーザを限定した運用規約の具体例
・ エントリ管理ツールの運用場所および利用場所は、入退室が管理され、許可された人のみが出入り可能な場所にす
る。
・ 離席する場合は、エントリ管理ツールをログアウトまたは終了させる。
・ 離席後、使用しているマシンのスクリーンロックアウト機能を有効にする。
1.6.4.5 アクセス制御の設定
悪意ある人の不正アクセスによって、パスワードを含むエントリデータが漏えい、改ざんされる可能性があります。このよう
な脅威に対抗するために、特定のエントリデータに対して、アクセス制御を設定することで、ユーザごとに操作を限定す
ることができます。
アクセス制御の設定方法は、「第5章 Interstage ディレクトリサービスのアクセス制御の設定」を参照してください。
なお、本機能は、リポジトリのデータベースにRDBを使用する場合にだけ使用できます。
1.6.4.6 定期的なデータバックアップの実施
定期的なバックアップを実施することにより、不正アクセスによって情報が改ざんされた場合でも、環境を復元することが
可能です。定期的なバックアップにより以下の脅威に対する防衛が可能です。
・ Interstage ディレクトリサービスのデータの破壊および削除
・ ファイルに記録されている情報の改ざん
・ ファイルの破壊
バックアップコマンド(irepbacksys)、またはデータベース(RDB)のバックアップ機能を利用して、定期的にバックアップを
実施します。バックアップを定期的に実施することで、保護対象資源が破壊される前の情報を保存し、破壊された場合に
も必要な世代をリストアすることが可能となります。
バックアップ方法は、「運用ガイド(基本編)」の「メンテナンス(資源のバックアップ/他サーバへの資源移行/ホスト情報の変
更)」-「資源のバックアップとリストア」を参照してください。
1.6.4.7 ファイルに対するアクセス権の設定
Interstage ディレクトリサービスを構成するプログラムファイル、リソースファイル、Interstage ディレクトリサービスを構成す
るデータやファイルなどが破壊または削除されると、Interstage ディレクトリサービスのサービスが停止したり、プログラムが
起動できなくなります。このようなファイルに対する破壊の脅威に対しては、ファイル自体に適切なアクセス権限を設定す
ることが有効です。初期設定のアクセス権のレベルを不当に下げないようにしてください。
- 32 -
1.7 マルチサーバ管理
マルチサーバ管理におけるセキュリティ侵害の脅威について、その概略を説明します。
1.7.1 構成モデル
マルチサーバ管理を行う際には、実際の業務データが流れるLANと、管理サーバと管理対象サーバの間で運用管理の
データを流すLANとを分ける方法が一般的です。前者を業務LANと呼び、後者を管理LANと呼びます。以下に、業務
LANと管理LANの概念を表す図と、マルチサーバ管理の一般的な運用モデルを示します。
- 33 -
一般的なマルチサーバ管理では、一台の管理サーバがひとつのサイトを管理します。サイトは複数台のサーバで構成さ
れ、サイトを構成するサーバのうち同一業務アプリケーションを実行するサーバがサーバグループとしてグルーピングさ
れます。管理サーバはサイト内のサーバを運用操作します。運用操作は Interstage管理コンソールを用いて行います。
サイトを運用管理する管理サーバが存在することと、業務アプリケーションを構成するサーバが複数台になることをのぞ
いては、通常の Interstageを用いた動作モデルと違いはありません。よってそれぞれの Interstageの機能に関する運用モ
デルおよびセキュリティ対策の章も参照してください。
1.7.2 保護すべき資源
マルチサーバ管理を使用する際に保護すべき資源を説明します。
1.7.2.1 保護対象機能
以下に示す機能および手順が保護の対象になります。
・ Interstage管理コンソールを利用した運用操作
- 34 -
1.7.2.2 保護対象資源
マルチサーバ管理を使用する場合、以下に示す資源が使用されます。高度なセキュリティ対策が要求される場合は、こ
れらの資源をセキュリティ上の保護対象とすることが望まれます。
機能
保護対象資源
利用者の認証
認証に利用されるユーザIDとパスワード
Webサーバへの接続(Interstage HTTP Serverを
利用する場合)
Interstage HTTP Server環境定義ファイル
1.7.3 資源に対して考えうる脅威
マルチサーバ管理が保護対象とするべき資源に対して加えられる可能性があるセキュリティ上の脅威を以下に示しま
す。
保護対象資源
利用者の認証
加えられる可能性のある脅威
・ ユーザIDとパスワードの搾取
・ ユーザIDとパスワードの解読
Interstage HTTP Server環境定義ファイル
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
1.7.4 脅威への対策
保護資源に対して考えうる脅威への対策について、以下に示します。
加えられる可能性のある脅威
対策
ユーザID・パスワードの解読
・ 伝達経路の暗号化
ユーザID・パスワードの搾取
・ 情報を保存しているファイルに対するアクセ
ス権の設定
・ 定期的なパスワードの変更
ファイルに記録されている情報の書き換え
・ 情報を保存しているファイルに対するアクセ
ス権の設定
・ 定期的なデータバックアップの実施
ファイルに記録されている情報の搾取
・ 情報を保存しているファイルに対するアクセ
ス権の設定
ファイル自体の破壊
・ ファイルに対するアクセス権の設定
・ 定期的なデータバックアップの実施
- 35 -
1.7.4.1 ユーザID・パスワードの解読への対策
インターネットのように一般的に開放されている環境内でユーザIDやパスワードが伝達される場合、その伝達経路内で
ユーザIDやパスワードが解読される可能性があります。Interstage管理コンソールでは、伝達経路を暗号化する手段を用
意しているため、暗号化を有効にして運用することが有効な対策となります。
1.7.4.2 ユーザID・パスワードの搾取への対策
イントラネットのように特定の利用者だけに開放されている環境内では、伝達経路内でユーザIDやパスワードが解読され
る可能性はそれほど高くありません。ただし、このような環境の場合、ファイル内にユーザIDやパスワード情報が格納され
ているケースが多くなります。これらの情報格納ファイルが不特定多数のユーザからアクセス可能な場合、そこからユー
ザIDやパスワード情報を搾取される危険性が高くなります。このため、ユーザIDやパスワード情報格納ファイルに対して
適切なアクセス権を設定することが脅威への有効な対策となります。
また、定期的にパスワードを変更することも有効な対策となります。
1.7.4.3 ファイルに記録されている情報の書き換えへの対策
マルチサーバ管理の動作環境内には、環境定義ファイルなどが存在しています。これらのファイル内容が不正に書き換
えられると、マルチサーバ管理が動作しなくなるなどの様々な問題が発生します。このような脅威に対しては、ファイルに
適切なアクセス権を設定することが有効な対策となります。
また、定期的にバックアップを行うことも有効な対策となります。バックアップについては、「運用ガイド(基本編)」の「メンテ
ナンス(資源のバックアップ/他サーバへの資源移行/ホスト情報の変更)」を参照してください。
1.7.4.4 ファイルに記録されている情報の搾取への対策
マルチサーバ管理を動作させるために必要な情報を格納しているファイルが存在しています。これらのファイルの記述
内容も資産の一部であり、その搾取を防止することが重要となります。このような情報搾取の脅威に対しては、情報を保
存しているファイルに適切なアクセス権を設定することが有効な対策となります。
1.7.4.5 ファイル自体の破壊への対策
マルチサーバ管理の動作環境内には、環境定義ファイルなどが存在しています。これらのファイル内容が不正に書き換
えられると、マルチサーバ管理が動作しなくなるなどの様々な問題が発生します。このような脅威に対しては、ファイルに
適切なアクセス権を設定することが有効な対策となります。
また、定期的にバックアップを行うことも有効な対策となります。バックアップについては、「運用ガイド(基本編)」の「メンテ
ナンス(資源のバックアップ/他サーバへの資源移行/ホスト情報の変更)」を参照してください。
1.8 業務構成管理機能
業務構成管理機能におけるセキュリティ侵害の脅威について、その概略を説明します。
1.8.1 業務構成管理機能の動作モデル
業務構成管理機能の一般的な動作モデルを以下に示します。
- 36 -
業務構成管理機能は、Interstage管理コンソールにおける操作を内部的に格納します。よって、エンドユーザは業務構成
管理機能の構成を意識する必要はありません。本章では、システム管理者用に公開されたリポジトリの環境設定画面に
おける設定情報について、セキュリティ侵害の脅威について説明を示します。
1.8.2 保護すべき資源
業務構成管理機能が管理するリポジトリに関して保護すべき資源を説明します。
1.8.2.1 保護対象機能
以下に示す機能および手順が保護の対象になります。
・ Interstage管理コンソールを利用した運用操作
1.8.2.2 保護対象資源
Interstage管理コンソールを利用する場合、以下に示す資源が使用されます。高度なセキュリティ対策が要求される場合
は、これらの資源をセキュリティ上の保護対象とすることが望まれます。
機能
Interstage管理コンソールを使用した各種操作
保護対象資源
・ リポジトリの格納情報
1.8.3 資源に対して考えうる脅威
業務構成管理機能が保護対象とするべき資源に対して加えられる可能性があるセキュリティ上の脅威を以下に示しま
す。
- 37 -
保護対象資源
リポジトリの格納情報
加えられる可能性のある脅威
・ ファイルに記録されている情報の書き換え
・ ファイルに記録されている情報の搾取
・ ファイル自体の破壊
1.8.4 脅威への対策
業務構成管理機能では、以下の対策を実施することにより、セキュリティ侵害に対する防衛が可能です。
加えられる可能性のある脅威
ファイルに記録されている情報の書き換え
対策
・ 情報を保存しているファイルに対するアクセ
ス権の設定
・ 定期的なデータバックアップの実施
ファイルに記録されている情報の搾取
・ 情報を保存しているファイルに対するアクセ
ス権の設定
ファイル自体の破壊
・ ファイルに対するアクセス権の設定
1.8.4.1 ファイルに記録されている情報の書き換えへの対策
業務構成管理機能のリポジトリにはInterstageの各種情報がバイナリ形式で保存されています。これらのファイル内容が
不正に書き換えられると、Interstage全体が動作しなくなるなどの様々な問題が発生します。このような脅威に対しては、
情報を保存しているファイルに適切なアクセス権を設定することが有効です。
また、不正な書き換えが起こった場合に備えて定期的なデータバックアップを実施するということも有効な対策となりま
す。
1.8.4.2 ファイルに記録されている情報の搾取への対策
業務構成管理機能のリポジトリにはInterstageの各種情報がバイナリ形式で保存されています。これらのファイルの記述
内容も資産の一部であり、その搾取を防止することは重要です。このような情報搾取の脅威に対しては、情報を保存して
いるファイルに適切なアクセス権を設定することが有効です。
1.8.4.3 ファイル自体の破壊への対策
業務構成管理機能のリポジトリには、ファイルの読み込み可・不可で情報の正当性を判断しているファイルが存在してい
ます。このようなファイルが何らかの理由で破壊されてしまうと、登録済みの情報が参照不可能になります。このようなファ
イル破壊の脅威に対しては、ファイル自体に適切なアクセス権を設定することが有効です。
- 38 -
第2章 セキュリティ対策
セキュリティ侵害に対する対策は、一般的にはサービスだけでは対処できません。運用でも対処を行うことによって、安
全性が強化されます。
本章では、「第1章 セキュリティ侵害の脅威」で挙げた対策を、サービス単位に分けて説明します。
セキュリティ侵害に対して安全かつ堅固な運用を行うために、利用するサービスに対しての対策を参照し、実施すること
を推奨します。
また、富士通製品のセキュリティについての情報を、以下のサイトで提供しております。常に最新の情報を確認してくだ
さい。
http://software.fujitsu.com/jp/security/index.html
注意
・ Interstage HTTP Server 2.2のセキュリティ対策については、「Interstage HTTP Server 2.2 運用ガイド」の「運用・保守」
-「セキュリティ対策」を参照してください。
・ Java EE 6機能のセキュリティ対策 については、「Java EE運用ガイド(Java EE 6編)」の「Java EE 6機能のセキュリティ」
の「Java EE 6に関するセキュリティ対策」を参照してください。
2.1 共通の対策
2.1.1 ユーザアカウントについての注意
一般ユーザのアカウントには、Administratorsグループの権限を与えないことをお勧めします。
一般ユーザのアカウントにAdministratorsグループの権限を与えた場合、それらのアカウントによって、運用停止、資源
の改ざん、情報の漏洩が引き起こされる可能性があります。
2.1.2 バックアップについて
外部からの攻撃、マシントラブル、オペレーションミスなどによる資源の破壊による被害を最小限にするために、定期的
にバックアップを行うことをお勧めします。
2.1.3 Interstage資源のセキュリティ強化
資源破壊を防ぐための基本ルール
Interstage資源ファイルが外部ネットワークからの侵入者によって破壊(資源ファイルの書替え・削除など)されて、システム
が運用不能になることを防ぐために、以下の基本ルールに沿ってシステムを運用する必要があります。
・ システム運用中のアプリケーション動作権限を「特定ユーザ」に固定すること。
・ システム運用中に生成される資源が「特定ユーザ」以外のユーザによって書き替えられないよう、資源ファイルの権
限属性が限定されていること。
- 39 -
セキュリティの強化
一般ユーザによる資源の改ざんなどを防ぐために、Interstageのインストールフォルダ配下のフォルダおよびファイルに対
し、「Everyone(フルコントロール)」などの不特定のユーザからのアクセスを許すアクセス権を付けないことをお勧めします。
issetfoldersecurityコマンドを使用することで、インストールフォルダ配下のフォルダおよびファイルに対して、不特定のユー
ザからのアクセスを防ぐ権限に変更することができます。issetfoldersecurityコマンドについては、「リファレンスマニュアル
(コマンド編)」を参照してください。
セキュリティの強化
本製品インストール時にセキュリティモードを選択します。強化セキュリティモード(デフォルト)を選択した場合、セキュリ
ティを強化した状態でインストールします。これにより、Interstage関連のプログラムの実行権限やファイルのアクセス権限
レベルが強化セキュリティモードで指定したグループになります。セキュリティモードとして互換セキュリティモードを選択
した場合、旧版の製品と同レベルのアクセス権限でインストールします。
なお、インストール後も、issetsecuritymodeコマンドを使用することで、強化セキュリティモードもしくは互換セキュリティモー
ドに設定することができます。issetsecuritymodeコマンドについては、「リファレンスマニュアル(コマンド編)」を参照してくだ
さい。
強化セキュリティモードにすることによって、一部のコマンドは一般ユーザの利用権限から、強化セキュリティモード設定
で指定したグループの利用権限に変更されます。強化セキュリティモードでroot以外のユーザがこれらのコマンドを実行
する場合、ユーザの実効グループを強化セキュリティモードで指定したグループにしてください。
例
・ 新規ユーザ作成時に実効グループを指定する場合
- useraddコマンドを使用し、強化セキュリティモードで指定したグループを所属グループとして指定します。
・ 既存のユーザに実効グループを設定する場合
- newgrpコマンドを使用し、実効グループを強化セキュリティモードで指定したグループに変更します。
実効グループの変更および確認方法はOSのドキュメントを参照してください。
注意
システムから強化セキュリティモードで指定したグループを削除する場合は、事前に強化セキュリティモードのグループ
を別のグループに変更してください。
変更を行っていない場合、コマンド実行時に予期せぬエラーが発生するおそれがあります。
外部アクセスの遮断
ファイアウォール、およびルータなどを適切に設定し、外部から不正パケットの侵入、および指定したポート以外へのアク
セスを抑止します。
サービスの抑止
Interstageが動作するノードに対して、リモートでアクセス可能なサービス(telnetおよびftpなど)を抑止することにより、不正
なアクセスを防ぎます。この方法は、ネットワークを介した不正アクセスに対して効果を発揮します。
リモートでアクセス可能なサービスの抑止方法については、各プラットフォームのマニュアルを参照してください。
- 40 -
2.2 Interstage管理コンソールに関する対策
ユーザアカウントについての注意
Interstage管理コンソールで使用するユーザアカウントは、パスワードの漏洩などの問題があるため、定期的にパスワード
を変更することをお勧めします。
Interstage管理コンソールでは、Windows(R)の場合はAdministratorsグループ権限、Solaris版とLinux版の場合はroot権
限を持ったユーザだけがInterstageの起動や停止などの重要な機能の運用を可能とするなど、一般ユーザによる運用の
制限を設けています。
また、なりすましによる操作を防止するために、ログイン時のWebブラウザのオートコンプリート機能を無効としています。
環境定義ファイルの権限についての注意
一般ユーザによる資源の改ざん、情報の漏洩を防ぐために、環境定義ファイルは一般ユーザからアクセスできないように
するなどアクセス制限を設けることをお勧めします。
通信データについての注意
ネットワーク上では、クライアントとサーバとの間の通信データをのぞき見される脅威があります。または、クライアントとサー
バとの間の通信データを改ざんし、それが正当なデータとしてやりとりされる脅威があります。
これらの脅威に対して、暗号化によるセキュリティ保護を行うため、SSL通信を使用することをお勧めします。
SSL通信については、「第12章 Interstage HTTP ServerでSSLを利用する方法」を参照ください。
2.3 Interstage HTTP Server運用に関する対策
アクセス時の注意
WebブラウザからInterstage HTTP Serverにアクセスする際、ネットワーク上の悪意のある人(またはマシン)が、正当なアク
セス権限をもつ人(またはマシン)になりすまし、Interstage HTTP Serverにアクセスする脅威があります。
アクセスしたユーザが本人であるかを確認するために、SSLプロトコルバージョン「SSL3.0」または「SSL3.1」(TLS 1.0)のク
ライアント認証によるSSL通信を使用することをお勧めします。
SSL通信については、「第12章 Interstage HTTP ServerでSSLを利用する方法」を参照ください。
通信データについての注意
ネットワーク上の悪意のある人(またはマシン)が、正当にアクセスする権限を持つ人(またはマシン)とサーバとの間の通
信データをのぞき見する脅威があります。または、サーバとの間の通信データを改ざんし、それが正当なデータとしてや
りとりされる脅威があります。
暗号化によるセキュリティ保護を行うため、SSL通信を使用することをお勧めします。
SSL通信については、「第12章 Interstage HTTP ServerでSSLを利用する方法」を参照ください。
資源ファイルへの不正アクセス
Interstage HTTP Serverでは、以下のような資源ファイルを保持しています。
・ コンテンツ
・ 環境定義ファイル(httpd.conf)
・ アクセスログファイル
・ エラーログファイル
・ トレースログファイル
・ オペレーションログファイル
- 41 -
・ 保守ログファイル
・ CGI
・ ディレクトリごとの環境定義ファイル(.htaccess)
これらのファイルは悪意のある人(またはマシン)による不正アクセスという脅威にさらされる可能性があります。
これらのファイルを脅威にさらさないためには、そのファイルを一般ユーザからはアクセスできないようにするという対策が
あります。このために、それらのファイルに対して管理者権限をもつユーザ(Solaris/Linuxシステムではスーパユーザ、
Windows(R)システムではAdministrator)のみがアクセス可能であるという設定をすることをお勧めします。
パスワード情報の漏洩
Interstage HTTP Serverには、パスワードファイルがあり、悪意のある人(またはマシン)がそのファイルをのぞき見る脅威が
あります。
パスワードファイル内のパスワードデータは暗号化されていますが、一般ユーザからアクセスできないようにするため、管
理者がhtpasswdコマンドを使用してパスワードファイルを作成することをお勧めします。パスワードファイルの作成方法に
ついては、「4.1 ユーザ認証」を参照してください。
サーバ情報の漏洩
ネットワーク上の悪意のある人(またはマシン)が、HTTPレスポンスヘッダのServerヘッダフィールドに存在するサーバ情
報を入手し、OS情報および製品情報から不正アクセスを試みることが可能となる脅威があります。
このような脅威に備え、Interstage HTTP Serverの環境定義ファイル(httpd.conf)において、IHSServerHeaderディレクティ
ブに「Off」を指定し、HTTPレスポンスヘッダのServerヘッダフィールドを送信しない設定で運用することをお勧めします。
IHSServerHeaderディレクティブの設定方法については、「Interstage HTTP Server 運用ガイド」を参照してください。
IHSServerHeader
Off
Denial of Service attack (DoS)の脅威
ネットワーク上の悪意のある人(またはマシン)が、標的とするサーバに対してサービスを不能にする脅威があります。
Denial of Service attack (DoS)の脅威に備え、以下のような機能を使用することをお勧めします。
・ ユーザ認証
登録したユーザからのアクセスだけを許可するように設定することができます。
ユーザ認証機能については、「4.1 ユーザ認証」を参照ください。
・ IPアクセスコントロール
特定のクライアントだけをアクセス許可/拒否を設定することができます。
IPアクセスコントロール機能については、「4.2 IPアクセスコントロール」を参照ください。
・ SSL通信の使用
クライアントの正当性を確認できる高度なセキュリティ保護を行うことができます。
SSL通信については、「第12章 Interstage HTTP ServerでSSLを利用する方法」を参照ください。
・ クライアントからのリクエストメッセージのサイズ制限
バッファオーバフローに備えて、リクエストメッセージの最大サイズを設定してください。リクエストメッセージの最大サ
イズは、環境定義ファイル(httpd.conf)の以下のディレクティブで設定します。各ディレクティブの設定方法について
は、「Interstage HTTP Server 運用ガイド」を参照してください。
- LimitRequestBody
- LimitRequestFields
- LimitRequestFieldsize
- 42 -
- LimitRequestLine
HTTP TRACEメソッド悪用による脅威
ネットワーク上の悪意のある人(またはマシン)が、HTTPリクエストデータ内に存在する個人情報を盗み見たり、任意のコー
ドを実行する脅威があります。
このような脅威に備え、Interstage HTTP Serverの環境定義ファイル(httpd.conf)において、TraceEnableディレクティブに
「off」を指定し、HTTP TRACEメソッドを無効にすることをお勧めします。TraceEnableディレクティブの設定方法について
は、「Interstage HTTP Server 運用ガイド」を参照してください。
なお、TRACEメソッドは、ネットワーク上の診断を行うためなどに使用され、クライアント側から送出したデータをそのまま
レスポンスデータとして受信するHTTP/1.1のメソッドです。通常、使用されないため、無効にしてもInterstage HTTP Server
の運用上の影響はありません。
TraceEnable
off
ユーザアカウント名発見の脅威
ネットワーク上の悪意のある人(またはマシン)により、Webサーバマシン上のユーザアカウント名が発見される脅威があります。
このような脅威に備え、Interstage HTTP Serverの環境定義ファイル(httpd.conf)に以下を設定し、ユーザアカウントのホー
ムディレクトリ配下のドキュメントに対する要求を無効にすることをお勧めします。
LoadModule
UserDir
userdir_module
disabled
"/opt/FJSVihs/modules/mod_userdir.so"
注意
LoadModuleおよびUserDirディレクティブの先頭にハッシュマーク(#)を追加して、コメント行としてもよいです。
ユーザアカウントのホームディレクトリ配下のドキュメントを公開する場合は、以下のように設定してください。
・ 公開するホームディレクトリには、Webサーバからのアクセスが可能なアクセス権限を設定する。
・ 公開しないユーザに対しては、ユーザディレクトリの設定を無効とする。
例
ユーザディレクトリの設定を無効とする場合の設定例を以下に示します。
ユーザ名「user1」および「user2」のホームディレクトリ/public_html配下のドキュメントを公開する場合
LoadModule userdir_module "/opt/FJSVihs/modules/mod_userdir.so"
UserDir public_html
UserDir disabled
UserDir enabled user1 user2
ユーザ名「user3」および「user4」以外のすべてのユーザのホームディレクトリ/public_html配下のドキュメントを公開する場
合
LoadModule userdir_module "/opt/FJSVihs/modules/mod_userdir.so"
UserDir public_html
UserDir disabled user3 user4
- 43 -
注意
「UserDir public_html」だけを設定し、「http://ホスト名[:ポート番号]/~user」のリクエストを受けた場合、指定されたユーザ
名「user」がWebサーバマシン上に存在するかにより、以下のように異なったステータスコードを返すことがあります。その
ため、Webサーバマシン上のユーザアカウント名が発見される可能性があります。
・ 指定されたユーザ「user」が存在しない場合:
ステータスコード「404 Not Found」を返します。
・ 指定されたユーザ「user」が存在する場合:
ステータスコード「403 Forbidden」を返します。
これは、指定されたユーザ「user」が存在するが、ユーザのホームディレクトリに、Webサーバからアクセス可能な権限
が設定されていない場合に発生します。Webサーバの実行ユーザは、Userディレクティブで指定します。
useraddコマンドでユーザのホームディレクトリを作成すると、ディレクトリの権限は所有者だけに設定され、そのユー
ザだけがアクセス可能となるため、本現象が発生します。
2.4 CORBAサービスに関する対策
資源ファイルへの不正アクセス
CORBAサービスでは、以下のような環境定義ファイルを保持しています。
・ CORBAサービス
- CORBAサービス環境定義情報ファイル(config) (注1)
- ホスト情報定義ファイル(inithost/initial_hosts) (注1)
- サーバデフォルト情報ファイル(boa.env) (注1)
- HTTP-IIOPゲートウェイ環境定義ファイル(gwconfig) (注2)
- インプリメンテーションリポジトリファイル(impl.db) (注1)
- イニシャルサービスファイル(init_svc/initial_services) (注1)
- キュー制御情報ファイル(queue_policy) (注1)
- CORBAサービス環境設定情報ファイル(odenvfile) (注1)
・ ネーミングサービス
- ネーミングサービス登録情報ファイル(CosNamingディレクトリ配下のファイル) (注1)
- ネーミングサービス環境定義情報ファイル(nsconfig) (注1)
・ ロードバランス機能
- ロードバランス機能登録情報ファイル(LBOディレクトリ配下のファイル) (注1)
- ロードバランス環境定義情報ファイル(nslbo.conf) (注1)
・ インタフェースリポジトリ
- インタフェースリポジトリ環境情報ファイル(irconfig、irpth) (注1)
- インタフェースリポジトリデータファイル(irobf.qfl、irobf.qfp、irobftran) (注1)
- 44 -
注1) ファイルおよびディレクトリの格納先については、「運用ガイド(基本編)」の「バックアップ・リストア対象資源」を参照し
てください。
注2) ファイルの格納先については、「チューニングガイド」の「gwconfig」を参照してください。
これらのファイルは悪意のある人(またはマシン)による不正アクセスという脅威にさらされる可能性があります。
これらのファイルを脅威にさらさないためには、そのファイルを一般ユーザからはアクセスできないようにするという対策が
あります。このために、それらのファイルに対して管理者権限をもつユーザ(Solaris/Linuxシステムではスーパユーザ、
Windows(R)システムではAdministrator)のみがアクセス可能であるという設定をすることをお勧めします。
通信データについての注意
ネットワーク上に悪意のある人(またはマシン)が、正当にアクセスする権限を持つ人(またはマシン)とサーバとの間の通
信データをのぞき見する脅威があります。または、サーバとの間の通信データを改ざんし、それが正当なデータとしてや
りとりされる脅威があります。
暗号化によるセキュリティ保護を行うため、SSL通信を使用することをお勧めします。
SSL通信については、「第14章 CORBAサービスでSSLを利用する方法」を参照ください。
CORBAサービスで使用するポート番号についての注意
CORBAサービスは、ポート番号8002を使用しています。
本製品をDMZで運用する場合は、ファイアウォールなどのセキュリティ製品で外部からの8002ポートへの要求を抑止す
るようにしてください。
Javaアプレットの作成/運用についての注意
CORBAサービスを使用したJavaアプレットを作成、および運用を行う場合、以下のことに注意してください。
権限設定について
Javaアプレットを運用時に必要以上の権限を設定した場合は、悪意のあるアプレット(Javaスクリプトを含む)に利用される
ことによりクライアントマシンにおけるファイル破壊、ファイル内容の漏洩、ユーザ固有情報が漏洩などが発生する可能性
があります。
Javaアプレットを運用する場合、以下のマニュアルに記載されている権限以外は設定せず、必要最小限の権限を設定す
ることをお勧めします。
・ 「アプリケーション作成ガイド(CORBAサービス編)」
- 「アプリケーションの開発(Java言語)」-「クライアントの環境設定(プレインストール型Javaライブラリ)」-「Javaライ
ブラリに対する権限の設定」
- 「アプリケーションの開発(Java言語)」-「クライアントの環境設定(Portable-ORB)」-「Javaライブラリに対する権限
の設定」
- 「アプリケーションの開発(Java言語)」-「アプレットのデジタル署名」-「policytoolコマンドの設定(補足)」
Error/Exceptionについて
Javaアプレット動作中に発生した例外情報(スタックトレース)をアプレット内のテキストフィールド、Javaコンソール等の画
面上に表示した場合、内部情報(内部構造)の漏洩となり、悪意のあるアプレット(Javaスクリプトを含む)に利用される可能
性があります。
例外情報(スタックトレース)を表示しないことをお勧めします。
2.5 Portable-ORBに関する対策
- 45 -
資源ファイルへの不正アクセス
Portable-ORBサービスでは、以下のような環境定義ファイルを保持しています。
・ Portable-ORB環境定義情報ファイル(config) (注1)
・ ホスト情報ファイル(initial_hosts) (注1)
・ イニシャルサービスファイル(initial_services) (注1)
注1) ファイルの格納先については、「運用ガイド(基本編)」の「バックアップ・リストア対象資源」を参照してください。
これらのファイルは悪意のある人(またはマシン)による不正アクセスという脅威にさらされる可能性があります。
これらのファイルを脅威にさらさないためには、そのファイルを一般ユーザからはアクセスできないようにするという対策が
あります。このために、それらのファイルに対して管理者権限をもつユーザ(Solaris/Linuxシステムではスーパユーザ、
Windows(R)システムではAdministrator)のみがアクセス可能であるという設定をすることをお勧めします。
通信データについての注意
ネットワーク上の悪意のある人(またはマシン)が、正当にアクセスする権限を持つ人(またはマシン)とサーバとの間の通
信データをのぞき見する脅威があります。
または、サーバとの間の通信データを改ざんし、それが正当なデータとしてやりとりされる脅威があります。
暗号化によるセキュリティ保護を行うため、SSL通信を使用することをお勧めします。
SSL通信については、「第16章 Portable-ORBでSSLを利用する方法」を参照ください。
Javaアプレットの作成/運用についての注意
Portable-ORBを使用したJavaアプレットを作成、および運用を行う場合、以下のことに注意してください。
権限設定について
Javaアプレットを運用時に必要以上の権限を設定した場合は、悪意のあるアプレット(Javaスクリプトを含む)に利用される
ことによりクライアントマシンにおけるファイル破壊、ファイル内容の漏洩、ユーザ固有情報が漏洩などが発生する可能性
があります。
Javaアプレットを運用する場合、以下のマニュアルに記載されている権限以外は設定せず、必要最小限の権限を設定す
ることをお勧めします。
・ 「アプリケーション作成ガイド(CORBAサービス編)」
- 「アプリケーションの開発(Java言語)」-「クライアントの環境設定(プレインストール型Javaライブラリ)」-「Javaライ
ブラリに対する権限の設定」
- 「アプリケーションの開発(Java言語)」-「クライアントの環境設定(Portable-ORB)」-「Javaライブラリに対する権限
の設定」
- 「アプリケーションの開発(Java言語)」-「アプレットのデジタル署名」-「policytoolコマンドの設定(補足)」
Error/Exceptionについて
Javaアプレット動作中に発生した例外情報(スタックトレース)をアプレット内のテキストフィールド、Javaコンソール等の画
面上に表示した場合、内部情報(内部構造)の漏洩となり、悪意のあるアプレット(Javaスクリプトを含む)に利用される可能
性があります。
例外情報(スタックトレース)を表示しないことをお勧めします。
2.6 イベントサービスに関する対策
- 46 -
資源ファイルへの不正アクセス
イベントサービスでは、以下のような環境定義ファイルを保持しています。
・ イベントサービス構成情報(essystem.cfg) (注1)
・ イベントチャネル動作環境(esgrpX.grp) (注1)
・ イベントチャネルグループ管理情報(esmnggrp.db) (注1)
・ ユニット定義ファイル(def拡張子を持つファイル) (注1)
・ ログファイル(ESLOG.log) (注2)
注1) ファイルの格納先については、「運用ガイド(基本編)」の「バックアップ・リストア対象資源」を参照してください。
注2) ファイルの格納先については、「メッセージ集」の「イベントサービスのログメッセージ」を参照してください。
また、不揮発チャネル運用時のユニット作成の際(esmkunitコマンド実行時)にユニット定義ファイルを設定している場合、
以下のディレクトリを保持しています。
・ 「trandir」で指定したトランザクション用ファイルを格納するディレクトリ
・ 「sysdir」で指定したシステム用(ユニット制御用)ファイルを格納するディレクトリ
・ 「usedir」で指定したイベントデータ用ファイルを格納するディレクトリ
これらのファイルおよびディレクトリは悪意のある人(またはマシン)による不正アクセスという脅威にさらされる可能性があ
ります。
これらのファイルおよびディレクトリを脅威にさらさないためには、そのファイルおよびディレクトリを一般ユーザからはアク
セスできないようにするという対策があります。このために、それらのファイルおよびディレクトリに対して管理者権限をも
つユーザ(Solaris/Linuxシステムではスーパユーザ、Windows(R)システムではAdministrator)のみがアクセス可能である
という設定をすることをお勧めします。
ユーザデータファイルへの不正アクセス
イベントサービスでは、ユーザデータファイルとして、esgetchnliorコマンドを実行すると生成されるファイルがあります。本
ファイルには、イベントチャネルのオブジェクトリファレンスが格納されているため、悪意のある人(またはマシン)による不
正アクセスという脅威にさらされる可能性があります。ファイルの取り扱いには、十分に注意してください。
2.7 Interstage ディレクトリサービスの運用に関する対策
Interstage ディレクトリサービスサーバにアクセスする際の注意
LDAPクライアントからInterstage ディレクトリサービスにアクセスする際、ネットワーク上に悪意のある人(またはマシン)が、
正当なアクセス権限をもつ人(またはマシン)になりすまし、Interstage ディレクトリサービスにアクセスする脅威があります。
アクセスしたユーザが本人であるかを確認するために、SSLバージョン3(クライアント認証)によるSSL通信を使用すること
をお勧めします。
SSL通信については、「第17章 Interstage ディレクトリサービスでSSLを利用する方法」を参照ください。
2.8 マルチサーバ管理に関する対策
ロールの設定
マルチサーバ管理を使用する場合は、Interstage管理コンソールにログインするユーザの権限を適切に設定することが
重要です。このユーザの権限をロールと呼びます。各ロールの権限により実行可能な操作が異なります。ロールの詳細
については、「運用ガイド(基本編)」の「ログインユーザの権限」を参照してください。
- 47 -
2.9 業務構成管理に関する対策
資源ファイルへの不正アクセス
業務構成管理機能では、以下のファイルを使用しています。
・ 業務構成管理機能のリポジトリ (注1)
注1) Interstage管理コンソールの[構成管理]タブにある「リポジトリの環境設定」で設定したフォルダです。
これらのファイルは悪意のある人(またはマシン)による不正アクセスという脅威にさらされる可能性があります。
これらのファイルを脅威にさらさないためには、そのファイルを一般ユーザからはアクセスできないようにするという対策が
あります。このために、それらのファイルに対して管理者権限をもつユーザ(Solaris/Linuxシステムではスーパユーザ、
Windows(R)システムではAdministrator)のみがアクセス可能であるという設定をすることをお勧めします。
2.10 Java EEに関する対策
■サーバの資源への不正アクセス
Webブラウザからアプリケーションにアクセスする際、ネットワーク上の悪意のあるユーザが、正当なアクセス権限をもつ
ユーザになりすまし、サーブレットアプリケーションやHTMLファイルにアクセスする脅威があります。
サーバの資源に対する不正なアクセスを防止するために、Java EEには各種のセキュリティ機能があります。
詳細は、「Java EE運用ガイド」の「Java EEアプリケーションのセキュリティ機能」を参照してください。
■通信データの盗聴・改ざん
ネットワーク上の悪意のあるユーザが、正当にアクセスする権限を持つユーザとサーバとの間の通信データをのぞき見
する脅威があります。さらにサーバとの間の通信データを改ざんされ、それが正当なデータとしてやりとりされる脅威があ
ります。
通信データの改ざんを防ぐため、暗号化によるセキュリティ保護が必要です。それには、SSL通信を使用することができます。
SSL通信で使用する暗号は、鍵長が十分に長く、安全なアルゴリズムのみを有効にしてください。
詳細は、「Java EE運用ガイド」の「Java EEアプリケーションのセキュリティ機能」を参照してください。
※性能を重視する場合はSSLアクセラレータの使用を検討してください。
■サービス停止・サービス拒否
ネットワーク上の悪意のあるユーザが、標的とするサーバに対して、大量のアクセスを発生させてサーバの負荷を上げま
す。これによりレスポンスが悪くなりサービスの質が劣化する、または正規の利用者がサービスを利用できなくなってしま
う脅威があります。
サービスへの攻撃に対しては、ユーザ認証、IPアクセス制限、SSL通信、リクエストメッセージのサイズ制限の機能の利用
をお勧めします。
ユーザ認証
登録したユーザからのアクセスだけを許可するように設定することができます。
「Java EE運用ガイド」の「Java EEアプリケーションのセキュリティ機能」を参照してください。
IPアクセス制限
特定のIPからのアクセスに対して、許可を設定することができます。
「Java EE運用ガイド」の「HTTPサービスの定義項目」を参照してください。
クライアントからのリクエストメッセージのサイズ制限
バッファオーバフローに備えて、リクエストメッセージの最大サイズを設定することができます。
「Java EE運用ガイド」の「HTTPサービスの定義項目」の「POSTリクエストの最大サイズ」を参照してください。
- 48 -
■サーバ情報の漏洩
ネットワーク上の悪意のあるユーザが、HTTPレスポンスヘッダのX-Powered-Byヘッダフィールドに存在するサーバ情報
を入手し、製品情報から不正アクセスを試みることが可能となる脅威があります。
Java EEでは、X-Powered-Byヘッダフィールドを付加しない設定で運用することを推奨します。設定については「Java EE
運用ガイド」の「HTTPサービスの定義項目」の「X-Powered-Byヘッダフィールド」を参照してください。
■Webコンテナへアクセスする運用形態の設定
Webコンテナへのリクエストが運用形態に応じたものではない場合、セキュリティのリスクが発生することがあります。
たとえば、Webサーバでリクエストに対するチェックやフィルタリングを行っているときにWebコンテナに直接アクセスされ
た場合や、逆にWebサーバを利用しない形態であるときにWebサーバ経由であるかのようにリクエストの情報を偽られる
場合が考えられます。
本機能の設定を適切に行うことで、IJServerクラスタの運用形態を限定することが可能です。
設定は、HTTPリスナーのプロパティ「requestCheck」で行います。詳細は、「Java EE運用ガイド」-「HTTPサービスの定義
項目」を参照してください。
■クロスサイト・スクリプティングによるセッションCookieの漏洩
クロスサイト・スクリプティングによりCookieが第三者に漏えいする脅威があります。
HttpOnly属性をCookieに付加すると、クライアントサイドスクリプトからCookieを取得できなくなります。このため、クロスサ
イト・スクリプティングの影響を軽減することができます。
Java EEでは、CookieにHttpOnly属性を付加する運用を推奨します。なお、セッションCookieに対してHttpOnly属性を付
加する設定は、以下を参照してください。
・ IJServerクラスタ単位に設定する場合
「Java EE運用ガイド」-「定義項目一覧」-「動作環境に関する定義項目」-「Webコンテナの定義項目」-「プロパティ」「cookieHttpOnly」
・ Webアプリケーション単位に設定する場合
「Java EE運用ガイド」-「Java EEアプリケーションの開発」-「deployment descriptor」-「Interstage Web application
deployment descriptor」-「Interstage deployment descriptorのタグの説明」-「cookie-properties」
注意
Webコンテナの定義項目のプロパティとdeployment descriptorの両方に設定した場合は、後者の設定が有効になります。
2.11 J2EE互換に関する対策
2.11.1 IJServerの運用に関する対策
IJServerは、J2EEアプリケーションを運用する環境です。IJServerの詳細については、「J2EE ユーザーズガイド(旧版互
換)」を参照してください。
資源ファイルへの不正アクセス
IJServerを運用する場合、IJServer用の資源ファイルがJ2EE共通ディレクトリ下のijserverというディレクトリに格納されま
す。ここに格納されるファイルは悪意のある人(またはマシン)による不正アクセスという脅威にさらされる可能性があります。
これらのファイルを脅威にさらさないためには、そのファイルを一般ユーザからはアクセスできないようにするという対策が
あります。このために、以下の対策をお勧めします。
・ J2EE共通ディレクトリ下のijserverフォルダ配下のファイルやフォルダに対して管理者権限をもつユーザ(Windows(R)
システムのAdministratorsグループに属するユーザ)のみがアクセス可能であるという設定をすることをお勧めします。
- 49 -
・ アプリケーションファイル保護レベルを"高(管理者のみ)"にすることをお勧めします。
アプリケーションファイル保護レベルについては、「J2EE ユーザーズガイド(旧版互換)」の「J2EEアプリケーションの
配備と設定」を参照してください。
IJServerの実行についての注意
IJServerは、J2EEアプリケーションを運用する環境であり、それ自体がプロセスとして実行されます。このIJServerの実行
は、以下のユーザによってのみ行われます。
・ Windows(R)システムのAdministratorsグループに属するユーザ
・ 強化セキュリティモードの場合:スーパユーザ、または、強化セキュリティモードで指定したグループを実効グループ
とするユーザ
・ 互換セキュリティモードの場合:任意のユーザ
このため、どのユーザにIJServerを実行する権限を与えるかについて慎重に考慮し、定期的にその資格を見直すなどの
対応をとって安全性の向上を図ることをお勧めします。
2.11.2 Servletサービスに関する対策
セション使用時の注意
セション情報はCookieまたはURLパラメタに埋め込まれます。
WebサーバとWebブラウザの間がインターネットの場合には、通信内容が傍受/改変される恐れがあります。
そのため、SSL通信を使用することをお勧めします。
Webアプリケーション開発時の注意事項
Webアプリケーション開発時の注意事項については、「J2EE ユーザーズガイド(旧版互換)」の「Webアプリケーションの開
発上の注意事項」を参照してください。
Webアプリケーション配備時の注意
サーバ上の任意の位置で実行する方法で配備したWebアプリケーションは、一般ユーザからの改変を防ぐため、書き込
み権はServletコンテナを実行するユーザにのみ設定することをお勧めします。
Webアプリケーションのルートディレクトリに対する注意
Webサーバで公開するディレクトリと、Webアプリケーションのルートディレクトリが同一の場合には、Webブラウザからclass
ファイルやJARファイル等のWebアプリケーションそのものを参照されてしまう恐れがあり、セキュリティホールとなる可能
性があります。
そのため、Webサーバで公開するディレクトリと、Webアプリケーションのルートディレクトリは別々にすることをお勧めしま
す。
通信データについての注意
WebサーバコネクタとServletコンテナの通信において次の脅威があります。
・ Webサーバコネクタになりすまし、不当にServletコンテナにアクセスされる。
- 50 -
・ 通信データをのぞき見される。
・ 通信データを改ざんされる。
これらの脅威に対してSSL通信を使用し防御することをお勧めします。なりすましを防御するためには、SSLバージョン
3(クライアント認証)が必要です。
SSL通信の設定については、「15.1 Servletサービスにおける環境設定」を参照してください。
セションリカバリ機能使用時の注意
ServletコンテナとSession Registry Serverの通信にはHTTPを使用します。
通信において次の脅威があります。
・ 通信データをのぞき見される。
・ 通信データを改ざんされる。
ServletコンテナとSession Registry Server間はイントラネット内での通信になりますが、イントラネット内でも上記脅威の可
能性がある場合には、ServletコンテナとSession Registry Server間にはセキュリティが確保されたネットワークを使用する
ようにしてください。
2.11.3 EJBサービスに関する対策
EJBサービスを利用した運用形態におけるセキュリティ侵害の脅威について、その概略を説明します。
EJBサービスは、J2EEアプリケーションにおける「EJB機能」を利用した場合に必要です。
2.11.3.1 EJBの保護対象資源
EJBサービスを使用する場合に、保護すべき資源について説明します。
2.11.3.1.1 保護対象資源
EJBサービスでは、以下に示す資源が使用されます。高度なセキュリティ対策が要求される場合は、以下の資源をセキュ
リティ上の保護対象にしてください。
機能
保護対象資源
EJBの環境設定
・ EJBサービスの環境定義ファイル
EJBアプリケーションプログラムの運用操作
・ EJBサービスの環境定義ファイル
・ J2EE共通ディレクトリ
保護対象資源の配置場所を以下に示します。
・ EJBサービスの環境定義ファイル
C:\Interstage\EJB\etcディレクトリ配下の全ファイル
C:\Interstage\J2EE\etcディレクトリ配下の全ファイル
- 51 -
・ J2EE共通ディレクトリ
J2EE共通ディレクトリ配下の全ファイル
・ EJBサービスの環境定義ファイル
/opt/FJSVejb/etcディレクトリ配下の全ファイル
/opt/FJSVj2ee/etcディレクトリ配下の全ファイル
・ J2EE共通ディレクトリ
J2EE共通ディレクトリ配下の全ファイル
2.11.3.2 資源に対して考えうる脅威
EJBサービスが保護対象とすべき資源に対して、想定できる脅威は以下のとおりです。
保護対象資源
EJBサービスの環境定義ファイル
脅威
・ 情報の書き換え
・ 情報の搾取
・ データの破壊
・ ファイルの破壊
J2EE共通ディレクトリ
・ 情報の書き換え
・ 情報の搾取
・ データの破壊
・ ファイルの破壊
・ パスワードの搾取
2.11.3.3 脅威への対策
EJBサービスでは、以下の対処を実施することでセキュリティ侵害への対策を図れます。
・ ユーザを限定した運用
・ 定期的なバックアップ
・ SSL通信機能による暗号化
2.11.3.3.1 ユーザを限定した運用
ユーザを限定した運用については、「2.1.3 Interstage資源のセキュリティ強化」の「資源破壊を防ぐための基本ルール」お
よび、「セキュリティの強化」を参照してください。
2.11.3.3.2 定期的なバックアップ
定期的なバックアップを実施することで、不正な書き換えが起こった場合でも、環境を復元できます。また、以下の脅威
に対する防衛ができます。
- 52 -
・ 情報の書き換え
・ データの破壊
・ ファイルの破壊
定期的なバックアップは、以下の2つの手順を実施します。
・ データのバックアップ
・ データのリストア
データのバックアップ
不正な書き換えが起こった場合に備え、以下の資源を定期的にバックアップしてください。
・ EJBサービスの環境定義ファイル
・ J2EE共通ディレクトリ
上記資源をバックアップする場合についてはJ2EE共通資源とIJServer資源のバックアップが必要です。詳細は、「運用ガ
イド(基本編)」の「資源のバックアップとリストア」を参照してください。
データのリストア
不正な書き換えが発生した場合、データをリストアします。
2.11.3.3.3 SSL通信機能による暗号化
SSL通信機能は、CORBAサービスのSSL連携を利用した暗号化通信を行う機能です。SSL通信機能を使用することに
より、以下の脅威に対する防衛ができます。
・ 情報の搾取
・ パスワードの搾取
SSL通信について詳細は、「15.2 EJBサービスにおける環境設定」を参照してください。
2.11.4 Interstage JMSに関する対策
資源ファイルへの不正アクセス
Interstage JMSでは、以下のような環境定義ファイルを保持しています。
・ JNDI定義ファイル(fjmsjndi.ser.*) (注1)
・ JMS不揮発化ファイル(fjmsmng.ser.*、fjmsdsubXXXX.ser、lock\.XXXX) (注1)
・ クラスタ環境定義ファイル(fjmscluster.ser) (注1)
・ コンソールログ(fjmsconsole.log) (注2)
注1) ファイルの格納先については、「運用ガイド(基本編)」の「バックアップ・リストア対象資源」を参照してください。
注2) ファイルの格納先については、「J2EE ユーザーズガイド(旧版互換)」の「Interstage JMSの異常時の対処」-「コン
ソールログ」を参照してください。
- 53 -
これらのファイルは悪意のある人(またはマシン)による不正アクセスという脅威にさらされる可能性があります。
これらのファイルを脅威にさらさないためには、そのファイルを一般ユーザからはアクセスできないようにするという対策が
あります。このために、それらのファイルに対して管理者権限をもつユーザ(Solaris/Linuxシステムではスーパユーザ、
Windows(R)システムではAdministrator)のみがアクセス可能であるという設定をすることをお勧めします。
なお、イベントサービスのセキュリティ対策についても行う必要があります。イベントサービスについては、「2.6 イベントサー
ビスに関する対策」を参照してください。
- 54 -
第2部 認証とアクセス制御
第3章 Interstageの認証とアクセス制御機能................................................................................56
第4章 Interstage HTTP Serverの認証とアクセス制御の設定.......................................................62
第5章 Interstage ディレクトリサービスのアクセス制御の設定......................................................114
第6章 セキュリティ監査証跡機能...............................................................................................127
- 55 -
第3章 Interstageの認証とアクセス制御機能
Interstageの認証とアクセス制御機能について説明します。
ポイント
認証機能の以下のような場合に使用します。
各支店、支社、特定の部署などだけに公開する場合
アクセス元マシンの物理的なセキュリティがしっかりしていて、その中で不特定多数が利用する場合は、IPアクセスコ
ントロールを使用します。
IPアクセスコントロールで限定したマシン群の中で、さらに個人まで限定する場合は、ユーザ認証も併用します。
不特定の場所から利用する個人に対して公開する場合
ユーザ認証を使用します。
SSLを使用した強力な認証が必要な場合
クライアント認証を使用します。
不特定多数に公開する場合
認証機能を使用する必要はありません。
3.1 Interstage シングル・サインオン
シングル・サインオンとは、複数のWebサービスやWebシステムを1回の認証で使用可能とする機能です。
Interstage シングル・サインオンでは、以下の認証があります。
・ ユーザ認証(パスワード認証)
ユーザ名およびパスワードによる認証
・ クライアント認証(証明書認証)
クライアント証明書による認証
注) SSLの環境設定が必要です。
シングル・サインオンでは、以下の単位でアクセス制御を設定できます。
・ Webサーバでは、ディレクトリ、ファイル単位
3.2 Interstage ディレクトリサービス
■認証
Interstage ディレクトリサービスでは、リポジトリ内のエントリや属性に対して、ユーザごとに参照や更新などのアクセス権を
設定して、アクセス制御を行うことができます。たとえば、電話番号属性(telephoneNumber)に対して、その電話番号をも
つユーザ自身には、書き込みを許可し、匿名ユーザには、アクセスを禁止し、その他のユーザには、読み取りを許可す
る、といった設定ができます。
- 56 -
参照
設定方法については、「第5章 Interstage ディレクトリサービスのアクセス制御の設定」を参照してください。
■アクセス制御
サーバ上の資源に対するアクセス制御は、リポジトリ内のエントリや属性単位で設定します。
3.3 Interstage HTTP Server
■認証
Interstage HTTP Serverでは、以下の認証方法を使用できます。
・ ユーザ認証(基本認証)
ユーザ名およびパスワードによる認証
・ IPアクセスコントロール
IPアドレスによる認証
・ クライアント認証(証明書認証)
クライアント証明書による認証
注) SSLの環境設定が必要です。
・ オンライン照合
ディレクトリサービスを利用したユーザ認証
ポイント
・ ユーザ認証、IPアクセスコントロール、およびクライアント認証は、単独または併用して使用できます。
・ オンライン照合機能は、パスワードファイルによるユーザ認証(基本認証)と併用できません。
参照
設定方法については、「第4章 Interstage HTTP Serverの認証とアクセス制御の設定」を参照してください。
■アクセス制御
サーバ上の資源に対するアクセス制御は、ディレクトリ/ファイル単位で設定します。
3.3.1 ユーザ認証(基本認証)
ユーザ認証は、ユーザ名、グループ名、およびパスワードを管理し、サーバ上の資源に対して、ユーザまたはグループ
ごとにアクセスを制限する機能です。
サーバは、ユーザがクライアント(Webブラウザ)で入力するユーザ名とパスワードによって、資源へのアクセスが許可され
ているかを確認します。
- 57 -
ポイント
・ ユーザ認証では、ネットワーク上に送信されるユーザ名およびパスワードが暗号化されないため、ユーザ名およびパ
スワードが容易に解読される可能性があります。
本現象を回避するためには、クライアントとサーバ間でSSLを使用した運用を行って、ユーザ名およびパスワードを
暗号化してください。これにより、セキュアな運用を行うことができます。
・ WebアプリケーションでWebサーバのユーザ認証(基本認証)の情報を使用できます。詳細については、Interstage管
理コンソールの[Webアプリケーション環境設定]の[認証]のヘルプを参照してください。
3.3.2 IPアクセスコントロール
IPアクセスコントロールは、サーバ上の資源に対して、アクセス元のマシンのIPアドレスごとにアクセスを制限する機能です。
サーバは、アクセスしているマシンのIPアドレスによって、資源へのアクセスが許可されているかを確認します。
- 58 -
3.3.3 クライアント認証(証明書認証)
クライアント認証は、サーバ上の資源に対し、クライアント証明書の記載事項によりアクセスを制限する機能です。これに
よりクライアント(Webブラウザ)の身元を保証することができます。
ポイント
クライアント認証によりアクセス制限を行うため、SSLプロトコルバージョン「SSL3.0」または「SSL3.1」(TLS 1.0)を使用する
必要があります。
3.3.4 オンライン照合
オンライン照合機能は、ディレクトリサービスを利用したユーザ認証機能です。ユーザ認証に使用するユーザ情報(ユー
ザ名/パスワード)およびグループ情報をディレクトリサーバに格納して、管理します。Webブラウザ(クライアント)から
ユーザ名/パスワードを受信した場合、Webサーバはディレクトリサービスのクライアントとして動作し、ディレクトリサーバ
とLDAP(Lightweight Directory Access Protocol)通信を行って、オンライン上でユーザ情報(ユーザ名/パスワード)を
照合します。
本機能を使用することにより、ディレクトリサーバがユーザ名/パスワードの一括管理を行い、Webサーバ間共通のユー
ザ情報(ユーザ名/パスワード)の使用が可能となります。
- 59 -
注意
・ オンライン照合機能は、パスワードファイルによるユーザ認証(基本認証)と併用できません。
■SSLを使用した通信
Webサーバとディレクトリサーバ間でSSLを用いたセキュアな通信を行うことができます。
使用するSSLライブラリとSSLのプロトコルバージョンを以下に示します。
Webサーバ
Interstage HTTP Server
SSLライブラリ
SMEE3(SMEE 3.x以降)
SSLプロトコルバージョン
2.0、または3.0
注意
SSLを使用した通信では、サーバ認証だけをサポートしています。
3.4 Interstage HTTP Server 2.2
■認証
Interstage HTTP Server 2.2では、以下の認証方法を使用できます。
・ ユーザ認証(基本認証)
ユーザ名およびパスワードによる認証
・ IPアクセスコントロール
IPアドレスによる認証
・ クライアント認証(証明書認証)
クライアント証明書による認証
注)SSLの環境設定が必要です。
参照
Interstage HTTP Server 2.2の認証方法については、「Interstage HTTP Server 2.2 運用ガイド」の「機能」-「認証とアクセ
ス制御」を参照してください。
■アクセス制御
サーバ上の資源に対するアクセス制御は、ディレクトリ/ファイル単位で設定します。
3.5 コンポーネントトランザクションサービス
■認証
Interstageでは、アプリケーションの利用者を認証する機能として以下の機能を提供します。
- 60 -
SSLを使用したユーザ認証
CORBAサービスが提供するSSL機能を使用することにより、通信の暗号化と同時に、証明書を使用したクライアント
認証を行うことができます。
■アクセス制御
サーバ上の資源に対するアクセス制御は、オブジェクトやワークユニット単位で設定します。
- 61 -
第4章 Interstage HTTP Serverの認証とアクセス制御の
設定
4.1 ユーザ認証
ユーザ認証は、以下の手順で設定します。
1. ユーザのパスワードを登録します。
2. 環境定義ファイル(httpd.conf)を設定します。
注意
オンライン照合機能を使用する場合、ユーザ認証は使用できません。
参照
ユーザ認証の機能概要については、「3.3.1 ユーザ認証(基本認証)」を参照してください。
(1) ユーザのパスワード登録
コマンドプロンプト上でhtpasswdコマンドを使用して、アクセス制御を許可するユーザのパスワードをパスワードファイルに
登録します。
例
新規にパスワードファイル「C:\Interstage\F3FMihs\servers\FJapache\conf\password.txt」を作成して、ユーザ「user1」の
パスワードを登録する場合。
htpasswd -c C:\Interstage\F3FMihs\servers\FJapache\conf\password.txt user1
新規にパスワードファイル「/opt/FJSVihs/servers/FJapache/conf/password.txt」を作成して、ユーザ「user1」のパスワードを
登録する場合。
/opt/FJSVihs/bin/htpasswd -c /opt/FJSVihs/servers/FJapache/conf/password.txt user1
注意
・ 2人目以降のユーザを登録する場合、および既存のユーザのパスワードを変更する場合は、htpasswdコマンド実行
時に-cオプションを指定する必要はありません。
- 62 -
・ ユーザを削除する場合は、パスワードファイルをテキストエディタで編集する必要があります。
パスワードファイルはテキストエディタで参照すると以下のように記述されていますので、「user2」を削除する場合は
「user2」の行を削除して格納してください。
user1:$apr1$SR3.....$4aQAE2EU9NZTtbkxMEOa4/
user2:$apr1$DS3.....$tEb4EYLhraAc1p2wIygTV/
・ セキュリティ対策のため、パスワードファイルのアクセス権限を変更することを推奨します。
パスワードファイルのアクセス権限の変更手順を以下に示します。
エクスプローラのファイルプロパティを使用して、パスワードファイルのアクセス権限を変更します。
1. エクスプローラを起動します。
2. パスワードファイルを選択して右クリックします。
3. [プロパティ]をクリックします。
4. [セキュリティ]タブをクリックします。
5. プロパティの[セキュリティ]画面で、以下のグループ以外の[アクセス許可]設定に「拒否」を選択して、[OK]ボ
タンをクリックします。
- Administrators
- SYSTEM
アクセス権限の変更後は、Administratorsグループに所属するユーザでhtpasswdコマンドを実行してください。
コマンドを使用して、パスワードファイル(例:/opt/FJSVihs/servers/FJapache/conf/password.txt)のアクセス権限および
所有者を変更します。
1. スーパユーザでchmodコマンドを実行して、パスワードファイルのアクセス権限を「640」に変更します。
chmod 640 /opt/FJSVihs/servers/FJapache/conf/password.txt
2. スーパユーザでchownコマンドを実行して、パスワードファイルの所有者を「root」に変更します。
chown root /opt/FJSVihs/servers/FJapache/conf/password.txt
3. スーパユーザでchgrpコマンドを実行して、パスワードファイルの所有者が所属するグループを「nobody」(環境
定義ファイル(httpd.conf)のGroupディレクティブの設定値)に変更します。
chgrp nobody /opt/FJSVihs/servers/FJapache/conf/password.txt
アクセス権限の変更後は、スーパユーザでhtpasswdコマンドを実行してください。
(2) 環境定義ファイルの設定
Interstage HTTP Serverの環境定義ファイル(httpd.conf)の以下に示すディレクティブを使用して、指定ディレクトリ配下を
パスワードファイルに登録したユーザからのアクセスのみ許可するように設定します。これによりWebブラウザからのアク
セス要求を行った際にユーザ名、パスワードを確認し、パスワードファイルに登録されているユーザ名、パスワード以外
のアクセスは拒否されます。
注意
ServletサービスのアプリケーションのURLに対してユーザ認証を設定する場合は、以下の設定例の<Directory>セクショ
ンは使用できません。<Location>セクションを使用してください。
- 63 -
例
指定したディレクトリ「C:\Interstage\F3FMihs\servers\FJapache\htdocs\users\name」配下を、パスワードファイル「C:
\Interstage\F3FMihs\servers\FJapache\conf\password.txt」に登録されているユーザのアクセスのみ許可させる場合
LoadModule auth_module "C:/Interstage/F3FMihs/modules/mod_auth.so"
<Directory "C:/Interstage/F3FMihs/servers/FJapache/htdocs/users/name">
AuthUserFile "C:/Interstage/F3FMihs/servers/FJapache/conf/password.txt"
AuthName "Secret directory"
AuthType Basic
Require valid-user
</Directory>
指定したディレクトリ「/opt/FJSVihs/servers/FJapache/htdocs/users/name」配下を、パスワードファイル「/opt/FJSVihs/servers/
FJapache/conf/password.txt」に登録されているユーザのアクセスのみ許可させる場合
LoadModule auth_module "/opt/FJSVihs/modules/mod_auth.so"
<Directory "/opt/FJSVihs/servers/FJapache/htdocs/users/name">
AuthUserFile "/opt/FJSVihs/servers/FJapache/conf/password.txt"
AuthName "Secret directory"
AuthType Basic
Require valid-user
</Directory>
参考
関連ディレクティブ
・ AuthName
・ AuthType
・ AuthUserFile
・ <Directory>
・ LoadModule
・ <Location>
・ Require
4.2 IPアクセスコントロール
IPアクセスコントロールでは、Interstage HTTP Serverの環境定義ファイル(httpd.conf)の以下に示すディレクティブを使用
して、指定ディレクトリ配下を指定ホストからのアクセスのみ許可するように設定します。これによりWebブラウザからのアク
セス要求を行った際、指定ホスト以外のアクセスは拒否されます。
- 64 -
注意
ServletサービスのアプリケーションのURLに対してIPアクセスコントロールを設定する場合は、以下の設定例の<Directory>
セクションは使用できません。<Location>セクションを使用してください。
参照
IPアクセスコントロールの機能概要については、「3.3.2 IPアクセスコントロール」を参照してください。
例
指定したディレクトリ「C:\Interstage\F3FMihs\servers\FJapache\htdocs\secret」配下を、指定したホスト「192.168.1.1」から
のアクセスのみ許可する場合
<Directory "C:/Interstage/F3FMihs/servers/FJapache/htdocs/secret">
Order deny,allow
Deny from all
Allow from 192.168.1.1
</Directory>
指定したディレクトリ「/opt/FJSVihs/servers/FJapache/htdocs/secret」配下を、指定したホスト「192.168.1.1」からのアクセスの
み許可する場合
<Directory "/opt/FJSVihs/servers/FJapache/htdocs/secret">
Order deny,allow
Deny from all
Allow from 192.168.1.1
</Directory>
例
指 定 し た デ ィ レ ク ト リ 「 C: \ Interstage \ F3FMihs \ servers \ FJapache \ htdocs \ secret 」 配 下 を 、 指 定 し た ホ ス ト
「2001:db8::a00:20ff:fea7:ccea」からのアクセスだけを許可する場合
<Directory "C:/Interstage/F3FMihs/servers/FJapache/htdocs/secret">
Order deny,allow
Deny from all
Allow from 2001:db8::a00:20ff:fea7:ccea
</Directory>
指定したディレクトリ「/opt/FJSVihs/servers/FJapache/htdocs/secret」配下を、指定したホスト「2001:db8::a00:20ff:fea7:ccea」
からのアクセスのみ許可する場合
- 65 -
<Directory "/opt/FJSVihs/servers/FJapache/htdocs/secret">
Order deny,allow
Deny from all
Allow from 2001:db8::a00:20ff:fea7:ccea
</Directory>
例
指定したディレクトリ「C:\Interstage\F3FMihs\servers\FJapache\htdocs\secret」配下を、指定したドメイン「allowdomain.com」からのアクセスだけを許可する場合
<Directory "C:/Interstage/F3FMihs/servers/FJapache/htdocs/secret">
Order deny,allow
Deny from all
Allow from allow-domain.com
</Directory>
指定したディレクトリ「/opt/FJSVihs/servers/FJapache/htdocs/secret」配下を、指定したドメイン「allow-domain.com」からの
アクセスだけを許可する場合
<Directory "/opt/FJSVihs/servers/FJapache/htdocs/secret">
Order deny,allow
Deny from all
Allow from allow-domain.com
</Directory>
参考
関連ディレクティブ
・ Allow
・ Deny
・ <Directory>
・ <Location>
・ Order
4.3 クライアント認証
クライアント認証(証明書認証)は、SSL環境を構築して、SSL通信時にクライアントから送信されるクライアント証明書によ
りアクセス制御を行います。
さらに、Interstage HTTP Serverの環境定義ファイル(httpd.conf)において、クライアント証明書の属性情報に対する認証
条件を設定することにより、クライアント証明書の条件設定によるアクセス制御を行うこともできます。
- 66 -
参照
クライアント認証の機能概要については、「3.3.3 クライアント認証(証明書認証)」を参照してください。
クライアント認証(証明書認証)を設定するための手順を以下に示します。
■クライアント認証(一般的な証明書認証)
1. Interstage HTTP ServerのSSL環境を構築します。
SSL環境の構築手順の詳細については、「第12章 Interstage HTTP ServerでSSLを利用する方法」を参照してくだ
さい。
なお、SMEEコマンドで構築した証明書/鍵管理環境のSSLを利用する場合は、環境定義ファイル(httpd.conf)の設
定時に、「クライアント認証あり」を指定してください。
■クライアント認証(証明書の条件設定による認証)
1. Interstage HTTP ServerのSSL環境を構築します。
SSL環境の構築手順の詳細については、「第12章 Interstage HTTP ServerでSSLを利用する方法」を参照してくだ
さい。
なお、SMEEコマンドで構築した証明書/鍵管理環境のSSLを利用する場合は、環境定義ファイル(httpd.conf)の設
定時に、「クライアント認証あり」を指定してください。
2. 環境定義ファイル(httpd.conf)を設定します。
環境定義ファイル(httpd.conf)の設定については、「4.3.1 環境定義ファイルの設定」を参照してください。
クライアント認証(証明書の条件設定による認証)の手順2「環境定義ファイルの設定」について、以降に説明します。
4.3.1 環境定義ファイルの設定
Interstage HTTP Serverの環境定義ファイル(httpd.conf)において、クライアント認証(証明書の条件設定による認証)によ
るアクセス制御を設定します。
Interstage HTTP Serverの環境定義ファイル(httpd.conf)の設定方法を以下に示します。
SSLCertExpand on
SSLNotifyVers on
(1)
(2)
RewriteEngine On
(3)
RewriteCond %{ENV:環境変数A} 条件パターンA (4)
RewriteCond %{ENV:環境変数B} 条件パターンB
RewriteRule .* - [L]
(5)
RewriteCond %{ENV:環境変数C} 条件パターンC
RewriteCond %{ENV:環境変数D} 条件パターンD
RewriteRule .* - [L]
RewriteRule .* - [F]
(6)
1. SSLCertExpandディレクティブに「on」を指定します。省略可(省略時:on)。本指定により、クライアント証明書情報
の環境変数の設定を有効とします。
2. SSLNotifyVersディレクティブに「on」を指定します。省略可(省略時:on)。本指定により、SSL関連の環境変数の設
定を有効とします。
- 67 -
3. RewriteEngineディレクティブに「On」を指定します。本指定により、リライト機能を有効とします。
4. RewriteCondディレクティブに、指定した環境変数に対する条件パターンを指定します。本指定により、クライアント
証明書の属性情報に対する認証許可条件を設定します。手順4のRewriteRuleディレクティブ([L]フラグ付)の前に
RewriteCondディレクティブを複数指定して、併用する認証許可条件を設定できます。
環境変数は、以下から選択します。なお、環境変数は、Webサーバの動作を制御するために使用する変数であ
り、オペレーティングシステムで制御している環境変数ではありません。環境変数の詳細については、「Interstage
HTTP Server 運用ガイド」の「環境変数とサーバ変数」を参照してください。
環境変数名
クライアント証明書の項目
SSL_CLIENT_CN
氏名
SSL_CLIENT_C
国名
SSL_CLIENT_EMAIL
メールアドレス
SSL_CLIENT_O
組織名
SSL_CLIENT_OU
組織単位名
SSL_CLIENT_T
肩書
SSL_CLIENT_PHONE
電話番号
SSL_CLIENT_ST
州/都道府県
SSL_CLIENT_L
市町村名
条件パターンは、指定した環境変数の値を判定するための条件を、正規表現で指定します。条件パターンの文字
列の前にエクスクラメーションマーク(!)を付加し、正規表現にマッチしないパターンを条件として指定することもで
きます。文字列内に空白を指定する場合は、文字列をダブルクォーテーション(")で囲みます。
5. 手順3のRewriteCondディレクティブのあとに、RewriteRuleディレクティブ([L]フラグ付)を指定します。本指定によ
り、手順3の認証許可条件に従ってアクセス許可を設定します。なお、手順3のRewriteCondディレクティブと手順4
のRewriteRuleディレクティブを組み合わせて複数設定することにより、複数の認証許可条件を設定できます。
6. RewriteRuleディレクティブ([F]フラグ付)を指定します。本指定により、上記で設定した認証許可条件に不一致なク
ライアント証明書を送信したクライアントのアクセス拒否を設定します。
注意
ServletサービスのアプリケーションのURLに対してクライアント証明書によるアクセス制御を設定する場合は、<Location>
セクションの中に設定してください。
■組織による認証条件の設定
例
以下のいずれかの条件に一致するクライアント証明書のアクセスを許可する場合
・ 組織名「organizationA」、かつ組織単位名「organizationAunit1」/「organizationAunit2」
・ 組織名「organizationB」、かつ組織単位名「organizationBunit1」・「organizationBunit2」以外
・ 組織名が「organization」(大文字と小文字の区別なし)で始まる文字列、かつ肩書に「Manager」を含む文字列
LoadModule rewrite_module "C:/Interstage/F3FMihs/modules/mod_rewrite.so"
RewriteEngine On
- 68 -
RewriteCond %{ENV:SSL_CLIENT_O} ^organizationA$
RewriteCond %{ENV:SSL_CLIENT_OU} ^organizationAunit1$|^organizationAunit2$
RewriteRule .* - [L]
RewriteCond %{ENV:SSL_CLIENT_O} ^organizationB$
RewriteCond %{ENV:SSL_CLIENT_OU} !(^organizationBunit1$|^organizationBunit2$)
RewriteRule .* - [L]
RewriteCond %{ENV:SSL_CLIENT_O} "^organization.*" [NC]
RewriteCond %{ENV:SSL_CLIENT_T} .*Manager.*
RewriteRule .* - [L]
RewriteRule .* - [F]
LoadModule rewrite_module "/opt/FJSVihs/modules/mod_rewrite.so"
RewriteEngine On
RewriteCond %{ENV:SSL_CLIENT_O} ^organizationA$
RewriteCond %{ENV:SSL_CLIENT_OU} ^organizationAunit1$|^organizationAunit2$
RewriteRule .* - [L]
RewriteCond %{ENV:SSL_CLIENT_O} ^organizationB$
RewriteCond %{ENV:SSL_CLIENT_OU} !(^organizationBunit1$|^organizationBunit2$)
RewriteRule .* - [L]
RewriteCond %{ENV:SSL_CLIENT_O} "^organization.*" [NC]
RewriteCond %{ENV:SSL_CLIENT_T} .*Manager.*
RewriteRule .* - [L]
RewriteRule .* - [F]
■地域による認証条件の設定
例
以下のいずれかの条件に一致するクライアント証明書のアクセスを許可する場合
・ 国名「JP」、かつ都道府県「Tokyo」/「Osaka」/「Kyoto」
・ 国名「US」、かつ州「California」/「New York」
LoadModule rewrite_module "C:/Interstage/F3FMihs/modules/mod_rewrite.so"
RewriteEngine On
RewriteCond %{ENV:SSL_CLIENT_C} ^JP$
RewriteCond %{ENV:SSL_CLIENT_ST} ^Tokyo$|^Osaka$|^Kyoto$
RewriteRule .* - [L,E=REMOTE_USER:JP-user]
RewriteCond %{ENV:SSL_CLIENT_C} ^US$
RewriteCond %{ENV:SSL_CLIENT_ST} "^California$|^New York$"
RewriteRule .* - [L,E=REMOTE_USER:US-user]
- 69 -
RewriteRule .* - [F]
LoadModule rewrite_module "/opt/FJSVihs/modules/mod_rewrite.so"
RewriteEngine On
RewriteCond %{ENV:SSL_CLIENT_C} ^JP$
RewriteCond %{ENV:SSL_CLIENT_ST} ^Tokyo$|^Osaka$|^Kyoto$
RewriteRule .* - [L,E=REMOTE_USER:JP-user]
RewriteCond %{ENV:SSL_CLIENT_C} ^US$
RewriteCond %{ENV:SSL_CLIENT_ST} "^California$|^New York$"
RewriteRule .* - [L,E=REMOTE_USER:US-user]
RewriteRule .* - [F]
参考
関連ディレクティブ
・ LoadModule
・ RewriteCond
・ RewriteEngine
・ RewriteRule
・ SSLCertExpand
・ SSLNotifyVers
4.4 オンライン照合
Interstage HTTP Severにおいて、オンライン照合機能を運用するための環境設定の手順について説明します。
Interstage HTTP Serverでは、以下のディレクトリサーバをサポートしています。
Interstageディレクトリサービス
Interstage ディレクトリサービスは、本製品が提供しているディレクトリサーバです。
Active Directory
Active Directoryは、Microsoft(R)から提供されているディレクトリサーバです。
注意
・ オンライン照合機能を運用するには、Interstage HTTP Serverと同じマシン上に、クライアントAPIライブラリ「Interstage
ディレクトリサービス SDK」が必要です。
- 70 -
参照
オンライン照合の機能概要については、「3.3.4 オンライン照合」を参照してください。
オンライン照合機能では、以下のどちらかの運用を行うことができます。
・ Interstage HTTP Serverとディレクトリサーバ間でSSLを使用しない運用
・ Interstage HTTP Serverとディレクトリサーバ間でSSLを使用する運用
オンライン照合機能を運用するための設定手順について、それぞれ以下に示します。
■Interstage HTTP Serverとディレクトリサーバ間でSSLを使用しない運用を行う場合
1. ディレクトリサーバがインストールされたシステムで、ディレクトリサーバの環境設定を行います。ディレクトリサーバ
の環境設定については、「4.4.1 ディレクトリサーバの環境設定」を参照してください。
2. Interstage HTTP Serverがインストールされたシステムで、環境定義ファイル(httpd.conf)を設定します。環境定義
ファイル(httpd.conf)の設定については、「4.4.3 環境定義ファイルの設定」を参照してください。
■Interstage HTTP Serverとディレクトリサーバ間でSSLを使用する運用を行う場合
1. ディレクトリサーバがインストールされたシステムで、ディレクトリサーバの環境設定を行います。ディレクトリサーバ
の環境設定については、「4.4.1 ディレクトリサーバの環境設定」を参照してください。
2. Interstage HTTP Serverがインストールされたシステムで、SSL通信のクライアント環境を設定します。SSL通信の環
境設定については、「4.4.2 SSL通信の環境設定」を参照してください。
3. Interstage HTTP Serverがインストールされたシステムで、環境定義ファイル(httpd.conf)を設定します。環境定義
ファイル(httpd.conf)の設定については、「4.4.3 環境定義ファイルの設定」を参照してください。
4.4.1 ディレクトリサーバの環境設定
ディレクトリサーバの環境設定を行います。
・ Interstageディレクトリサービスを使用する場合
・ Active Directoryを使用する場合
■Interstageディレクトリサービスを使用する場合
(1) ディレクトリサーバの準備
ディレクトリサーバ(Interstage ディレクトリサービス)のサーバ環境設定に従い、リポジトリを作成します。
また、Interstage HTTP Serverとディレクトリサーバ間でSSLを使用した暗号化通信を行う場合は、SSL通信のサーバ
環境を設定します。
参照
Interstage ディレクトリサービスの環境設定については、「ディレクトリサービス運用ガイド」の「環境構築」を参照してく
ださい。
- 71 -
InterstageディレクトリサービスのSSL通信の環境設定については、「ディレクトリサービス運用ガイド」の「SSL通信環境
の構築」を参照してください。
(2) エントリの作成
ディレクトリサーバにおいて、エントリ管理ツールなどを使用してユーザ情報/グループ情報のエントリを作成します。
参照
Interstage ディレクトリサービスのエントリの作成方法については、「ディレクトリサービス運用ガイド」の「エントリの管
理」を参照してください。
例
ユーザのエントリ作成例
ユーザのエントリは、inetOrgPersonオブジェクトクラスで作成します。
ユーザのエントリは、以下の項目に設定する必要があります。
項目
説明
cn属性
ユーザエントリの名前を設定します。
uid属性
オンライン照合を行うときのユーザ名を設定します。
userPassword属性
ユーザ名に対応するパスワードを設定します。
ユーザのエントリ構成例
例
グループのエントリ作成例
- 72 -
グループのエントリは、groupOfNamesオブジェクトクラスで作成します。
グループのエントリは、以下の項目に設定が必要です。
項目
説明
cn属性
オンライン照合を行うユーザが属するグループ名を設定します。
member属性
グループに属するユーザのDN名を設定します。
グループのエントリ構成例
■Active Directoryを使用する場合
Windows(R)システムのマニュアルを参照して、ディレクトリサーバ(Active Directory)の環境設定を行います。
Interstage HTTP Serverとディレクトリサーバ間でSSLを使用した暗号化通信を行う場合は、以下のSSL通信の環境設定
も行ってください。
1. 認証局(証明書発行局)に証明書の発行を依頼するための証明書取得申請書を作成します。
2. 認証局に証明書の発行を依頼します。
3. SSL通信環境に、2.で認証局から取得した認証局の証明書、サイト証明書、およびCRLを登録します。
4.4.2 SSL通信の環境設定
オンライン照合機能では、Interstage HTTP Serverとディレクトリサーバ間で、SSLを使用する運用を設定できます。SSLを
使用した暗号化通信を行う場合は、Interstage HTTP Serverがインストールされたシステムに、SSLのクライアント環境を設
定してください。
SSLのクライアント環境として、以下の環境を使用できます。運用に応じて、以下のどちらかのSSL環境を設定してくださ
い。
・ Interstage証明書環境
・ SMEEコマンドで構築する証明書/鍵管理環境
- 73 -
参照
SSL環境設定コマンドの詳細については、「リファレンスマニュアル(コマンド編)」の「SSL環境設定コマンド」を参照してく
ださい。
■Intersatge証明書環境を使用する場合
注意
・ SSL環境設定コマンドは、Administratorsグループに所属するユーザで実行してください。
・ SSL環境設定コマンドは、スーパユーザで実行してください。
・ 環境変数JAVA_HOMEに、JDKまたはJREのインストールパスを設定して実行してください。
(1) 所有グループの作成
Interstage証明書環境へのアクセスを許可する所有グループを作成します。
参照
所有グループの作成方法については、「10.2.1 Interstage証明書環境のアクセス権限の設定」を参照してください。
(2) Interstage証明書環境の作成
認証局の証明書およびCRL管理に必要なInterstage証明書環境を作成します。
コマンドの実行例を以下に示します。
例
scsmakeenv -e
「(1) 所有グループの作成」で作成した所有グループ「iscertg」に登録されているユーザに、アクセスを許可するInterstage
証明書環境を作成する場合
scsmakeenv -e -g iscertg
(3) 認証局の証明書の取得
ディレクトリサーバに登録したサイト証明書を発行した認証局から、認証局の証明書を取得します。認証局の証明書
の取得方法については、認証局に従ってください。
- 74 -
(4) CRLの取得
ディレクトリサーバに登録したサイト証明書を発行した認証局から、CRLを取得します。CRLの取得方法については、
認証局に従ってください。
(5) 認証局の証明書の登録
Interstage証明書環境に、「(3) 認証局の証明書の取得」で取得した認証局の証明書を登録します。認証局の証明書
は、ルート認証局の認証局証明書から順に登録してください。
コマンドの実行例を以下に示します。
例
以下の証明書を登録する場合
- 認証局の証明書「C:\sslenv\CA.der」
- 認証局の証明書のニックネーム「CA」
scsenter -n CA -f C:\sslenv\CA.der
以下の証明書を登録する場合
- 認証局の証明書「/sslenv/CA.der」
- 認証局の証明書のニックネーム「CA」
scsenter -n CA -f /sslenv/CA.der
(6) CRLの登録
Interstage証明書環境に、「(4) CRLの取得」で取得したCRLを登録します。
コマンドの実行例を以下に示します。
例
CRLファイル「C:\sslenv\CRL.der」を登録する場合
scsenter -c -f C:\sslenv\CRL.der
CRLファイル「/sslenv/CRL.der」を登録する場合
scsenter -c -f /sslenv/CRL.der
■SMEEコマンドで構築する証明書/鍵管理環境のSSLを使用する場合
注意
スーパユーザ権限以外のユーザが操作を行ってください。セキュリティ上の配慮により、Webサーバのプロセスをスーパ
- 75 -
ユーザ権限以外で設定する必要があります。
また、環境定義ファイル(httpd.conf)を設定する際(設定例3/設定例6)は、Userディレクティブにこのユーザを、Group
ディレクティブにこのユーザが登録されている所有グループを指定してください。
(1) 管理ディレクトリの作成
認証局の証明書およびCRL管理に必要なディレクトリを作成します。
コマンドの実行例を以下に示します。
例
mkdir
mkdir
mkdir
mkdir
C:\sslenv\slot
C:\sslenv\sslcert
C:\sslenv\sslcert\cert
C:\sslenv\sslcert\crl
mkdir
mkdir
mkdir
mkdir
/sslenv/slot
/sslenv/sslcert
/sslenv/sslcert/cert
/sslenv/sslcert/crl
(2) 秘密鍵管理環境の作成/設定
秘密鍵の管理に必要な秘密鍵管理環境を作成して、環境設定を行います。
コマンドの実行例を以下に示します。
例
makeslot -d C:\sslenv\slot
maketoken -d C:\sslenv\slot -s 1 -t token01
makeslot -d /sslenv/slot
maketoken -d /sslenv/slot -s 1 -t token01
(3) 証明書/CRL管理環境の作成
認証局の証明書およびCRLの管理に必要な証明書/CRL管理環境を作成して、環境設定を行います。
コマンドの実行例を以下に示します。
例
- 76 -
cmmkenv C:\sslenv\sslcert -todir C:\sslenv\sslcert\cert,C:\sslenv\sslcert\crl
cmsetenv C:\sslenv\sslcert -sd C:\sslenv\slot -jc 1
cmmkenv /sslenv/sslcert -todir /sslenv/sslcert/cert,/sslenv/sslcert/crl
cmsetenv /sslenv/sslcert -sd /sslenv/slot -jc 1
(4) 認証局の証明書の取得
ディレクトリサーバに登録したサイト証明書を発行した認証局から、認証局の証明書を取得します。認証局の証明書
の取得方法については、認証局に従ってください。
(5) CRLの取得
ディレクトリサーバに登録したサイト証明書を発行した認証局から、CRLを取得します。CRLの取得方法については、
認証局に従ってください。
(6) 認証局の証明書の登録
証明書/CRL管理環境に、「(4) 認証局の証明書の取得」で取得した認証局の証明書を登録します。証明書は、ルー
ト認証局の認証局から順に登録してください。
コマンドの実行例を以下に示します。
例
認証局証明書「CA.der」を登録する場合
cmentcert C:\sslenv\CA.der -ed C:\sslenv\sslcert -ca -nn CA
認証局証明書「CA.der」を登録する場合
cmentcert /sslenv/CA.der -ed /sslenv/sslcert -ca -nn CA
(7) CRLの登録
証明書/CRL管理環境に、「(5) CRLの取得」で取得したCRLを登録します。
コマンドの実行例を以下に示します。
例
CRLファイル「C:\sslenv\CRL.der」を登録する場合
cmentcrl C:\sslenv\CRL.der -ed C:\sslenv\sslcert
CRLファイル「/sslenv/CRL.der」を登録する場合
cmentcrl /sslenv/CRL.der -ed /sslenv/sslcert
- 77 -
4.4.3 環境定義ファイルの設定
Interstage HTTP Serverの環境定義ファイル(httpd.conf)において、オンライン照合機能の運用に応じた設定を行います。
Interstage HTTP Serverの環境定義ファイル(httpd.conf)は、ディレクトリサーバの種類、およびInterstage HTTP Serverと
ディレクトリサーバ間のプロトコル種類により設定方法が異なります。
以下の表を参考にして、環境定義ファイル(httpd.conf)を設定してください。
ディレクトリサーバ
Interstageディレクトリサー
ビス
Active Directory
Interstage HTTP Serverが使用するSSL環境
参照する設定例
SSLを使用しない
設定例1
Interstage証明書環境を使用する (注)
設定例2
SMEEコマンドで構築した証明書/鍵管理環境を使用す
る
設定例3
SSLを使用しない
設定例4
Interstage証明書環境を使用する
設定例5
SMEEコマンドで構築した証明書/鍵管理環境を使用す
る
設定例6
注)ディレクトリサーバで構築したSSL環境を使用する場合も該当します。
注意
・ ServletサービスのアプリケーションのURLに対してオンライン照合機能を設定する場合は、以下の設定例の<Directory>
セクションは使用できません。<Location>セクションを使用してください。
・ SSLプロトコルバージョンには、ディレクトリサーバのSSLプロトコルバージョンと同じバージョンを設定してください。
・
LoadModuleディレクティブは、必ずldap_module、auth_ldap_moduleの順に設定してください。
それぞれのInterstage HTTP Serverの環境定義ファイル(httpd.conf)の設定例を以下に示します。
■Interstageディレクトリサービスを使用する場合
設定例1(SSL未使用)
例
以下のような設定でSSLを使用しないオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「389」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=manager,ou=interstage,o=fujitsu,dc=com」
- 78 -
・ ディレクトリサーバでユーザ情報を格納したツリー名「ou=User,ou=interstage,o=fujitsu,dc=com」
LoadModule ldap_module "C:/Interstage/F3FMihs/modules/util_ldap.so"
LoadModule auth_ldap_module "C:/Interstage/F3FMihs/modules/mod_auth_ldap.so"
<Directory "C:/Interstage/F3FMihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 389
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
Require valid-user
AuthLDAPSecure off
</Directory>
以下のような設定でSSLを使用しないオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「389」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=manager,ou=interstage,o=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「ou=User,ou=interstage,o=fujitsu,dc=com」
LoadModule ldap_module "/opt/FJSVihs/modules/mod_ldap.so"
LoadModule auth_ldap_module "/opt/FJSVihs/modules/mod_auth_ldap.so"
<Directory "/opt/FJSVihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 389
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
Require valid-user
AuthLDAPSecure off
</Directory>
設定例2(SSL使用/Interstage証明書環境を使用する場合)
例
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「636」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=manager,ou=interstage,o=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「ou=User,ou=interstage,o=fujitsu,dc=com」
- 79 -
・ SSLプロトコルバージョン「SSL3.0」
LoadModule ldap_module "C:/Interstage/F3FMihs/modules/util_ldap.so"
LoadModule auth_ldap_module "C:/Interstage/F3FMihs/modules/mod_auth_ldap.so"
<Directory "C:/Interstage/F3FMihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 636
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
Require valid-user
AuthLDAPSecure on
AuthLDAPSecureVersion 3
</Directory>
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「636」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=manager,ou=interstage,o=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「ou=User,ou=interstage,o=fujitsu,dc=com」
・ SSLプロトコルバージョン「SSL3.0」
・ Interstage証明書環境の所有グループに登録したユーザ「nobody」
・ 上記のユーザが登録されている所有グループ「nobody」
LoadModule ldap_module "/opt/FJSVihs/modules/mod_ldap.so"
LoadModule auth_ldap_module "/opt/FJSVihs/modules/mod_auth_ldap.so"
User nobody
Group nobody
<Directory "/opt/FJSVihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 636
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
Require valid-user
AuthLDAPSecure on
AuthLDAPSecureVersion 3
</Directory>
設定例3(SSL使用/SMEEコマンドで構築した証明書/鍵管理環境を使用する場合)
- 80 -
例
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「636」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=manager,ou=interstage,o=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「ou=User,ou=interstage,o=fujitsu,dc=com」
・ SSLプロトコルバージョン「SSL3.0」
・ 秘密鍵管理環境のスロット情報ディレクトリ「D:\sslenv\slot」
・ 証明書/CRL管理環境の運用管理ディレクトリ「D:\sslenv\sslcert」
・ トークンラベル「token01」
・ ユーザPIN「userpin」
LoadModule ldap_module "C:/Interstage/F3FMihs/modules/util_ldap.so"
LoadModule auth_ldap_module "C:/Interstage/F3FMihs/modules/mod_auth_ldap.so"
<Directory "C:/Interstage/F3FMihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 636
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
Require valid-user
AuthLDAPSecure on
AuthLDAPSecureVersion 3
AuthLDAPSlotPath "D:\sslenv\slot"
AuthLDAPCertPath "D:\sslenv\sslcert"
AuthLDAPTknLbl token01
AuthLDAPTknPwd userpin
</Directory>
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「636」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=manager,ou=interstage,o=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「ou=User,ou=interstage,o=fujitsu,dc=com」
・ SSLプロトコルバージョン「SSL3.0」
・ 秘密鍵管理環境のスロット情報ディレクトリ「/sslenv/slot」
・ 証明書/CRL管理環境の運用管理ディレクトリ「/sslenv/sslcert」
・ トークンラベル「token01」
・ ユーザPIN「userpin」
- 81 -
・ 証明書/鍵管理環境を構築したユーザ「user1」
・ 上記のユーザが登録されている所有グループ「group1」
LoadModule ldap_module "/opt/FJSVihs/modules/mod_ldap.so"
LoadModule auth_ldap_module "/opt/FJSVihs/modules/mod_auth_ldap.so"
User user1
Group group1
<Directory "/opt/FJSVihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=manager,ou=interstage,o=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 636
AuthLDAPbasedn ou=User,ou=interstage,o=fujitsu,dc=com
Require valid-user
AuthLDAPSecure on
AuthLDAPSecureVersion 3
AuthLDAPSlotPath "/sslenv/slot"
AuthLDAPCertPath "/sslenv/sslcert"
AuthLDAPTknLbl token01
AuthLDAPTknPwd userpin
</Directory>
■Active Directoryを使用する場合
設定例4(SSL未使用)
例
以下のような設定でSSLを使用しないオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「389」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ 認証時のユーザIDとして使用するディレクトリサーバの属性名「sAMAccountName」
LoadModule ldap_module "C:/Interstage/F3FMihs/modules/util_ldap.so"
LoadModule auth_ldap_module "C:/Interstage/F3FMihs/modules/mod_auth_ldap.so"
<Directory "C:/Interstage/F3FMihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 389
AuthLDAPbasedn cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPAttribute sAMAccountName
Require valid-user
- 82 -
AuthLDAPSecure
</Directory>
off
以下のような設定でSSLを使用しないオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「389」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ 認証時のユーザIDとして使用するディレクトリサーバの属性名「sAMAccountName」
LoadModule ldap_module "/opt/FJSVihs/modules/mod_ldap.so"
LoadModule auth_ldap_module "/opt/FJSVihs/modules/mod_auth_ldap.so"
<Directory "/opt/FJSVihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 389
AuthLDAPbasedn cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPAttribute sAMAccountName
Require valid-user
AuthLDAPSecure off
</Directory>
設定例5(SSL使用/Interstage証明書環境を使用する場合)
例
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「636」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ 認証時のユーザIDとして使用するディレクトリサーバの属性名「sAMAccountName」
・ SSLプロトコルバージョン「SSL3.0」
LoadModule ldap_module "C:/Interstage/F3FMihs/modules/util_ldap.so"
LoadModule auth_ldap_module "C:/Interstage/F3FMihs/modules/mod_auth_ldap.so"
<Directory "C:/Interstage/F3FMihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
- 83 -
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 636
AuthLDAPbasedn cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPAttribute sAMAccountName
Require valid-user
AuthLDAPSecure on
AuthLDAPSecureVersion 3
</Directory>
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「636」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ 認証時のユーザIDとして使用するディレクトリサーバの属性名「sAMAccountName」
・ SSLプロトコルバージョン「SSL3.0」
・ Interstage証明書環境の所有グループに登録したユーザ「nobody」
・ 上記のユーザが登録されている所有グループ「nobody」
LoadModule ldap_module "/opt/FJSVihs/modules/mod_ldap.so"
LoadModule auth_ldap_module "/opt/FJSVihs/modules/mod_auth_ldap.so"
User nobody
Group nobody
<Directory "/opt/FJSVihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 636
AuthLDAPbasedn cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPAttribute sAMAccountName
Require valid-user
AuthLDAPSecure on
AuthLDAPSecureVersion 3
</Directory>
設定例6(SSL使用/SMEEコマンドで構築した証明書/鍵管理環境を使用する場合)
例
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「636」
- 84 -
・ ディレクトリサーバにアクセスするためのBindDN名「cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ 認証時のユーザIDとして使用するディレクトリサーバの属性名「sAMAccountName」
・ SSLプロトコルバージョン「SSL3.0」
・ 秘密鍵管理環境のスロット情報ディレクトリ「D:\sslenv\slot」
・ 証明書/CRL管理環境の運用管理ディレクトリ「D:\sslenv\sslcert」
・ トークンラベル「token01」
・ ユーザPIN「userpin」
LoadModule ldap_module "C:/Interstage/F3FMihs/modules/util_ldap.so"
LoadModule auth_ldap_module "C:/Interstage/F3FMihs/modules/mod_auth_ldap.so"
<Directory "C:/Interstage/F3FMihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 636
AuthLDAPbasedn cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPAttribute sAMAccountName
Require valid-user
AuthLDAPSecure on
AuthLDAPSecureVersion 3
AuthLDAPSlotPath "D:\sslenv\slot"
AuthLDAPCertPath "D:\sslenv\sslcert"
AuthLDAPTknLbl token01
AuthLDAPTknPwd userpin
</Directory>
以下のような設定でSSLを使用したオンライン照合機能の運用を行う場合
・ ディレクトリサーバのホスト名「hostname」
・ ポート番号「636」
・ ディレクトリサーバにアクセスするためのBindDN名「cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ ディレクトリサーバでユーザ情報を格納したツリー名「cn=Users,dc=interstage,dc=fujitsu,dc=com」
・ 認証時のユーザIDとして使用するディレクトリサーバの属性名「sAMAccountName」
・ SSLプロトコルバージョン「SSL3.0」
・ 秘密鍵管理環境のスロット情報ディレクトリ「/sslenv/slot」
・ 証明書/CRL管理環境の運用管理ディレクトリ「/sslenv/sslcert」
・ トークンラベル「token01」
・ ユーザPIN「userpin」
・ 証明書/鍵管理環境を構築したユーザ「user1」
・ 上記のユーザが登録されている所有グループ「group1」
LoadModule ldap_module "/opt/FJSVihs/modules/mod_ldap.so"
LoadModule auth_ldap_module "/opt/FJSVihs/modules/mod_auth_ldap.so"
- 85 -
User user1
Group group1
<Directory "/opt/FJSVihs/servers/FJapache/htdocs/securityzone">
AuthLDAPBindDN cn=administrator,cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPBindPassword password
AuthLDAPEnabled on
AuthName "title"
AuthType Basic
AuthLDAPHost hostname
AuthLDAPPort 636
AuthLDAPbasedn cn=Users,dc=interstage,dc=fujitsu,dc=com
AuthLDAPAttribute sAMAccountName
Require valid-user
AuthLDAPSecure on
AuthLDAPSecureVersion 3
AuthLDAPSlotPath "/sslenv/slot"
AuthLDAPCertPath "/sslenv/sslcert"
AuthLDAPTknLbl token01
AuthLDAPTknPwd userpin
</Directory>
参考
関連ディレクティブ
・ AuthLDAPAttribute
・ AuthLDAPbasedn
・ AuthLDAPBindDN
・ AuthLDAPBindPassword
・ AuthLDAPCertPath
・ AuthLDAPEnabled
・ AuthLDAPHost
・ AuthLDAPPort
・ AuthLDAPSecure
・ AuthLDAPSecureVersion
・ AuthLDAPSlotPath
・ AuthLDAPTknLbl
・ AuthLDAPTknPwd
・ AuthName
・ AuthType
・ <Directory>
・ Group
・ LoadModule
・ <Location>
・ Require
- 86 -
・ User
4.5 関連ディレクティブ
環境定義ファイルの設定において関連するディレクティブを以下に示します。
なお、ここでは、以下のように説明しています。
名前
ディレクティブの名前です。
形式
ディレクティブの形式です。
機能概要
ディレクティブの機能概要です。
指定位置
ディレクティブが設定する位置を、以下のキーワードで示します。
グローバルコンテキスト
Webサーバ全体の動作について設定します。
バーチャルホスト
<VirtualHost>セクション内で使用可能であり、バーチャルホストの動作について設定します。
ディレクトリ
<Directory>セクション内、<Location>セクション内、および<Files>セクション内で使用可能であり、特定のディレクト
リ、URL、およびファイルに対してリクエストを受けた場合の動作について設定します。
省略値
ディレクティブを省略した場合の値です。「なし」と示されているディレクティブは、省略した場合にディレクティブの機能を
使用することができません。
初期値
ディレクティブの初期値です。
モジュール
ディレクティブの機能を実装しているモジュールの名前です。モジュール名が示されていないディレクティブは、基本モ
ジュールに含まれます。
- 87 -
注意事項
ディレクティブ使用時の注意事項です。
使用例
ディレクティブの使用例です(設定が複雑なディレクティブのみ)。
4.5.1 Allow
名前
Allow
形式
Allow from ホスト名|ネットワーク[/マスク]|env=環境変数名 [ホスト名|ネットワーク[/マスク]|env=環境変数名] ...
機能概要
ホストまたはネットワーク単位で、任意のディレクトリのアクセス許可を設定します。
ホスト名に「all」を指定すると、すべてのホストからのアクセスが許可されます。
ホスト名にIPアドレスを指定すると、そのIPアドレスからのアクセスだけが許可されます。IPアドレスには、IPv6アドレスを指
定することもできます。
ホスト名にドメイン名を指定すると、指定されたドメインに所属するホストからのアクセスだけが許可されます。
「env=環境変数名」は、指定した環境変数が存在した場合に、アクセスが許可されます。
指定位置
ディレクトリ
省略値
なし
初期値
Allow from all
モジュール
mod_access
4.5.2 AuthLDAPAttribute
名前
AuthLDAPAttribute
- 88 -
形式
AuthLDAPAttribute 属性名
機能概要
オンライン照合機能において、ユーザ名として使用するディレクトリサーバの属性名を設定します。
属性名
ASCII英数字(1バイト文字の0~9、A~Z、およびa~z)文字列を、256バイト以内で記述します。
指定位置
ディレクトリ
省略値
AuthLDAPAttribute uid
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.3 AuthLDAPbasedn
名前
AuthLDAPbasedn
形式
AuthLDAPbasedn BaseDN名
機能概要
ディレクトリサーバで、ユーザ情報を格納したツリーの名前をDN名で指定します。
ユーザ情報を複数のエントリに格納している場合は、各エントリに共通するツリー上階層のDN名を指定します。ここで指
定されたBaseDNは、ユーザ情報を検索する階層のTOPとして扱われます。BaseDNに指定した文字列は、そのままディ
レクトリサーバに渡されるため、ディレクトリサーバで使用している文字列を指定してください。
BaseDN
ASCII英数字(1バイト文字の0~9、A~Z、およびa~z)文字列、または日本語文字列を256バイト以内で記述します。
- 89 -
指定位置
ディレクトリ
省略値
なし
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.4 AuthLDAPBindDN
名前
AuthLDAPBindDN
形式
AuthLDAPBindDN BindDN名
機能概要
ディレクトリサーバにアクセスするためのBindDN名を指定します。アノニマスアクセスを行う場合は、本ディレクティブを省
略してください。
BindDN
ASCII英数字(1バイト文字の0~9、A~Z、およびa~z)文字列、または日本語の文字列を、256バイト以内で指定しま
す。
指定位置
ディレクトリ
省略値
AuthLDAPBindDN anonymous
モジュール
mod_auth_ldap
util_ldap
- 90 -
mod_auth_ldap
mod_ldap
4.5.5 AuthLDAPBindPassword
名前
AuthLDAPBindPassword
形式
AuthLDAPBindPassword BindPassword
機能概要
AuthLDAPBindDNディレクティブでBindDN名を指定した場合は、BindDN名に対応するパスワードを指定します。アノ
ニマスアクセスを行う場合は、本ディレクティブを省略してください。
BindPassword
ASCII英数字(1バイト文字の0~9、A~Z、およびa~z)文字列を、128バイト以内で指定します。
指定位置
ディレクトリ
省略値
なし
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.6 AuthLDAPCertPath
名前
AuthLDAPCertPath
- 91 -
形式
AuthLDAPCertPath 運用管理ディレクトリ名
機能概要
証明書/CRL管理環境の作成時に指定した運用管理ディレクトリを、絶対パスで指定します。
指定位置
ディレクトリ
省略値
なし
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.7 AuthLDAPEnabled
名前
AuthLDAPEnabled
形式
AuthLDAPEnabled on|off
機能概要
LDAP認証を行うかを指定します。
on
LDAP認証を行います。
off
LDAP認証を行いません。
指定位置
ディレクトリ
- 92 -
省略値
AuthLDAPEnabled on
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.8 AuthLDAPHost
名前
AuthLDAPHost
形式
AuthLDAPHost ホスト名
機能概要
ディレクトリサーバのドメイン名を含むホスト名、またはIPアドレスを指定します。IPアドレスには、IPv6アドレスを指定する
こともできます。
指定位置
ディレクトリ
省略値
AuthLDAPHost localhost
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
使用例
ディレクトリサーバのホスト名「hostname」を指定する場合
- 93 -
AuthLDAPHost hostname
ディレクトリサーバのIPアドレス「192.168.1.1」を指定する場合
AuthLDAPHost 192.168.1.1
ディレクトリサーバのIPv6アドレス「2001:db8::a00:20ff:fea7:ccea」を指定する場合
AuthLDAPHost 2001:db8::a00:20ff:fea7:ccea
4.5.9 AuthLDAPPort
名前
AuthLDAPPort
形式
AuthLDAPPort ポート番号
機能概要
ディレクトリサーバのポート番号を指定します。
指定位置
ディレクトリ
省略値
SSLを使用しない場合
AuthLDAPPort 389
SSLを使用する場合
AuthLDAPPort 636
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.10 AuthLDAPSecure
- 94 -
名前
AuthLDAPSecure
形式
AuthLDAPSecure on|off
機能概要
オンライン照合機能の運用時にSSLを使用するかを指定します。
on
SSLを使用します。
off
SSLを使用しません。
指定位置
ディレクトリ
省略値
AuthLDAPSecure off
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.11 AuthLDAPSecureVersion
名前
AuthLDAPSecureVersion
形式
AuthLDAPSecureVersion 2|3
- 95 -
機能概要
オンライン照合機能において、ディレクトリサーバとSSL通信を行う場合に使用するSSLプロトコルバージョンを指定します。
同一のディレクトリサーバに対してSSL通信を行う複数のセクションがある場合は、該当するセクションにおいてすべて同
じバージョンを指定してください。
2
SSLプロトコルバージョン「SSL2.0」を使用します。
3
SSLプロトコルバージョン「SSL3.0」を使用します。
指定位置
ディレクトリ
省略値
AuthLDAPSecureVersion 3
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.12 AuthLDAPSlotPath
名前
AuthLDAPSlotPath
形式
AuthLDAPSlotPath スロット情報ディレクトリ名
機能概要
秘密鍵管理環境の作成時に指定したスロット情報ディレクトリを、絶対パスで指定します。
指定位置
ディレクトリ
- 96 -
省略値
なし
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.13 AuthLDAPTknLbl
名前
AuthLDAPTknLbl
形式
AuthLDAPTknLbl トークンラベル
機能概要
秘密鍵の作成時に指定したトークンラベルを指定します。
指定位置
ディレクトリ
省略値
なし
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.14 AuthLDAPTknPwd
- 97 -
名前
AuthLDAPTknPwd
形式
AuthLDAPTknPwd ユーザPIN
機能概要
秘密鍵の作成時に指定したユーザPINを指定します。
指定位置
ディレクトリ
省略値
なし
モジュール
mod_auth_ldap
util_ldap
mod_auth_ldap
mod_ldap
4.5.15 AuthName
名前
AuthName
形式
AuthName タイトル
機能概要
認証画面に表示されるタイトル(領域)をASCII英数字(1バイト文字)で指定します。
指定位置
ディレクトリ
省略値
なし
- 98 -
4.5.16 AuthType
名前
AuthType
形式
AuthType Basic|Digest
機能概要
認証のタイプを指定します。
Basic
基本認証(パスワードが平文)であることを指定します。
Digest
ダイジェスト認証(パスワードがハッシュ値)であることを指定します。
指定位置
ディレクトリ
省略値
なし
4.5.17 AuthUserFile
名前
AuthUserFile
形式
AuthUserFile ファイル名
機能概要
ユーザ認証に使用するパスワードファイル名(ユーザとパスワードのリストを含むテキストファイルの名前)を設定します。
指定位置
ディレクトリ
省略値
なし
- 99 -
モジュール
mod_auth
4.5.18 Deny
名前
Deny
形式
Deny from ホスト名|ネットワーク[/マスク] |env=環境変数名 [ホスト名|ネットワーク[/マスク]|env=環境変数名] ...
機能概要
ホストまたはネットワーク単位で、任意のディレクトリのアクセス拒否を設定します。
ホスト名に「all」を指定すると、すべてのホストからのアクセスが拒否されます。
ホスト名にIPアドレスを指定すると、そのIPアドレスからのアクセスだけが拒否されます。IPアドレスには、IPv6アドレスを指
定することもできます。
ホスト名にドメイン名を指定すると、指定されたドメインに所属するホストからのアクセスだけが拒否されます。
「env=環境変数名」は、指定した環境変数が存在した場合に、アクセスが拒否されます。
指定位置
ディレクトリ
省略値
なし
モジュール
mod_access
4.5.19 <Directory>
名前
<Directory>
形式
<Directory ディレクトリ> ... </Directory>
機能概要
特定のディレクトリとそのサブディレクトリの中だけでディレクティブを使用する場合に、ディレクトリのセクションを指定します。
ディレクトリ名は、絶対パス、DocumentRootディレクティブに指定したディレクトリからの相対パス、ワイルドカード(?:ある1
文字に一致、*:ある連続した文字列に一致)、および正規表現で指定することができます。
- 100 -
なお、指定したディレクトリ内では、ディレクトリコンテキストの中で許可されているすべてのディレクティブを使用できま
す。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
なし
注意事項
本セクションは、Servletサービスのアプリケーションに対して使用できません。<Location>セクションを使用してください。
4.5.20 DirectoryIndex
名前
DirectoryIndex
形式
DirectoryIndex ファイル名 [ファイル名 ...]
機能概要
クライアントがURLの末尾にスラッシュ(/)を指定してディレクトリのインデックスを要求する場合に、検索対象となるリソース
のファイル名を設定します。
指定位置
グローバルコンテキスト、バーチャルホスト、ディレクトリ
省略値
DirectoryIndex index.html
初期値
DirectoryIndex index.html index.html.var
モジュール
mod_dir
注意事項
Servletサービスのアプリケーションにアクセスした場合、本ディレクティブの設定は無効となります。
- 101 -
4.5.21 Group
名前
Group
形式
Group グループID
機能概要
通信プロセスを実行する際のグループ名を指定します。
「グループID」には、グループ名を指定するか、「#」の後ろにグループID(数値)を続けて指定できます。
指定位置
グローバルコンテキスト
省略値
Group nobody
初期値
Group nobody
4.5.22 LoadModule
名前
LoadModule
形式
LoadModule モジュール識別子 ファイル名
機能概要
プラグインモジュールを読み込みます。
モジュール識別子には、プラグインモジュールのソースファイルで定義したモジュール構造体の名前を指定します。プラ
グインモジュールのファイル名は、絶対パスで指定します。
指定位置
グローバルコンテキスト
- 102 -
省略値
なし
4.5.23 <Location>
名前
<Location>
形式
<Location URL> ... </Location>
機能概要
特定のURLの中だけでディレクティブを使用する場合に、URLのセクションを指定します。
URL名は、スキームを含めずに「/path」で指定します。また、ワイルドカード(?:ある1文字に一致、*:ある連続した文字列
に一致)、および正規表現で指定できます。ただし、正規表現で指定する場合は、先頭にチルダと半角空白(~ )を追加
してください。
なお、指定したURL内では、ディレクトリコンテキストの中で許可されているすべてのディレクティブを使用できます。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
なし
注意事項
スラッシュ(/)は、どのワイルドカードにもマッチしないため、明示的に指定してください。
4.5.24 Order
名前
Order
形式
Order 順序
機能概要
AllowディレクティブとDenyディレクティブの評価順序を設定します。
評価順序は、以下のどちらかを選択します。間に空白を入れずに、DenyとAllowをカンマ(,)で区切って指定します。
- 103 -
Deny,Allow
以下の順でディレクティブを評価して、クライアントからのアクセス条件を設定します。
1. Denyディレクティブで設定したホスト以外からのアクセスを許可します。
2. Allowディレクティブで設定したホストからのアクセスを許可します。1.のDenyディレクティブの設定は、上書きさ
れます。
なお、<Directory>セクションまたは<Location>セクションなどに、Allowディレクティブ・Denyディレクティブを設定しな
いで本ディレクティブだけを設定した場合、指定したセクションへのすべてのアクセスを許可します。
Allow,Deny
以下の順でディレクティブを評価して、クライアントからのアクセス条件を設定します。
1. Allowディレクティブで設定したホスト以外からのアクセスを拒否します。
2. Denyディレクティブで設定したホストからのアクセスを拒否します。1.のAllowディレクティブの設定は、上書きさ
れます。
なお、<Directory>セクションまたは<Location>セクションなどに、Allowディレクティブ・Denyディレクティブを設定しな
いで本ディレクティブだけを設定した場合、指定したセクションへのすべてのアクセスを拒否します。
指定位置
ディレクトリ
省略値
Order Deny,Allow
モジュール
mod_access
4.5.25 Redirect
名前
Redirect
形式
Redirect [ステータス] URL リダイレクトパス
機能概要
指定したURLのリダイレクト先を設定します。リダイレクト先のURLは、絶対URLで指定する必要があります。
指定可能なステータスを以下に示します。
permanent
permanent redirect status (301)が返されます。リソースが恒久的に移動したときに使用します。
- 104 -
temp
temporary redirect status (302)が返されます。ステータスコードが省略された場合のデフォルトのステータスです。
seeother
"See Other" status (303)が返されます。リソースが通常に移動されたときに使用します。
gone
"Gone" status (410)が返されます。リソースが恒久的に移動し、リダイレクトパスのパラメタを省略したときに使用しま
す。
指定位置
グローバルコンテキスト、バーチャルホスト、ディレクトリ
省略値
なし
モジュール
mod_alias
注意事項
・ ServletサービスのアプリケーションのURLに対してリダイレクトを設定する場合は、<Location>セクションの中に、本
ディレクティブを設定してください。
・ URLには、スラッシュ(/)だけを指定しないでください。URLにスラッシュ(/)だけを指定し、リダイレクトパスに同一のWeb
サーバのパスを指定すると、すべてのリクエストに一致するため、無限にリダイレクトされる可能性があります。
4.5.26 Require
名前
Require
形式
Require valid-user|user ユーザ名|group グループ名
機能概要
認証許可ルールを指定します。
valid-user
すべての有効ユーザを許可します。
オンライン照合機能を運用する場合は、ディレクトリサーバに登録されているユーザを許可します。
user ユーザ名
ユーザ名に指定されたユーザを許可します。
オンライン照合機能を使用する場合は、ユーザ名に、ユーザのuid属性を指定します。なお、userとユーザ名は、空白
により区切ります。
- 105 -
group グループ名
グループ名に指定されたグループに属するユーザを許可します。
オンライン照合機能を使用する場合は、グループ名に、グループエントリのDN名を指定します。なお、groupとグルー
プ名は、空白により区切ります。
指定位置
ディレクトリ
省略値
なし
4.5.27 RewriteCond
名前
RewriteCond
形式
RewriteCond テスト文字列 条件パターン [フラグ]
機能概要
URLを書き換える条件を設定します。本ディレクティブは、RewriteRuleディレクティブの前に、1つ以上設定できます。テ
スト文字列の値が条件パターンに指定した条件を満たしている場合は、後続のRewriteRuleディレクティブの設定を適用
します。
テスト文字列
テスト文字列を以下の変数で指定します。
- $N
Nには、1から9までの数値を指定します。
直前のRewriteRuleディレクティブのURLパターンに指定した正規表現のグループ化「括弧()」に対応した文字列
で置き換えられます。
- %N
Nには、1から9までの数値を指定します。
最後に条件を満たしたRewriteCondディレクティブの条件パターンに指定した正規表現のグループ化「括弧()」に
対応した文字列で置き換えられます。
- %{サーバ変数名}
サーバ変数を指定します。サーバ変数については、「Interstage HTTP Server 運用ガイド」の「環境変数とサーバ
変数」を参照してください。
- %{ENV:環境変数名}
環境変数を指定します。環境変数については、「Interstage HTTP Server 運用ガイド」の「環境変数とサーバ変
数」を参照してください。
- %{HTTP:ヘッダ名}
任意のHTTPリクエストヘッダを指定します。
- 106 -
条件パターン
テスト文字列の値を判定するための条件を正規表現で指定します。
条件パターンの文字列の前にエクスクラメーションマーク(!)を付加し、正規表現にマッチしないパターンを条件として
指定することもできます。
フラグ(省略可)
条件判定を制御するフラグを、角括弧([])で囲んで指定します。複数のフラグを指定する場合は、角括弧([])内にカ
ンマ(,)で区切って指定してください。
指定可能なフラグを以下に示します。
- nocase(または、NC)
大文字小文字を区別せずに判定します。
- ornext(または、OR)
複数の本ディレクティブをOR条件にする場合に指定します。本フラグを指定しない場合は、AND条件になりま
す。
指定位置
グローバルコンテキスト、バーチャルホスト、ディレクトリ
省略値
なし
モジュール
mod_rewrite
注意事項
・ 本ディレクティブは、リライト機能を使用する設定である(RewriteEngineディレクティブに「On」を設定している)場合に
有効となります。
・ バーチャルホストで本ディレクティブを使用する場合は、バーチャルホストごとに設定してください。
4.5.28 RewriteEngine
名前
RewriteEngine
形式
RewriteEngine On|Off
機能概要
リライト機能の使用の有無を設定します。リライト機能を使用することにより、柔軟なURLの書換えが可能となります。
なお、URL書換えの条件および書換えルールは、RewriteCondディレクティブおよびRewriteRuleディレクティブで設定し
ます。
- 107 -
On
リライト機能を使用します。
Off
リライト機能を使用しません。
指定位置
グローバルコンテキスト、バーチャルホスト、ディレクトリ
省略値
RewriteEngine Off
モジュール
mod_rewrite
注意事項
バーチャルホストでリライト機能を使用する場合は、バーチャルホストごとに設定してください。
4.5.29 RewriteRule
名前
RewriteRule
形式
RewriteRule URLパターン 置換文字列 [フラグ]
機能概要
URLを書き換えるためのルールを設定します。
RewtiteCondディレクティブなどのリライト関連のディレクティブと組み合わせて、柔軟にURLを書き換えることができます。
URLパターン
書換えの対象となるURLを正規表現で指定します。
URLエンコードされたURLは、デコードされたURLが対象となります。
置換文字列
URLパターンにマッチした場合に、書き換えるURLを指定します。
以下の変数を指定することもできます。
- $N
Nには、1から9までの数値を指定します。
URLパターンに指定した正規表現のグループ化「括弧()」に対応した文字列に置き換えられます。
- %N
Nには、1から9までの数値を指定します。
- 108 -
最後に条件を満たしたRewtiteCondディレクティブの条件パターンに指定した正規表現のグループ化「括弧()」に
対応した文字列に置き換えられます。
- %{サーバ変数名}
サーバ変数を指定します。サーバ変数については、「Interstage HTTP Server 運用ガイド」の「環境変数とサーバ
変数」を参照してください。
- %{ENV:環境変数名}
環境変数を指定します。環境変数については、「Interstage HTTP Server 運用ガイド」の「環境変数とサーバ変
数」を参照してください。
- %{HTTP:ヘッダ名}
任意のHTTPリクエストヘッダを指定します。
- URLを書き換えません。
フラグ(省略可)
フラグを、角括弧([])で囲んで指定します。複数のフラグを指定する場合は、角括弧([])内にカンマ(,)で区切って指定
してください。
指定可能なフラグを以下に示します。
- redirect[=ステータス](または、R[=ステータス])
書き換えたURLで外部リダイレクトを実行します。
指定可能なステータスを以下に示します。[=ステータス]を省略した場合は、ステータスコード「302」(Moved
Temporarily)でリダイレクトします。
- permanent(または、301)
ステータスコード「301」(Moved Permanently)でリダイレクトします。
- temp(または、302)
ステータスコード「302」(Moved Temporarily)でリダイレクトします。
- seeother(または、303)
ステータスコード「303」(See Other)でリダイレクトします。
- forbidden(または、F)
ステータスコード「403」(Forbidden)を返します。
RewtiteCondディレクティブに設定した条件で、Webサーバへのアクセスを禁止する場合などに指定します。
- gone(または、G)
ステータスコード「410」(Gone)を返します。
クライアントに、存在しないページにアクセスしていることを通知する場合に指定します。
- proxy(または、P)
ルールにマッチしている場合は、書き換えたURLをプロキシ要求とみなし、リバースプロキシとして動作します。
本 フ ラ グ を 指 定 す る 場 合 は 、 LoadModule デ ィ レ ク テ ィ ブ で mod_proxy 、 mod_proxy_connect 、 お よ び
mod_proxy_httpモジュールを設定する必要があります。
- last(または、L)
ルールにマッチしている場合は、URLの書換え処理を終了します。後続のルールは適用されません。
- next(または、N)
一連の書換え処理のルールを先頭のルールから再度実行します。すでに書き換えられたURLが対象となりま
す。本フラグを指定する場合は、書換え処理が無限に実行されないように、適切に終了条件を設定してください。
- chain(または、C)
ルールにマッチしている場合は、後続のルールを適用します。ルールにマッチしていない場合、後続のルール
はすべて適用されません。
- type=MIMEタイプ(または、T=MIMEタイプ)
ルールにマッチしている場合は、指定したMIMEタイプをContent-Typeヘッダに設定します。
- 109 -
注意
Servletサービスのアプリケーションにアクセスし、そのアプリケーションにおいてMIMEタイプが設定された場合、
本指定は無効となります。
- nosubreq(または、NS)
Webサーバ内で発生するサブリクエストには、ルールを適用しません。
クライアント(Webブラウザ)から末尾がスラッシュ(/)のURLが指定された際に、DirectoryIndexディレクティブで指
定したファイルに対するサブリクエストが発生しますが、そのサブリクエストはルールを適用しない場合などに使用
します。
- nocase(または、NC)
大文字小文字を区別せずにルールを適用します。
- qsappend(または、QSA)
書換え前のURLおよび置換文字列にそれぞれクエリ文字列(URL内のクエスチョンマーク(?)以降の文字列)が存
在する場合、置換文字列の末尾にアンパサンド(&)と書換え前のURLに指定されたクエリ文字列を追加します。
本フラグを指定しない場合、クエリ文字列は置換文字列で上書きされます。
- noescape(または、NE)
書換え時のURLエスケープを抑制します。
通常、パーセント(%)やセミコロン(;)などの特殊文字は、16進表現の「%25」、「%3b」にエスケープされますが、本
フラグを指定した場合は、エスケープされません。
- passthrough(または、PT)
URLの書換え後、他のモジュールに制御を渡します。
書き換えたURLに対して、Aliasディレクティブ、ScriptAliasディレクティブ、およびRedirectディレクティブなどを使
用する場合に指定します。
- skip=数値(または、S=数値)
ルールにマッチしている場合、数値に指定した数の後続のルールの適用をスキップします。
- env=環境変数:値(または、E=環境変数:値)
ルールにマッチしている場合、指定した任意の環境変数に値を設定します。値には、置換文字列と同様に、$N
および%Nも指定できます。$Nおよび%Nの指定方法については、置換文字列の説明を参照してください。
指定位置
グローバルコンテキスト、バーチャルホスト、ディレクトリ
省略値
なし
モジュール
mod_rewrite
注意事項
・ 本ディレクティブは、リライト機能を使用する設定である(RewriteEngineディレクティブに「On」を設定している)場合に
有効となります。
・ バーチャルホストで本ディレクティブを設定する場合は、バーチャルホストごとに設定してください。
バーチャルホストで本ディレクティブを設定すると、書き換えるURLのホスト名と<VirtualHost>セクションに指定したア
ドレスの文字列が一致した場合、内部リダイレクトします。外部リダイレクトするように設定するには、フラグに「redirect[=
ステータス](または、R[=ステータス])」を指定してください。
- 110 -
・ 置換文字列にServletサービスのアプリケーションのURLを指定する場合は、外部リダイレクトまたはリバースプロキシ
を設定してください。外部リダイレクトおよびリバースプロキシの設定方法については、使用例を参照してください。
使用例
クライアント(Webブラウザ)からリクエストを受信した場合に、本ディレクティブに設定した各ルールに従って書き換えられ
たURLを以下の表に示します。
設定内容
クライアントからのリク
エスト
置換後のURL (注)
RewriteRule ^/somepath(.*) /otherpath$1
GET /somepath/
pathinfo
/otherpath/pathinfo
(内部リダイレクト)
RewriteRule ^/somepath(.*) /otherpath$1
[R]
GET /somepath/
pathinfo
http://thishost/otherpath/
pathinfo
(外部リダイレクト)
RewriteRule ^/somepath(.*) http://
thishost/otherpath$1
GET /somepath/
pathinfo
/otherpath/pathinfo
(内部リダイレクト)
RewriteRule ^/somepath(.*) http://
thishost/otherpath$1 [R]
GET /somepath/
pathinfo
http://thishost/otherpath/
pathinfo
(外部リダイレクト)
RewriteRule ^/somepath(.*) http://
otherhost/otherpath$1
GET /somepath/
pathinfo
http://otherhost/otherpath/
pathinfo
(外部リダイレクト)
RewriteRule ^/somepath(.*) http://
originhost/otherpath$1 [P]
GET /somepath/
pathinfo
http://originhost/otherpath/
pathinfo
(リバースプロキシ)
RewriteRule ^/(.+\.cgi)$ /cgi-bin/$1 [PT]
GET /test.cgi?abc
/cgi-bin/test.cgi?abc
RewriteRule ^/(.+\.cgi)$ /cgi-bin/$1
[PT,QSA]
GET /test.cgi?abc
/cgi-bin/test.cgi?abc
RewriteRule ^/(.+\.cgi)$ /cgi-bin/$1?xyz
[PT]
GET /test.cgi?abc
/cgi-bin/test.cgi?xyz
RewriteRule ^/(.+\.cgi)$ /cgi-bin/$1?xyz
[PT,QSA]
GET /test.cgi?abc
/cgi-bin/test.cgi?xyz&abc
注) 各ホスト名は、以下を意味します。
・ thishost:ルールが設定されているWebサーバ
・ otherhost:他のWebサーバ
・ originhost:プロキシ動作時のコンテンツ生成元のWebサーバ
4.5.30 SSLCertExpand
名前
SSLCertExpand
形式
SSLCertExpand on|off
- 111 -
機能概要
クライアント証明書の情報を環境変数として設定するかを指定します。
on
クライアント証明書の情報を環境変数として設定します。
off
クライアント証明書の情報を環境変数として設定しません。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
メインホストの場合
SSLCertExpand on
バーチャルホストの場合
SSLCertExpand (メインホストの本ディレクティブの設定値)
モジュール
mod_ihs_ssl
4.5.31 SSLNotifyVers
名前
SSLNotifyVers
形式
SSLNotifyVers on|off
機能概要
SSL関連の環境変数を設定するかを指定します。
on
SSL関連の情報を環境変数として設定します。
off
SSL関連の情報を環境変数として設定しません。ただし、HTTPS環境変数だけは設定されます。
指定位置
グローバルコンテキスト、バーチャルホスト
- 112 -
省略値
メインホストの場合
SSLNotifyVers on
バーチャルホストの場合
SSLNotifyVers (メインホストの本ディレクティブの設定値)
モジュール
mod_ihs_ssl
4.5.32 User
名前
User
形式
User ユーザID
機能概要
通信プロセスを実行する際のユーザ名を指定します。
「ユーザID」には、ユーザ名を指定するか、または「#」の後ろにユーザID(数値)を続けて指定できます。
指定位置
グローバルコンテキスト
省略値
User nobody
初期値
User nobody
- 113 -
第5章 Interstage ディレクトリサービスのアクセス制御の設
定
Interstage ディレクトリサービスのアクセス制御の設定について説明します。
5.1 アクセス制御の設計
アクセス制御の設計では、クライアントからリポジトリサーバに対してアクセスした際に、どのアクセス対象に対して、どの
アクセスユーザに、どのようなアクセスを許可する必要があるのか、またはどのようなアクセスを禁止する必要があるのか
を決定します。
例
たとえば、従業員Aさんの電話番号を、その電話を持つ従業員Aさんには書き込みを許可して、他の従業員には読み取
りを許可する。ただし、認証されていないユーザ(匿名ユーザ)にはアクセスを禁止する、という設定ができます。
アクセス制御の設計は、リポジトリに登録するデータ(ディレクトリ情報ツリー)の設計と同時に実施してください。
リポジトリサーバは、以下の情報の組み合わせに従って、アクセスを評価します。
アクセス対象
アクセス対象には、エントリ(サブツリー)、または属性が指定できます。特定のエントリやサブツリー、またはパスワードな
ど特定の属性へのアクセスを制御するよう設計します。
上述の例では、電話番号がアクセス対象に該当します。
アクセスユーザ
アクセスユーザには、クライアントからリポジトリサーバにアクセス(バインド)する際に指定するユーザ(バインドDN)、また
は匿名ユーザが指定できます。
アクセスユーザは、以下の5つに分類できます。
・ 特定のユーザ
・ リポジトリにエントリとして登録されているユーザ
・ 認証されたユーザ
上述の例では、従業員Aさんの電話番号に、Aさん自身がアクセスする場合に該当するユーザです。
・ 認証されていないユーザ(匿名ユーザ)
・ 全ユーザ
管理者(管理者用DN)は、アクセス制御の対象にはなりません。全エントリの情報に対するアクセス権(認証・比較・検索・
読み取り・書き込み)を持っています。
アクセス権
アクセス権には、以下の6つが指定できます。
- 114 -
・ 拒否
どのようなアクセスも拒否します。
・ 認証
リポジトリに対して認証(バインド)を許可します。
・ 比較
アクセス対象に対して、比較操作を許可します。検索とは違い、一致するかどうか(真か偽か)のアクセスだけが許可
されます。
・ 検索
アクセス対象に対して、検索操作を許可します。検索条件に一致すれば、一致したことは通知されますが、エントリ
の情報や属性値を読み取ることは許可されません。
・ 読み取り
アクセス対象に対して、読み取り操作を許可します。検索操作で、条件に一致したエントリの情報や属性値の読み取
りを許可します。
・ 書き込み
アクセス対象に対して、書き込み操作を許可します。エントリの追加・削除・更新(属性の追加・削除・更新)・変名を許
可する場合に指定します。
5.2 アクセス制御リストの定義
アクセス制御は、「アクセス制御リスト定義ファイル」に定義文を記述して設定します。アクセス制御リスト定義ファイルは、
テキストエディタを使用して編集してください。
アクセス制御リスト定義ファイルのサンプルは、以下に格納されています。
C:\Interstage\IREP\sample\acl\acl.txt
/opt/FJSVirep/sample/acl/acl.txt
5.2.1 ファイル形式
アクセス制御リスト定義ファイルの形式を以下に示します。アクセス制御リスト定義ファイルは、access ディレクティブとそ
の引数から構成されています。
# Access control definition
#
# rootdn can always write!
access to attr=telephoneNumber
by self write
by users read
access to attr=userPassword
by self write
by users compare
by * auth
access to *
- 115 -
by self write
by * read
ポイント
・ コメント行
行の先頭が「#」(シャープ)で始まる行は、コメント行として無視されます。
・ 空白行
access ディレクティブを区分します。空白行は無視されます。
・ access ディレクティブ
access ディレクティブの各引数は、空白で区切って並べます。
- 引数に空白を含めたい場合は、引数を「"」(ダブル引用符)で囲みます。
- 引数に「"」(ダブル引用符)や「\」(エンマーク(バックスラッシュ))を含めたい場合は、その文字の前に「\」(エンマー
ク(バックスラッシュ))を置きます。
- 行の先頭が空白で始まっている場合は、直前の行からの継続行とみなされます。
- 1行目の先頭を空白文字で始めないでください。
- 1行目はコメント行、または定義文にしてください。
・ マルチバイト文字
コメント行やaccess ディレクティブに、日本語などのマルチバイト文字を含める場合は、UTF-8で記述します。
・ 英字の大文字小文字は区別しません。
・ コメント行、および access ディレクティブ行は、継続行かどうかを問わず、1行1,024バイト以内で指定します。
5.2.2 アクセス制御リスト定義ファイルの編集
access ディレクティブを使用し、アクセス対象、アクセスユーザ、およびアクセス権をアクセス制御リスト定義ファイルに指
定します。
access ディレクティブの指定形式
記述形式
access to <what>
by <who> <accesslevel>
by 節は複数回指定できます。
設定内容
エントリや属性の1セットのアクセス対象(<what>に指定)に対して、1人以上のアクセスユーザ(<who>に指定)に、アクセス
権(<accesslevel>に指定)を与えます。
access ディレクティブは、1セットのアクセス対象につき、1つ指定します。複数のアクセス対象に対してアクセス制御を定
義する場合は、access ディレクティブを複数セット指定します。
また、1セットのアクセス対象に、複数のアクセスユーザに対するアクセス制御を定義する場合は、1つのaccess ディレク
ティブの中で、by 節を複数回指定して定義します。
- 116 -
<what>
アクセス対象である、エントリ、または属性を指定します。
<who>
アクセス権を与えるアクセスユーザを指定します。
<accesslevel>
アクセス権を指定します。
注意
アクセス制御リスト定義ファイルを定義する際は、以下の点に注意してください。アクセス制御リスト定義ファイルの評価の
詳細は、「5.2.3 アクセス制御リスト定義の評価」を参照してください。
・ どのアクセス対象とも一致しないエントリや属性へのアクセスは拒否されます。
・ どのアクセスユーザとも一致しないバインドDNでの、リポジトリサーバへのアクセスや、エントリや属性へのアクセスは
拒否されます。
・ access ディレクティブの指定順序によっては、意図したアクセス制御とは異なった制御になる可能性があります。指定
順序には十分注意してください。
・ userPassword 属性に対しては、必ず認証されていないユーザ(anonymous)に、認証(バインド(auth))の許可を与えて
ください。詳細は、「アクセス権<accesslevel>の指定」の注意事項を参照してください。
アクセス対象<what>の指定
アクセス対象<what>には、アクセス制御の対象となるエントリ、または属性を指定します。また、エントリと属性を組み合わ
せた指定や、全エントリを指定することもできます。
なお、アクセス対象<what>は省略可能です。省略すると、全エントリがアクセス対象となります。
記述形式
全エントリを指定
*(アスタリスク)
(属性を含む)全エントリをアクセス対象とします。
エントリを指定
dn.<スコープ>=<DN文字列>
DN文字列には、エントリの識別名(DN)を指定します。
スコープには、以下の4つのうちの1つを指定します。
- base:
指定したDN文字列と一致するエントリをアクセス対象とします。
- one:
指定したDN文字列の、1階層下のすべてのエントリをアクセス対象とします。
指定したDN文字列と一致するエントリは対象外です。
- 117 -
- subtree:
指定したDN文字列と一致するエントリと、その配下のすべてのエントリ、およびサブツリー内のすべてのエントリを
アクセス対象とします。
- children:
指定したDN文字列と一致するエントリ配下のすべてのエントリ、およびサブツリー内のすべてのエントリをアクセ
ス対象とします。
指定したDN文字列と一致するエントリは対象外です。
例
たとえば、以下のエントリがリポジトリに登録されているとします。
1. ou=interstage,o=fujitsu,dc=com
2. ou=User,ou=interstage,o=fujitsu,dc=com
3. cn=User001,ou=User,ou=interstage,o=fujitsu,dc=com
4. ou=Other,ou=User,ou=interstage,o=fujitsu,dc=com
5. cn=OUser901,ou=Other,ou=User,ou=interstage,o=fujitsu,dc=com
この時、「dn.base="ou=User,ou=interstage,o=fujitsu,dc=com"」と指定した場合は、2がアクセス対象となります。
「dn.one="ou=User,ou=interstage,o=fujitsu,dc=com"」と指定した場合は、3、4がアクセス対象となります。
「dn.subtree="ou=User,ou=interstage,o=fujitsu,dc=com"」と指定した場合は、2、3、4、5がアクセス対象となります。
「dn.children="ou=User,ou=interstage,o=fujitsu,dc=com"」と指定した場合は、3、4、5がアクセス対象となります。
エントリを指定
dn=<DN文字列>
指定したDN文字列と一致するエントリをアクセス対象とします(スコープに「base」を指定した場合と同じです)。
属性を指定
attr=<属性リスト>
指定した属性リストと一致する属性をアクセス対象とします。
属性リストには、1つの属性名、または複数の属性名を「,」(カンマ)で区切って指定します。
エントリと属性を組み合わせて指定
dn=<DN文字列> attr=<属性リスト>
指定したDN文字列と一致するエントリの、指定した属性リストと一致する属性をアクセス対象とします。
エントリ(dn=<DN文字列>)と属性(attr=<属性リスト>)の間は、空白で区切って指定します。特定のエントリの特定の属
性だけを読み取る(検索結果を得る)ことができるような設定をするには、対象の属性だけでなく、エントリDNにも読み
取り操作の許可を与える必要があります。アクセス対象のエントリDNを表す特別な属性として、「entry」があります。こ
のentry属性を<属性リスト>に指定してください。
ポイント
・ アクセス対象<what>は、1,024バイト以内で指定します。
・ エントリ、または属性を指定する際に記述する「=」(イコール)の前後には、空白を入れずに記述します。
・ どのアクセス対象とも一致しないエントリや属性へのアクセスは拒否されます。
dn.<スコープ>や、「*」(アスタリスク)を活用して、アクセスを許可するすべてのエントリや属性が含まれるように指定し
てください。
- 118 -
例
・ すべてのエントリを、すべてのユーザが読み取り可能なように定義する場合
access to *
by * read
・ 「ou=UserX,o=fujitsu,dc=com」というDN文字列のエントリを含む、その配下のすべてのエントリ、およびサブツリー内
のすべてのエントリを、すべてのユーザが読み取り可能なように定義する場合
access to dn.subtree="ou=UserX,o=fujitsu,dc=com"
by * read
・ 「cn=public,o=fujitsu,dc=com」というDN文字列のエントリを、すべてのユーザが読み取り可能なように定義する場合
access to dn="cn=public,o=fujitsu,dc=com"
by * read
・ userPassword 属性、およびhomePhone 属性の値を、エントリとして登録されているユーザが書き込み(更新)可能なよ
うに定義する場合
access to attr=userPassword,homePhone
by self write
・ 「cn=public,o=fujitsu,dc=com」というDN文字列のエントリのmail 属性の値を、すべてのユーザが読み取り可能なよう
に定義する場合
access to dn="cn=public,o=fujitsu,dc=com" attr=mail,entry
by * read
アクセスユーザ<who>の指定
アクセスユーザ<who>には、アクセス権<accesslevel>を与えるユーザ(クライアントからのアクセス時に指定するバインド
DN)を指定します。また、全ユーザを指定することもできます。
アクセスユーザ<who>の指定は、以下の6種類の記述形式で指定します。また、1つの access ディレクティブには、by 節
を複数回指定して、アクセスユーザごとに異なるアクセス権を、同じアクセス対象に対して指定することができます。
なお、アクセスユーザ<who>は省略できません。
記述形式
*(アスタリスク)
全ユーザ(すべてのバインドDN)にアクセス権が適用されます。
dn.<スコープ>=<DN文字列>
スコープで指定した対象範囲のエントリのDNと、バインドDNが一致するユーザに、アクセス権が適用されます。
スコープの形式は、「アクセス対象<what>の指定」のdn.<スコープ>の指定と同様です。
dn=<DN文字列>
指定したDN文字列と一致するエントリのDNと、バインドDNが一致するユーザにアクセス権が適用されます。
self
エントリとして登録されているユーザのDNと、バインドDNが一致するユーザに、アクセス権が適用されます。
users
認証された(バインド済みの)ユーザに、アクセス権が適用されます。
anonymous
認証されていないユーザ(匿名ユーザ)、またはまだバインドしていないユーザに、アクセス権が適用されます。
- 119 -
ポイント
・ アクセスユーザ<who>は、1,024バイト以内で指定します。
・ どのアクセスユーザとも一致しないバインドDNでの、リポジトリサーバへのアクセスや、エントリや属性へのアクセスは
拒否されます。
dn.<スコープ>や、「*」(アスタリスク)を活用して、アクセスを許可するすべてのユーザが含まれるように指定してくださ
い。
例
・ すべてのエントリを、すべてのユーザが検索可能なように定義する場合
access to *
by * search
・ userPassword 属性の値を、エントリとして登録されているユーザが読み取り可能、認証されたユーザが検索可能、そ
の他のすべてのユーザが認証(バインド)可能なように定義する場合
access to attr=userPassword
by self read
by users search
by * auth
・ 「ou=UserX,o=fujitsu,dc=com」というDN文字列のエントリを含む、その配下のすべてのエントリ、およびサブツリー内
のすべてのエントリを、「ou=UserX,o=fujitsu,dc=com」というDN文字列のエントリを含む、その配下のすべてのエント
リ、およびサブツリー内のすべてのエントリのDNとバインドDNが一致するユーザが読み取り可能なように定義する場
合
access to dn.subtree="ou=UserX,o=fujitsu,dc=com"
by dn.subtree="ou=UserX,o=fujitsu,dc=com" read
アクセス権<accesslevel>の指定
アクセス権<accesslevel>には、アクセス対象<what>に対して、アクセスユーザ<who>に与える権利を指定します。
アクセス権<accesslevel>の指定は、以下の6種類の記述形式で指定します。1つのアクセスユーザ<who>(by 節)につき、
1つのアクセス権を指定できます(複数のアクセス権を指定できません)。
なお、アクセス権<accesslevel>は省略できません。
記述形式
none
すべてのアクセスを禁止
auth
認証操作(バインド)を許可
compare
比較操作を許可
search
検索操作(検索フィルタの適用)を許可(検索結果の読み取りは禁止)
read
(検索結果の)読み取り操作を許可
- 120 -
write
書き込み操作(エントリの追加、更新、削除、変名)を許可
各アクセス権は、以下のように、より低い権限のアクセス権をすべて含みます。例えば、write アクセス権は、その他すべ
てのアクセス権を含むことになります。また、auth アクセス権は、認証操作を他のアクセス権なしで実行するためのアクセ
スを許可するものです。これは、認証されていないユーザに、パスワードのようなクリティカルリソースへの最低限のアクセ
ス権を許可するために有効です。
アクセス権
認証操作
(バインド)
比較操作
検索操作
読み取り操作
書き込み操作
none
×
×
×
×
×
auth
○
×
×
×
×
compare
○
○
×
×
×
search
○
○
○
×
×
read
○
○
○
○
×
write
○
○
○
○
○
○:許可する、×:許可しない
リポジトリへのアクセスを行う際に必要なアクセス権は以下のとおりです。
認証操作(バインド)
userPassword 属性に auth アクセス権が必要です。
比較操作
比較する属性に compare アクセス権が必要です。
検索操作、および検索結果の読み取り操作
検索フィルタに指定する属性に search アクセス権、検索結果として取得するエントリ、および属性に read アクセス権
が必要です。
エントリ追加
追加するエントリとその上位エントリに write アクセス権が必要です。
エントリ削除
削除するエントリとその上位エントリに write アクセス権が必要です。
エントリ更新
更新するエントリ、および属性に write アクセス権が必要です。
識別名変更
RDN(相対識別名)を変更するエントリに write アクセス権、新しいRDNにする属性に write アクセス権、もとのRDNの
属性に write アクセス権が必要です。
注意
・ クライアントからアクセスするすべてのユーザは、リポジトリサーバから認証されるまでは、認証されていないユーザ
(anonymous)とみなされるため、anonymous に auth の許可を与えない場合は、管理者用DNを除いて、どのユーザも
アクセスできなくなります。
- 121 -
userPassword 属性に対しては、以下のように必ず認証されていないユーザ(anonymous)に、バインド(auth)の許可を
与えてください。
access to attr=userPassword
by self write
by users compare
by anonymous auth
・ クライアントからのアクセス時に指定したバインドDNが、access ディレクティブの by 節のどのアクセスユーザ<who>と
も一致しない場合は、アクセス対象<what>に対するアクセスが拒否されます。これは、あらゆる access ディレクティブ
の by 節は、暗黙の「by * none」で終わっているためです。
例
telephoneNumber (電話番号)属性を、エントリとして登録されているユーザが書き込み(更新)可能なようにし、その他すべ
ての認証されたユーザが読み取り可能なように定義する場合(認証されていないユーザはアクセスできません)
access to attr=telephoneNumber
by self write
by users read
5.2.3 アクセス制御リスト定義の評価
クライアントからアクセスするユーザに、エントリや属性に対するアクセス権を与えるかどうかの評価は、以下の順序で行
われます。
1. アクセス対象の評価
クライアントから指定されたエントリや属性を、アクセス制御リストで指定されている <アクセス対象> と比較します。
各エントリや属性について、アクセス制御リストの先頭行から順に access ディレクティブを評価します。リポジトリサー
バは、アクセス制御リストで指定されているエントリや属性と一致する、最初の <アクセス対象> を見つけたところで
評価を終了します。
例
以下のようにアクセス制御リストを定義した場合、telephoneNumber 属性へのアクセス要求があると、(1)でアクセス
対象と一致するので、(3)は評価しません。
access to attr=telephoneNumber
by self write
access to attr=telephoneNumber
by users read
・・・(1)
・・・(2)
・・・(3)
・・・(4)
2. アクセスユーザの評価
次に、リポジトリサーバは、手順1で選択された access ディレクティブの <アクセスユーザ> を、by 節の出現順に、
アクセスを要求するクライアントのバインドDNと比較します。リポジトリサーバは、クライアントのバインドDNと一致す
る、最初の <アクセスユーザ> を見つけたところで評価を終了します。
手順1のアクセス制御リストで、クライアントのバインドDNとエントリのDNとが一致するエントリの telephoneNumber
属性へのアクセス要求があると、(2)で一致するので評価を終了します。クライアントのバインドDNとエントリのDNと
が一致するエントリではなく、他のエントリの telephoneNumber 属性へのアクセス要求の場合は、(2)では一致しま
せん。また、アクセス対象の評価を(1)で終了するので、(3)、および(4)のアクセス対象、およびアクセスユーザの評
価はされず、アクセスを拒否します。
- 122 -
3. アクセス権の評価
最後に、リポジトリサーバは、手順2で選択された <アクセスユーザ> の <アクセス権> に与えられているアクセス権
を、クライアントによって要求されたアクセス(操作)と比較します。アクセス権が、実際のアクセス(操作)以上のもの
であれば、アクセスが認められます。そうでない場合は、アクセスが拒否されます。
また、上記の各手順で、どの <アクセス対象> とも一致しない場合、あるいはどの <アクセスユーザ> とも一致しない場合
には、アクセスが拒否されます。
あらゆる access ディレクティブの by 節は、暗黙の「by * none」で終わっていて、あらゆるアクセス制御リストは、暗黙の
「access to * by * none」で終わっているためです。
このため、access ディレクティブの評価順序により、アクセス制御リスト定義ファイル中での access ディレクティブの出現位
置がとても重要となります。
ある access ディレクティブの <アクセス対象> が、別の access ディレクティブの <アクセス対象> よりも限定的な <アクセス
対象> であった場合、定義ファイルの中では、より前に出現するように定義しなければなりません。同様に、ある <アクセ
スユーザ> が、別の <アクセスユーザ> よりも限定的な <アクセスユーザ> であった場合、access ディレクティブの中で、よ
り前に出現するように定義しなければなりません。
例
誤った定義例 1
access to attr=telephoneNumber
by users read
・・・ここで、評価を終了するので、次の文の意味がなくなる。
by self write
この例では、エントリとして登録されているユーザが、自身のエントリの telephoneNumber 属性を更新できるように定義し
ようとしています。しかし、アクセスユーザの「self」は、「users」に含まれるため、リポジトリサーバは、「by users read」で評価
を終了します。その結果、エントリして登録されているユーザがアクセスしようとした時に、アクセス対象が自身のエントリ
であっても、エントリの更新ができなくなります。
これに対して、以下の正しい定義例のように、by 節の記述順序を逆にすることで、意図した定義となります。
正しい定義例 1
access to attr=telephoneNumber
by self write
by users read
例
誤った定義例 2
access
access
access
access
to
to
to
to
attr=mail by self write
・・・ここで、mail属性の評価を終了します。
attr=mail by users read
attr=userPassword by self write
・・・ここで、userPassword 属性の評価
attr=userPassword by * auth
を終了します。
この例では、同一のアクセス対象に、アクセスユーザごとに access ディレクティブを分けて記述しています。これでは、各
アクセス対象の1つ目のaccess ディレクティブで評価を終了しますので、意図したアクセス制御になりません。
これに対して、以下の正しい定義例のように、同一のアクセス対象に対して、複数回 by 節を指定してまとめることで、意
図した定義となり、定義内容も確認しやすくなります。
正しい定義例 2
- 123 -
access to attr=mail
by self write
by users read
access to attr=userPassword
by self write
by * auth
ポイント
access ディレクティブは、<アクセス対象> や <アクセスユーザ> の指定を工夫し、少ない数で簡潔に定義することを強く
推奨します。大量の access ディレクティブを定義した場合、リポジトリの起動時や、クライアントからのアクセス(操作)要求
時などの、運用性能に影響を与える可能性があります。
例
誤った定義例
access to attr=mail
by dn="cn=User001,ou=User,o=fujitsu,dc=com"
by dn="cn=User002,ou=User,o=fujitsu,dc=com"
by dn="cn=User003,ou=User,o=fujitsu,dc=com"
by users read
access to attr=userPassword
by dn="cn=User001,ou=User,o=fujitsu,dc=com"
by dn="cn=User002,ou=User,o=fujitsu,dc=com"
by dn="cn=User003,ou=User,o=fujitsu,dc=com"
by * auth
write
write
write
write
write
write
この例では、エントリとして登録されているユーザが、自身のエントリのmail 属性、およびuserPassword 属性を更新できる
ように、ユーザごとに定義しています。
これに対して、以下の正しい定義例のように、<アクセスユーザ> を「self」で定義することで、簡潔に少ない行で定義する
ことができます。
正しい定義例
access to attr=mail
by self write
by users read
access to attr=userPassword
by self write
by * auth
5.3 アクセス制御リストの登録
アクセス制御リストを登録するには、以下の手順を実施してください。
1. リポジトリが、動作している場合は、irepstopコマンドでリポジトリを停止します。
例
リポジトリ名:rep001の場合
- 124 -
> irepstop -R rep001 <RETURN>
2. 現在のアクセス制御リストの状態を、アクセス制御リスト定義ファイルの登録/表示コマンド(irepacl)の-lオプションで
表示して、任意のファイルにバックアップとして保存します。
3. 新たに登録するアクセス制御リスト定義ファイルを、irepaclコマンドの-fオプションを使用して登録します。
4. irepstartコマンドを使用してリポジトリを起動します。
例
リポジトリ名:rep001の場合
>irepstart -R rep001
5. 手順2で作成したバックアップ用のファイルを残しておくことは、セキュリティ上好ましくないため、新たに登録したア
クセス制御リストでリポジトリが正しく動作することを確認後、バックアップ用のファイルは必ず削除してください。
irepaclコマンドの詳細については、「リファレンスマニュアル(コマンド編)」の「Interstage ディレクトリサービスコマンド」「irepacl」を参照してください。
なお、アクセス制御リストがまったく設定されていない状態にすることはできません(irepaclコマンドの-fオプションに空の
ファイルを指定しても、アクセス制御リストの定義のない状態に書き換えることはできません)。
アクセス制御リストを元に戻す手順
irepaclコマンドでは、アクセス制御リストの定義を削除したり、元に戻すことはできません。
アクセス制御リストの定義を元に戻したい場合は、アクセス制御リストの登録時に作成したバックアップ用のファイルを使
用して、以下の手順で行ってください。
1. リポジトリが、動作している場合は、irepstopコマンドでリポジトリを停止します。
例
リポジトリ名:rep001の場合
> irepstop -R rep001 <RETURN>
2. アクセス制御リストの登録時に作成したバックアップ用のファイルを、irepaclコマンドの-fオプションを使用して再登
録します。
3. irepstartコマンドを使用してリポジトリを起動します。
例
リポジトリ名:rep001の場合
>irepstart -R rep001
- 125 -
4. 手順2で使用したバックアップ用のファイルを残しておくことは、セキュリティ上好ましくないため、元に戻したアクセ
ス制御リストでリポジトリが正しく動作することを確認後、バックアップ用のファイルは必ず削除してください。
アクセス制御リストの定義を、リポジトリ作成直後の初期状態に戻すには、以下に格納されている、初期状態のアクセス
制御リスト定義ファイルを使用して、上記の「アクセス制御リストを元に戻す手順」と同じ手順で再登録してください。
C:\Interstage\IREP\sample\acl\acl_init.txt
/opt/FJSVirep/sample/acl/acl_init.txt
- 126 -
第6章 セキュリティ監査証跡機能
オンラインシステムにおいて、あらゆるセキュリティ対策を実施したシステムであっても不正アクセスを完全に防止すること
はできません。悪意のある攻撃や内部の人の手による不正行為によって、情報漏えい/システム異常/データ破壊が発生
する可能性もあります。
上記のような事件/事故が発生してしまった場合には、問題を発生させた原因である不正アクセス/不正操作の痕跡を追
跡することが求められ、監査ログの管理が必要となります。しかし、必要な監査ログを出力するためには以下のような課題
があります。
・ 不正アクセスの監査ログを採取する場合、既存のアプリケーションに修正が必要となり開発工数が増加します。
・ 業務アプリケーションの規模に比例してログの量が肥大化し、限られた人数の内部監査人では対応できなくなりま
す。
本製品では、セキュリティ監査証跡機能として以下の機能を提供しています。以下の機能で自動的に出力される監査ロ
グから不正アクセス/不正操作の痕跡を追跡することが可能です。
また、Systemwalker Centric Manager V13以降を使用すると、分散されたサーバから監査ログを収集して一元管理するこ
とができるため、分散したサーバのログであってもログの収集/分析が容易です。
・ アクセスログ
保護資産へのアクセスについて、「いつ」「どこで」「だれが」「なにを」「どうした」を記録します。
・ ログインログ
Interstage JMXサービスに対するログイン要求を、「いつ」「だれが」「どこから」発行したか、また、その「結果」がどうで
あったかを記録します。
万が一に備えて、他のセキュリティ対策機能と合わせてセキュリティ監査証跡機能を使用することをお勧めします。
注意
本機能はIJServer(J2EE)で利用できます。以降IJServer(J2EE)をIJServerと記載します。
6.1 アクセスログ
各システムの保護資産へのアクセスについては以下のセキュリティポリシーを設定してセキュリティ対策を実施する必要
があります。何らかの原因でポリシーに違反した場合には不正アクセスの可能性があります。本製品では、「いつ」「どこ
で」「だれが」「なにを」「どうした」という情報が監査ログに蓄積されるため、万が一不正アクセスが発生してしまった場合
でも迅速に追跡調査が行えます。
セキュリティポリシー
いつ
アクセスできる時間帯を曜日ごとなどに定める
どこで
アクセスに用いるPCや端末をネットワークのアドレスや端末番号などで制限する
だれが
使える人だけにIDを発行し、パスワードで本人であることを確認する
なにを
IDごとにアクセスできる情報を限定する
どうした
IDごとに照会、更新、追加、削除などのうち、どれができるかを限定する
- 127 -
InterstageとSymfowareが連携し、Symfowareの監査ログを確認するだけで、だれがどこのWebサーバに侵入して不正ア
クセスしたかを特定できます。
アプリケーションを修正しなくても各サービス(Webサービス、Servletサービスなど)にアクセスした時の情報が自動的に各
監査ログに出力されます。このため、業務アプリケーションへの不正アクセスが発覚した場合に、不正アクセス経路の迅
速な特定が可能となります。この時に採取される監査ログをアクセスログと呼びます。
ここでは、以下について説明します。
・ アクセスログとして採取される情報
・ WebサーバのリクエストID
・ Symfoware監査ログに出力されるWebサーバ接続情報/IJServer名
・ 不正アクセス追跡方法
・ 設定方法
注意
Symfowareの監査ログにWebサーバ接続情報/IJServer名を出力させる連携設定を行った場合、アプリケーションのレス
ポンスに影響する場合があります。レスポンスへの影響を事前に確認してから運用環境に適用してください。
アクセスログとして採取される情報
アクセスログとしては、以下の情報が採取されます。
Interstage シングル・サインオン
いつ
・ アクセスが行われた日時
どこで
・ アクセスしたクライアントのIPアドレス
だれが
・ ユーザ識別情報
なにを
・ アクセス対象
どうした
・ 処理結果(補足情報)
・ SessionID
・ リポジトリサーバのIPアドレス
Interstage HTTP Server
いつ
・ Webクライアントからのアクセス日時
どこで
・ WebクライアントまたはプロキシサーバなどのIPアドレス/ホスト名
・ WebサーバのリクエストID
だれが
・ Webクライアントから返信されるユーザ個人情報
・ Webクライアントから送信されたユーザ名
なにを
・ Webクライアントが要求したリクエスト内容
どうした
・ Webクライアントに返信するコード
- 128 -
・ Webクライアントに転送したデータ量
Interstage ディレクトリサービス
いつ
・ アクセス日時
どこで
・ IPアドレス:ポート番号(ホスト名)
だれが
・ バインドDN
なにを
・ プロトコルバージョン
・ サーチベース
・ サーチスコープ
・ 別名参照ルール
・ サイズリミット
・ タイムリミット
・ 属性取得方法
・ 検索フィルタ
・ 比較対象DN
・ 更新DN
・ 新RDN
・ 旧DN削除フラグ
・ 追加DN
・ 削除DN
どうした
・ 要求か応答かの情報
・ 要求や要求に対する結果
・ エラーコード
Symfowareと連携した場合
Symfoware(Symfoware Server Lite Editionを除く)と連携した場合には、Symfowareの監査ログに以下の情報が採取され
ます。
IJServer名には、SymfowareにアクセスしたIJServerの名前が設定されます。
・ WebサーバのIPアドレス(またはホスト名)
・ WebサーバのリクエストID
・ Web認証ユーザ名
・ IJServer名
WebサーバのリクエストID
Interstage HTTP Serverでは送信されたリクエストに対して識別子を割り当てて、そのリクエストの呼び出し先に識別子を
伝播します。この識別子をWebサーバのリクエストIDと呼びます。同一のリクエストIDが出力されたアクセスログを対応付
けることにより、簡単に不正アクセス経路の追跡ができます。
WebサーバのリクエストIDは以下のように作成されており、一意性が保証されます。
- 129 -
112ビット(32ビットIPアドレス、32ビットpid、32ビットタイムスタンプ、16ビットカウンタの4つの組)を
アルファベット(A~Z、a~z、0~9、@、-)を用いてMIMEのbase64符号化と同様の方法により符号化し、
24バイトの文字列を生成して作成
注意
Interstage HTTP Server以外のWebサーバを使用した場合にはリクエストIDは伝播されません。
Webサーバの定義
リクエストIDを付与させるためには、Interstage HTTP Serverの環境定義ファイル(httpd.conf)に以下の定義を追加したあ
と、Webサーバを再起動してください。環境定義ファイル(httpd.conf)の詳細については、「Interstage HTTP Server 運用
ガイド」を参照してください。
(インストールパスはデフォルト)
LoadModule unique_id_module "C:/Interstage/F3FMihs/modules/mod_unique_id.so"
LoadModule unique_id_module "/opt/FJSVihs/modules/mod_unique_id.so"
Symfoware監査ログに出力されるWebサーバ接続情報/IJServer名
Webサーバ/アプリケーションサーバ/データベースサーバの3階層システムでは、一般的にアプリケーションサーバ上の
アプリケーションではデータベースへ接続するためのユーザIDが1つのIDに固定されて使われています。(不特定多数
のWebサーバログインユーザに対して、データベースの接続ユーザは特定ユーザとなるのが一般的であるためです。)こ
のため、データベースの監査ログに出力されるCONNECTしたユーザ名だけでは「だれが」の情報が不十分です。
本製品ではSymfowareと連携して、Webサーバ接続情報を自動的にSymfowareの監査ログに出力することができます。
発行されたSQL文などのデータベースアクセス情報とともにWebサーバ接続情報が監査ログに出力されるため、監査ロ
グを参照することで「だれが」アクセスしたかを特定することが可能となります。また、データベースにアクセスしたIJServer
名が出力されることから、どのIJServerからデータベースのデータを操作したかを特定することも可能です。
InterstageとSymfowareが連携して採取される情報
InterstageとSymfowareが連携して出力される情報は以下です。
採取される情報
WebサーバのIPアドレス(またはホスト名)
Symfowareの監査ログとの対応
CLIENT_INF
WebサーバのリクエストID
Web認証ユーザ名
IJServer名
MODULE_INF
CLIENT_INFには以下の書式で情報が設定されます。斜体文字の部分は可変情報です。
i=RequestID,u=UserID,h=HostName
・ RequestID :WebサーバのリクエストID
・ UserID :Web認証ユーザ名
・ HostName :WebサーバのIPアドレス(またはホスト名)
- 130 -
注意
CLIENT_INFの最大長は64Byteです。UserIDもしくはHostNameの長さにより、64Byteを超えた場合にはh=HostNameの
部分がハイフン「-」で出力されます。ハイフンが出力された場合には、ユーザ名についても切り捨てが発生した可能性が
あります。Webサーバのログを確認してリクエストIDに該当するユーザ名/ホスト名を確認してください。
上記よりユーザ名には20Byte以下を使用することを推奨します。
例
出力例
i=TzJ4HAqDyX8AABMMBcoAAAAw,u=peter,h=192.168.0.2
上記情報はIJServer上でJ2EEのJNDI機能でlookupしたJDBCのデータソースに対して、アプリケーションがgetConnection
を実行したタイミングで自動的に設定されます。Symfowareが用意する以下のプロシジャルーチンをInterstageが自動的
に実行してWebサーバ接続情報を設定し、getConnectionで取得したコネクションに対して要求を実行するとWebサーバ
接続情報とともに監査ログが出力されます。
・ RDBII_SYSTEM.RDBII_CLIENT_INF_PROC[?]
・ RDBII_SYSTEM.RDBII_MODULE_INF_PROC[?,?]
MODULE_INFのアクション名(上記プロシジャルーチンの第2パラメタ)には何も設定されません。
また、Web認証ユーザ名は、以下の機能を使用して認証を行った場合のみ自動的に監査ログに出力されます。
・ Webサーバの「ユーザ認証(基本認証)」機能
・ Webアプリケーションのユーザ認証機能
・ シングル・サインオンの「パスワード認証」機能
・ シングル・サインオンの「証明書認証」機能
J2EEアプリケーションが独自にユーザ認証機能を実装している場合には、「6.4 アプリケーションインタフェース詳細」に
記載したメソッドでユーザIDを設定することによって、Webサーバ接続情報のWeb認証ユーザ名として各プロトコルで情
報を伝播し、各監査ログに情報を出力できます。
CORBAアプリケーションなどからデータベースにアクセスする場合にはSymfowareが用意するプロシジャルーチンを直
接実行してWebサーバ接続情報を設定することも可能です。すでにプロシジャルーチンでWebサーバ接続情報が設定
されている状態で、プロシジャルーチンを実行した場合には設定されている情報は上書きされます。
不正アクセス追跡方法
データベース(Symfoware)への不正アクセスが確認された場合、以下のように追跡できます。
Webサーバ/Webクライアントの追跡
1. Symfowareの監査ログに出力される「Web認証ユーザ名」により、不正アクセスを行ったユーザ名を特定できます。
2. Symfowareの監査ログに出力される「WebサーバのIPアドレス(またはホスト名)」により不正ユーザが侵入したWeb
サーバを特定できます。
- 131 -
3. 2)によりWebサーバが特定できれば、Webサーバのアクセスログから不正アクセスしたWebクライアントを特定でき
ます。
注意
Webクライアントがプロキシサーバを経由してWebサーバにアクセスしている場合には、Webクライアントの特定はできま
せん。
アプリケーションサーバの追跡
Symfowareの監査ログに以下が出力されます。以下の情報から不正ユーザが侵入したアプリケーションサーバを特定す
ることが可能です。
出力内容
Symfowareの監査ログの項目
アプリケーション/RDBコマンドのプロセスID
IJServerプロセスのプロセスID
アプリケーション/RDBコマンドを実行したマシンのホスト
名/IPアドレス
IJServerを運用するマシンのホスト名ま
たはIPアドレス
モジュール名
IJServer名
不正アクセス経路の追跡
WebサーバのリクエストIDをアプリケーションサーバが伝播して各監査ログに出力するため、リクエストIDを元に各監査ロ
グを対応付けて、どのように不審者がデータベースにアクセスしたかを追跡することも可能です。不審者がどのように侵
入したかを確認することで、システムの脆弱性の存在を早期に確認することが可能となり、適切なセキュリティ対策を実施
することができます。
また、監査ログを対応付けることにより、各種アクセスログの情報から不正ユーザがその他不正行為を行っていないかを
確認することも可能です。
Interstage シングル・サインオンの追跡
以下の手順により、Interstage シングル・サインオンで認証を行った不審者がサインオンからサインオフまでに行った証跡
を調べることができます。
1. Symfowareの監査ログに出力される「WebサーバのリクエストID」を特定します。
2. Interstage シングル・サインオンの業務サーバのアクセスログで、1.のリクエストのレコードを特定します。
3. 2.のレコードに記載されている「セションID」を特定します。
4. Interstage シングル・サインオンの認証サーバ、およびリポジトリサーバのアクセスログ、およびセション管理ログで、
3.の「セションID」のレコードを特定します。
5. 4.のレコードから、サインオン操作からサインオフ操作までに行った行為を追跡することができます。
6. Interstage シングル・サインオンの業務サーバのアクセスログで、3.の「セションID」のレコードを特定します。
7. 6.のレコードから、そのユーザがアクセスした全ての「WebサーバのリクエストID」を特定します。
8. 7.の全ての「WebサーバのリクエストID」を元に、不審者が業務システムで行った行為を追跡することができます。
設定方法
Symfoware監査ログにWebサーバ接続情報/IJServer名を出力する場合、以下の設定が必要です。
- 132 -
・ JDBCデータソース定義の設定
SymfowareのJDBCデータソースを定義する時に、「監査ログへのWebサーバ接続情報出力」を「出力する」に設定し
てください。
・ Symfowareの監査ログデータベースのセットアップ
Symfowareの監査ログデータベースをセットアップして、監査ログを採取するように設定してください。詳細はSymfoware
のマニュアルを参照してください。
また、Interstageの各種サービスのアクセスログを取得する場合、以下のマニュアルを参照してください。
・ Interstage シングル・サインオン
「メッセージ集」の「シングル・サインオンが出力するログメッセージ」を参照してください。
・ Interstage HTTP Server
「Interstage HTTP Server 運用ガイド」の「アクセスログ」を参照してください。
・ Interstage ディレクトリサービス
「ディレクトリサービス運用ガイド」の「リポジトリの運用監視」を参照してください。
6.2 ログインログ
Interstage管理コンソールから運用操作を行う場合、事前にInterstage管理コンソールにログインする必要があります。
Interstage管理コンソールへのログイン画面で入力されたユーザ名とパスワードは、Interstage JMXサービス上で正しい
ユーザ情報かどうかユーザリポジトリ(OS、または、ディレクトリサービス)に対して照会が行われ、ログイン要求に応答しま
す。その結果、ログインに成功した場合、Interstage管理コンソールを使用して、Interstage JMXサービスに運用操作要求
を発行することができます。
このように、Interstage JMXサービスに対して運用操作要求を発行するためには、事前にInterstage JMXサービスに対し
てログインする必要があります。
Interstage JMXサービスに対するログイン要求には、以下の4つの種類があります。
・ Interstage管理コンソールからのOS認証を使用したログイン
Interstage管理コンソールの運用セキュリティでユーザリポジトリにOSを選択した場合、Interstage管理コンソールのロ
グイン画面で入力されたユーザIDとパスワードは、Interstage JMXサービスによって、OSに照会が行われます。
・ Interstage管理コンソールからのディレクトリサービス認証を使用したログイン
Interstage管理コンソールの運用セキュリティでユーザリポジトリにディレクトリサービスを選択した場合、Interstage管
理コンソールのログイン画面で入力されたユーザIDとパスワードは、Interstage JMXサービスによって、ディレクトリ
サービスに照会が行われます。
・ Interstageの各種サービスによるローカル認証ログイン
Interstage JMXサービスと連携するInterstageの各種サービスがInterstage JMXサービスに対して運用操作要求を発
行する場合に使用されるログイン方法です。
・
マルチサーバ環境での管理サーバから管理対象サーバへのログイン
マルチサーバ管理機能を使用する場合、管理サーバに対する運用操作要求はサイト内の管理対象サーバに発行
されます。この管理サーバから管理対象サーバに対する運用操作要求を発行する場合に使用されるログイン方法です。
マルチサーバ管理機能の詳細は、「マルチサーバ運用ガイド」の「マルチサーバ管理機能」を参照ください。
ログインログでは、これら4種類のすべてのログイン要求に対して、以下の情報を出力することで、不正なログイン要求が
あったかを確認することができます。
・ ログイン要求の発行時刻
・ ログイン要求の発行者
- 133 -
・ ログイン要求の結果
ここでは、以下について説明します。
・ ログファイル仕様
・ 出力フォーマット
・ 出力メッセージ
ログファイル仕様
ログインログは、以下に出力されます。ログインログを採取するために必要な設定はありません。自動で採取されます。
C:\Interstage\jmx\var\log\isjmxruntimelog\isjmxlogin.log
/var/opt/FJSVisjmx/log/isjmxruntimelog/isjmxlogin.log
ログインログは、ファイルサイズの上限値が1MB(デフォルト)です。ファイルサイズの上限値は、Interstage JMXサービス
の環境定義ファイル(isjmx.xml)で、1MB~100MBの範囲で変更することができます。定義の詳細は、「運用ガイド(基本
編)」の「Interstage管理コンソール環境のカスタマイズ」を参照してください。
ファイルサイズの上限値を超えた場合、ログファイルは以下の名前でバックアップされます。バックアップファイルは1世代
まで管理され、古いものから削除されます。そのため、必要であれば、ログインログのバックアップファイルを定期的に退
避してください。
C:\Interstage\jmx\var\log\isjmxruntimelog\isjmxlogin.log.old
/var/opt/FJSVisjmx/log/isjmxruntimelog/isjmxlogin.log.old
出力フォーマット
ログインログは、一回のログイン要求に対し、その実行結果(成功/失敗)を1行に出力します。
以下に、ログインログの出力フォーマットを示します。各項目は半角空白で区切られていますので、出力された情報を
Microsoft(R)Excelなどで分析することができます。
日時 ホスト情報 メッセージ番号:メッセージ本文
項目
意味
日時
Interstage JMXサービスへのログイン要求が発生した日時です。
「YYYY/MM/DD hh:mm:ss.sss」の形式で出力されます。
日付と時刻の間は半角空白で区切られています。
ホスト情報
Interstage JMXサービスへのログイン要求が発行されたホスト情報です。
メッセージ番号:
メッセージ本文
Interstage JMXサービスへのログイン要求に対する実行結果を示すメッセー
ジ番号と本文です。
- 134 -
例
以下にログインログの出力例を示します。
2006/08/02 15:14:19.329 127.0.0.1 1009:Local Authentication OK. Address=(127.0.0.1)
出力メッセージ
以下に出力されるメッセージを示します。
・ メッセージ番号1000
・ メッセージ番号1001
・ メッセージ番号1002
・ メッセージ番号1003
・ メッセージ番号1004
・ メッセージ番号1005
・ メッセージ番号1006
・ メッセージ番号1007
・ メッセージ番号1008
・ メッセージ番号1009
・ メッセージ番号1010
・ メッセージ番号1011
・ エラーコードの意味と対処
メッセージ番号1000
1000:Authentication OK. userDN=(%s)
[可変情報]
%s:ユーザ識別子
[意味]
ディレクトリサービスによる認証が成功しました。
メッセージ番号1001
1001:Authentication NG. userDN=(%s) error code=(%x)
[可変情報]
%s:ユーザ識別子
%x:エラーコード
[意味]
ディレクトリサービスによる認証に失敗しました。
エラーコードについては、「エラーコードの意味と対処」を参照してください。
メッセージ番号1002
1002:Authentication ABORT. userDN=(%s) error code=(%x) detail=(%s)
[可変情報]
%s:ユーザ識別子
%x:エラーコード
%s:SSLに関するエラー(エラーコードが「0x0C」の場合のみ)
- 135 -
[意味]
ディレクトリサービスによる認証が中止されました。
エラーコードについては、「エラーコードの意味と対処」を参照してください。
メッセージ番号1003
1003:Authentication OK. userName=(%s)
[可変情報]
%s:ユーザ名
[意味]
OSによる認証が成功しました。
メッセージ番号1004
1004:Authentication NG. userName=(%s) error code=(%x)
[可変情報]
%s:ユーザ名
%x:エラーコード
[意味]
OSによる認証が失敗しました。
エラーコードについては、「エラーコードの意味と対処」を参照してください。
メッセージ番号1005
1005:Authentication ABORT. userName=(%s) error code=(%x)
[可変情報]
%s:ユーザ名
%x:エラーコード
[意味]
OSによる認証が中止されました。
エラーコードについては、「エラーコードの意味と対処」を参照してください。
メッセージ番号1006
1006:Site Authentication OK. Address=(%s)
[可変情報]
%s:管理サーバのホスト情報
[意味]
マルチサーバ管理機能による認証が成功しました。
メッセージ番号1007
1007:Site Authentication NG. Address=(%s) error code=(%x)
[可変情報]
%s:管理サーバのホスト情報
%x:エラーコード
[意味]
マルチサーバ管理機能の認証に失敗しました。
エラーコードについては、「エラーコードの意味と対処」を参照してください。
メッセージ番号1008
1008:Site Authentication ABORT. Address=(%s) error code=(%x)
[可変情報]
%s:管理サーバのホスト情報
%x:エラーコード
[意味]
マルチサーバ管理機能の認証が中止されました。
エラーコードについては、「エラーコードの意味と対処」を参照してください。
- 136 -
メッセージ番号1009
1009:Local Authentication OK. Address=(%s)
[可変情報]
%s:ローカルアドレス
[意味]
ローカルの接続認証が成功しました。
注意
メッセージ番号1001およびメッセージ番号1003が出力されたあと、本メッセージが複数出力されます。本メッセージ
は、ログイン後のツリー画面を作成する際に出力されるログであり、異常を示すものではありません。
メッセージ番号1010
1010:Local Authentication NG. Address=(%s) error code=(%x)
[可変情報]
%s:ローカルアドレス
%x:エラーコード
[意味]
ローカルの接続認証が失敗しました。
エラーコードについては、「エラーコードの意味と対処」を参照してください。
メッセージ番号1011
1011:Local Authentication ABORT. Address=(%s) error code=(%x)
[可変情報]
%s:ローカルアドレス
%x:エラーコード
[意味]
ローカルの接続認証が中止されました。
エラーコードについては、「エラーコードの意味と対処」を参照してください。
エラーコードの意味と対処
エラー
コード
0x00
意味と対処
以下を確認して再度ログインを実行してください。
・ Interstage管理コンソールのログイン画面で入力したユーザ名またはパスワードが
正しいか確認してください。
・ Interstage管理コンソールの運用セキュリティのディレクトリサービス設定で設定し
た検索ベース識別子が正しいか確認してください。
・ ディレクトリサービスに登録したユーザ情報が正しいか確認してください。
0x01
以下を確認して再度ログインを実行してください。
・ Interstage管理コンソールのログイン画面で入力したユーザ名が無効文字を含ん
でいないか確認してください。
・ Interstage管理コンソールの運用セキュリティのディレクトリサービス設定で設定し
た検索ベース識別子が無効文字を含んでいないか確認してください。
0x02
以下を確認して再度ログインを実行してください。
・ Interstage管理コンソールの運用セキュリティのディレクトリサービス設定で指定し
た管理者DNまたはパスワードが正しいか確認してください。
- 137 -
エラー
コード
0x03
意味と対処
以下を確認して再度ログインを実行してください。
・ Interstage管理コンソールの運用セキュリティのディレクトリサービス設定で指定し
た管理者DNが無効文字を含んでいないか確認してください。
0x04
以下を確認して再度ログインを実行してください。
・ ディレクトリサービスで認証するユーザにロールが設定されているか確認してくだ
さい。
0x05
以下を確認してください。
・ Interstage管理コンソールのログイン画面で入力したユーザ名またはパスワードが
正しいか確認してください。ユーザ名またはパスワードが正しくない場合、正しい
ユーザ名とパスワードでログインしてください。
・ マルチサーバ管理機能でサーバ追加を行う際に指定するユーザは、管理者権限
を必要とします。サーバ追加を行う場合は、管理者権限をもつユーザで実施して
ください。
0x06
ディレクトリサービスとの通信に失敗しました。
ディレクトリサービスへの通信の設定が正しいか確認してください。
または、ディレクトリサービスが起動されていることを確認してください。
0x07
ディレクトリサービスが使用できない状態です。
ディレクトリサービスの動作が正常であることを確認した後、再度処理を実行してくだ
さい。
0x08
ディレクトリサービスを使用したログイン認証の場合、パスワードなしによる認証は行え
ません。以下を確認して再度ログインを実行してください。
・ ディレクトリサービスに登録したユーザにパスワードが設定されている場合、ディ
レクトリサービスに登録したユーザのパスワードを指定してログインしてください。
・ ディレクトリサービスに登録したユーザにパスワードが設定されていない場合、ディ
レクトリサービスに登録したユーザにパスワードを設定してから、設定したパスワー
ドを指定してログインしてください。
0x09
Interstage管理コンソールの運用セキュリティのディレクトリサービス設定で設定したディ
レクトリサービスのホスト、または、ポートが正しくありません。
ディレクトリサービスのホスト名とポートが正しいか確認した後、再度処理を実行してく
ださい。
0x0A
同じサイトに属する管理サーバからのアクセスではありません。
業務グリッド基盤管理対象サーバサイトIDキー、もしくは、業務グリッド基盤管理サー
バサイトIDキーが破損している可能性がありますので、Interstage JMXサービスの資
源ファイルのリストアを実施してください。
0x0B
システムエラーが発生しました。iscollectinfoコマンドを使用して調査情報を採取した
後、技術員に連絡してください。
0x0C
SSLに関するエラーが発生しました。
「detail」にSSLに関するエラー情報が、以下の形式で出力されます。
・ SSLerrortype=%s1 SSLerrorcode=%s2
%s1: SSLExceptionのエラータイプ
%s2: SSLエラーコード
「detail」に出力される情報の詳細は、メッセージ集の「Interstage ディレクトリサービス
から通知されるエラーコード」を参考してください。
0x0D
システムエラーが発生しました。iscollectinfoコマンドを使用して調査情報を採取した
後、技術員に連絡してください。
- 138 -
エラー
コード
0x0F
意味と対処
Interstage管理コンソールの運用セキュリティのディレクトリサービス設定で設定したディ
レクトリサービスが、簡易認証をサポートしていません。
Interstage管理コンソールの運用セキュリティのディレクトリサービスには、Interstage
ディレクトリサービスを使用するよう設定してください。
6.3 ログインログの運用
ここでは、以下について説明します。
・ ログインログ書込み失敗時の動作
・ ログインログの世代管理
・ Systemwalker Centric Managerの監査ログ管理機能で使用する日付書式定義ファイル
・ Interstage管理コンソールの管理コンソール操作端末の特定
ログインログ書込み失敗時の動作
ログインログの書き込みが、I/Oエラー、ディスクフルなどの原因によって失敗した場合、イベントログまたはシステムログ
に、以下のメッセージが通知され、運用操作要求の処理は継続されます。
・ IS: 警告: is20793:Interstage JMXサービスのログインログの書込みに失敗しました DETAIL=%s1 INFO=%s2
書き込みに失敗したログインログは、イベントログまたはシステムログに記録されるため、ログの出力内容が喪失すること
はありません。この動作の場合、ログ書き込みの問題が解消されるまで、運用操作事象が発生するたびにイベントログま
たはシステムログにログが出力され続けます。
ログインログの世代管理
ログインログは1世代までログファイルのバックアップを保持します。
ログインログがバックアップを生成する際、以下のメッセージが出力されます。このメッセージが出力された場合、ログイン
ログのバックアップファイルが上書きされますので、必要に応じて退避してください。
・ IS: 情報: is20795:Interstage JMXサービスのログインログがロールオーバしました
また、ログインログに対してバックアップファイルの生成に失敗した場合、以下の警告メッセージを出力し、運用操作処理
を継続します。この際、バックアップファイルが生成可能になるまで、同じログファイルへのログ情報の出力が継続されま
す。そのため、異常の原因を早期に取り除く必要があります。
・ IS: 警告: is20791:Interstage JMXサービスのログインログのロールオーバに失敗しました DETAIL=%s
Systemwalker Centric Managerの監査ログ管理機能で使用する日付書式定義ファイル
ログインログをSystemwalker Centric Managerの監査ログ管理機能で収集する場合、日付書式定義ファイルが必要となり
ます。ログインログで使用する日付書式定義ファイルは、以下にあります。
C:\Interstage\jmx\etc\isjmxauditlog.fmt
/etc/opt/FJSVisjmx/isjmxauditlog.fmt
- 139 -
参照
監査ログ管理機能、および、日付書式定義ファイルの詳細は、「Systemwalker Centric Manager 使用手引書 監視機能
編」を参照してください。
Interstage管理コンソールの管理コンソール操作端末の特定
Interstage管理コンソールからの運用操作を行った場合、Interstage JMXサービスに要求を発行するプロセスは、同一ホ
スト上で動作するInterstage管理コンソール用Servletサービス、または、管理サーバ上のInterstage JMXサービスとなりま
す。そのため、Interstage管理コンソールに運用操作要求を発行する管理コンソール操作端末を特定する必要がある場
合、ログインログのほかに、デフォルトで以下のディレクトリに出力されるInterstage HTTP Server(Interstage管理コンソー
ル用)のアクセスログを参照し、時刻情報から特定する必要があります。
なお、Interstage HTTP Server(Interstage管理コンソール用)のアクセスログに記録された時刻情報と、Interstage JMXサー
ビスのログインログに記録された時刻情報は、処理プロセスが異なるため、同一時刻とはならない場合があります。
C:\Interstage\gui\trc\F3FMisgui.accesslog
/var/opt/FJSVisgui/trc/F3FMisgui.accesslog
参照
Interstage HTTP Server(Interstage管理コンソール用)のアクセスログの参照方法は、「6.1 アクセスログ」を参照してくださ
い。
6.4 アプリケーションインタフェース詳細
クラス名
com.fujitsu.interstage.j2ee.security.AccessLog
メソッド名
public static void setUserID(String id)
意味
Webアプリケーション、EJBアプリケーションで本メソッドを実行して、伝播するWebサーバ接続情報のユーザIDを指
定することができます。独自に実装した認証機能を使用して認証を行う場合、本メソッドを使用して認証済みのユー
ザIDを指定することで、認証したユーザIDを各プロトコルで伝播し、Symfowareアクセス時にのSymfowareの監査ロ
グにWeb認証ユーザ名を設定できます。
呼び出した実行中のスレッドに対して有効となります。
使用方法
アプリケーションをコンパイルする際には、以下をクラスパスに設定してください。
C:\Interstage\J2EE\lib\isj2ee.jar
/opt/FJSVj2ee/lib/isj2ee.jar
- 140 -
- 141 -
第3部 ファイアウォールとプロキシサーバ
第7章 HTTPトンネリング............................................................................................................143
第8章 J2EEのHTTPトンネリング...............................................................................................154
第9章 プロキシ連携...................................................................................................................156
- 142 -
第7章 HTTPトンネリング
本章では、HTTPトンネリングについて説明します。
7.1 HTTPトンネリングを使用したHTTPデータ通信
HTTPトンネリングは、CORBAアプリケーションにおける通常のIIOPプロトコルでのデータ通信をHTTPデータに変換する
ことで、HTTPプロトコルでのデータ通信ができるようになります。ファイアウォールを越えるクライアント・サーバ連携を行
いたいときに有効な機能です。
さらに、HTTPトンネリングでSSLを使用することで、HTTPSプロトコルでのデータ通信が可能になり、さらに安全なクライア
ント・サーバ連携を実現できます。
HTTPトンネリングのしくみ
HTTPトンネリングのしくみを以下に示します。
クライアント側では、クライアントからサーバへのリクエスト送信において、クライアントアプリケーションの起動時にHTTPト
ンネリングの使用を指定することで、リクエストがHTTPデータで送信されます。
サーバ側には、HTTPデータを受け取るためのWebサーバと、HTTPデータをIIOPデータに変換するためのHTTPゲート
ウェイ環境を構築する必要があります。
サーバに送信されたリクエストは、WebサーバとHTTPゲートウェイ環境を経由することで、HTTPデータからIIOPデータに
変換されます。サーバアプリケーション(CORBAアプリケーション)は、IIOPデータでリクエストを受けることができます。
HTTPトンネリングの処理イメージを以下に示します。
- 143 -
CORBAアプリケーションの開発
CORBAアプリケーションでHTTPトンネリングを使用する場合、通常のCORBAアプリケーションをそのまま使用することが
できます。HTTPトンネリングを使用するために、アプリケーションの再作成(再リンケージを含む)は必要ありません。
HTTPトンネリング環境の構築(HTTPゲートウェイ環境の構築)
CORBAアプリケーションでHTTPによるデータ通信を行うには、WebサーバにHTTPゲートウェイ環境を構築する必要が
あります。
HTTPゲートウェイ環境では、以下のWebサーバと連携できます。
・ Interstage HTTP Server
・
Internet Information Services
HTTPゲートウェイ環境の構築については、「7.2 HTTPトンネリングの環境設定」を参照してください。
HTTPトンネリングの運用
HTTPトンネリングを使用する場合、クライアントアプリケーションの起動時に、HTTPトンネリング使用、およびHTTPゲー
トウェイを指定するパラメタを指定します。
これにより、クライアント・サーバ間のCORBAアプリケーションでHTTPによるデータ通信が行われます。
起動パラメタについては、「7.2.3 HTTPトンネリングの起動方法」を参照してください。
7.2 HTTPトンネリングの環境設定
CORBAアプリケーション連携においてHTTPトンネリングを使用する場合の環境設定手順について説明します。
暗号化通信を行わない場合
Webサーバの環境設定を行います。
クライアントアプリケーション起動時のパラメタ指定によりHTTPトンネリングが使用できます。
Webサーバの環境設定は、「7.2.1 Webサーバの環境設定」を参照してください。
起動時のパラメタの詳細は、「7.2.3 HTTPトンネリングの起動方法」を参照してください。
SSLを利用して暗号化通信を行う場合
上記の設定に加え、WebサーバとクライアントでSSL環境の設定が必要です。
設定の詳細は、「WebサーバのSSL環境の設定」、および「7.2.2 クライアントの環境設定」を参照してください。
ポイント
HTTPトンネリングでは、WebサーバとしてInterstage HTTP Serverが使用可能です。また、Windows(R)システムでは、
Microsoft(R) Internet Information Servicesも使用可能です。Webサーバの機能・操作手順については、それぞれ以下の
マニュアルを参照してください。
・ Interstage HTTP Server 運用ガイド
・ インターネットインフォメーションサービスのヘルプ
- 144 -
7.2.1 Webサーバの環境設定
HTTPトンネリングを使用する場合のWebサーバの環境設定について説明します。
HTTP-IIOPゲートウェイの構築
HTTPトンネリングを使用する場合、WebサーバにHTTP-IIOPゲートウェイを構築する必要があります。以下に手順を説
明します。
注意
・ HTTP-IIOPゲートウェイ動作時は、Webサーバ上でCORBAサービスが動作中であることを確認してください。
・ IPv6環境でHTTPトンネリング機能を使用する場合は、以下が必要となります。
- WebサーバがIPv6で運用されている必要があります。
- configファイルのIIOP_hostnameパラメタに、IPv6形式のアドレス、またはIPv6形式で名前解決可能なホスト名で
設定しないでください。
Interstage HTTP Serverを使用する場合
Interstage HTTP Serverの環境定義ファイルをテキストエディタで開き、最後の行に以下の定義を追加します。Interstage
HTTP Serverの環境定義ファイルについては、「Interstage HTTP Server 運用ガイド」を参照してください。
LoadModule ODhttp_module <HTTP-IIOPゲートウェイのファイル>
<Location /od-httpgw>
SetHandler odhttp-handler
Order deny,allow
Deny from all
Allow from all
</Location>
HTTP-IIOPゲートウェイのファイル
C:\Interstage\ODWIN\bin\httpgw\ODhttpAp.dll
/opt/FSUNod/lib/libOMhttpAp.so
/opt/FJSVod/lib/libOMhttpAp.so
上記のファイルのパスはデフォルトのインストールパスです。インストール状況に応じて変更してください。
注意
WebサーバがInterstage HTTP Serverの場合、メッセージod40001およびod40002は出力されません。
- 145 -
Internet Information Servicesを使用する場合
C:\Interstage\ODWIN\bin\httpgwディレクトリをInternet Information Servicesの「仮想ディレクトリ」として設定します。
設定手順を以下に示します。
IIS 6.0の場合
1. [コントロールパネル]>[管理ツール]>[インターネットインフォメーションサービス(IIS)マネージャ]を起動します。
2. ローカルコンピュータのアイコンをクリックし、「Webサイト」から設定を行うWebサイトを選択します。
3. [操作]>[新規作成]>[仮想ディレクトリ]をクリックします。
4. 仮想ディレクトリの作成ウィザードで[次へ]をクリックします。
5. 「エイリアス」に任意のエイリアス名(例: 「cgi-bin」)を入力し[次へ]をクリックします。
6. 「パス」に「Interstageのインストールフォルダ\ODWIN\bin\httpgw」を設定し[次へ]をクリックします。
7. 「ISAPIアプリケーションやCGIなどを実行する」のチェックボックスにチェックマークを設定し[次へ]をクリックしま
す。
8. [完了]をクリックします。
9. 次に、「Webサービス拡張」を選択します。
10. [操作]>[新しいWebサービス拡張を追加]をクリックします。
11. 「拡張名」に任意の拡張名を入力します。
12. 「必要なファイル」に「Interstageのインストールフォルダ\ODWIN\bin\httpgw\ODhttp.dll」を追加します。
13. 「拡張の状態を許可済みに設定する」のチェックボックスにチェックマークを設定します。
14. [OK]をクリックします。
IIS 7.0の場合
1. 設定前に、Internet Information Services>World Wide Webサービス>アプリケーション開発機能>ISAPI拡張機
能がインストールされているか確認してください。インストールについては「インターネットインフォメーションサー
ビス(IIS)マネージャ」のヘルプを参照してください。
2. [コントロールパネル]>[管理ツール]>[IIS Manager](または、インターネットインフォメーションサービス(IIS)マ
ネージャ)を起動します。
3. [接続]ウィンドウのローカルコンピュータをクリックし「Webサイト」から設定を行うWebサイトを選択します。
4. [操作]>[仮想ディレクトリの表示]をクリックします。
5. [操作]>[仮想ディレクトリの追加]をクリックします。
6. 「仮想ディレクトリの追加」画面の「エイリアス」に任意のエイリアス名(例: 「cgi-bin」)を入力します。
7. 「物理パス」に「Interstageのインストールフォルダ\ODWIN\bin\httpgw」を設定します。
8. [OK]をクリックします。
9. 再度、[接続]ウィンドウの「Webサイト」から設定を行うWebサイトを選択し、「ハンドラマッピング」をダブルクリック
します。
10. 「ISAPI-dll」を選択し、[操作]>[ハンドラのアクセス許可の編集]をクリックします。
11. 「ハンドラのアクセス許可の編集」画面の「実行」のチェックボックスにチェックマークを設定します。
12. [OK]をクリックします。
13. [接続]ウィンドウのローカルコンピュータをクリックし「ISAPIおよびCGIの制限」をダブルクリックします。
14. [操作]>[追加]をクリックします。
- 146 -
15. 「ISAPIまたはCGIの制限の追加」画面の「ISAPIまたはCGIパス」に「Interstageのインストールフォルダ\ODWIN
\bin\httpgw\ODhttp.dll」を設定します。
16. 「拡張パスの実行を許可する」のチェックボックスにチェックマークを設定します。
17. [OK]をクリックします。
WebサーバのSSL環境の設定
HTTPトンネリングでSSLを使用したセキュアな通信を行う場合は、WebサーバのSSL環境を使用します。設定方法は、使
用するWebサーバの環境設定を参照してください。
Interstage HTTP Serverの場合
Interstage管理コンソールを使用して設定を行ってください。
HTMLの作成
JavaアプレットでHTTPトンネリングを使用する場合、Javaアプレットを実行するHTMLファイルで<applet>タグの<param>
タグにパラメタを記述する必要があります。パラメタの詳細は、「7.2.3 HTTPトンネリングの起動方法」を参照してください。
例
以下にJavaアプレットを使用する場合のHTMLの記述例を示します。
Interstage HTTP Serverの場合
<applet code="Sample.class" width=280 height=300>
<param name=ORB_FJ_HTTP value=yes>
<param name=ORB_FJ_SSL value=yes>
<param name=ORB_FJ_HTTPGW value=http://host.com/od-httpgw>
</applet>
Internet Information Servicesの場合
<applet code="Sample.class" width=280 height=300>
<param name=ORB_FJ_HTTP value=yes>
<param name=ORB_FJ_SSL value=yes>
<param name=ORB_FJ_HTTPGW value=http://host.com/cgi-bin/ODhttp.dll>
</applet>
7.2.2 クライアントの環境設定
HTTPトンネリングでSSLを使用した暗号化通信を行う場合、クライアント側でSSL環境設定を行う必要があります。以下に
クライアントのSSL環境設定について説明します。
ポイント
SSL通信を行う場合は、「セキュア通信サービス」(セキュア通信と証明書管理)がインストールされている必要があります。
なお、証明書の発行局として、以下を使用することができます。
・ Systemwalker PKI Manager(当社のインターネット/イントラネットで証明書管理を実現するソフトウェア。詳細について
は、Systemwalker PKI Managerのマニュアルを参照してください。)
・ 日本ベリサイン株式会社
- 147 -
・ 日本認証サービス株式会社
・ サイバートラスト株式会社
・ GMOグローバルサイン株式会社
プレインストール型クライアントの場合
クライアント(プレインストール型)でHTTPトンネリングのSSL通信を行う場合は、クライアントでSSL環境設定が必要です。
SSL環境設定は、SSL連携を行う場合のクライアントの設定と同じ手順で実施します。
設定手順の詳細については、「14.3 CORBAクライアントの環境設定」を参照してください。
Portable-ORBの場合
クライアント(Portable-ORB)でHTTPトンネリングを使用する場合は、Webブラウザの環境に証明書を登録します。PortableORBのSSL環境の設定について説明します。
証明書発行局から発行されたサイト証明書を使用してSSL通信を行うためには、サイト証明書の発行局の証明書をWeb
ブラウザに登録する必要があります。Webブラウザへの登録は、以下の方法で行います。
・ 発行局の証明書をSSL環境が設定されていないWebサーバに公開する。
・ Webブラウザからの初回アクセス時に発行局の証明書が登録される。
Webブラウザへ登録されると、SSL環境が設定されたWebサーバのサービスを利用できるようになります。
例
発行局の証明書を登録するためのHTMLの例を以下に示します。以下のリンクをクリックすることにより、発行局の証明
書がWebサーバからダウンロードされ、Webブラウザに登録されます。
<HTML>
<BODY>
<A HREF="cacert.der">発行局の証明書</A>
・
・
</BODY>
</HTML>
注意
・ Portable-ORB版のHTTPトンネリングでSSL通信を行う場合、使用できないブラウザとJava VMの組合せがあります。
ブラウザとJava VMの組合せによるサポートの可否を以下に示します。
ブラウザ
Java VM
HTTPS(SSL)
Internet Explorer
JBKプラグイン
可 (注)
Internet Explorer
Java Plug-in
不可
注) JBKプラグインを使用する場合、JBKプラグインの設定ファイル(jbkplugin.properties)に以下を記述する必要があ
ります。
jbk.plugin.protocol.https=native
JBKプラグインの詳細については、Interstage Studioの「J Business Kit オンラインマニュアル」を参照してください。
- 148 -
・ 発行局の証明書のデータタイプは「application/x-x509-ca-cert」です。Webサーバの環境定義ファイルで指定する
データタイプとファイルの拡張子の関連を指定するファイル(定義名:content-type)に「application/x-x509-ca-cert」の
定義があり、作成した証明書のファイルの拡張子が関連付けられていることを確認してください。
・ 発行局の証明書をダウンロードするためのWebサーバは、必ずしもSSL通信を行うWebサーバと同じサーバである必
要はありません。
・ 証明書の有効期限切れなどの理由で発行局の証明書を更新した場合は、古い証明書をいったんWebブラウザ内か
ら削除した後、新しい証明書をWebブラウザにダウンロードして再登録する必要があります。
クライアント証明書の取得
SSLバージョン3.0を使用してクライアント認証を行うするためには、Webブラウザにクライアント証明書(サイト証明書)が必
要です。また、クライアント証明書の発行局の証明書を証明書/CRL管理環境に登録する必要があります。クライアント証
明書は、証明書発行局に発行を依頼し取得します。
クライアント証明書としては、InfoCA、またはSystemwalker PKI Managerが発行する証明書が使用できます。詳細につい
ては、InfoCA、またはSystemwalker PKI Managerのマニュアルを参照してください。
7.2.3 HTTPトンネリングの起動方法
HTTPトンネリングを使用する場合は、クライアントアプリケーションで呼び出しているCORBA_ORB_init関数に下表に示
すパラメタを指定します。
Javaアプレット以外のアプリケーションの場合
アプリケーション起動時に、パラメタとして指定します。
ただし、アプリケーション側では起動時のパラメタをCORBA_ORB_init関数に渡す作りになっている必要があります。
mainの引数をCORBA_ORB_init関数にそのまま渡しているアプリケーションの場合は問題ありませんが、そうでない
アプリケーションの場合はアプリケーションロジックを修正してCORBA_ORB_init関数にHTTPトンネリング用のパラメ
タを渡す必要があります。
Javaアプレットの場合
HTMLファイルで<param>タグを使用して、アプレット起動時のパラメタを指定します。
HTTPトンネリングのパラメタ
-ORB_FJ_HTTP
HTTPトンネリングを使用する/しないを設定します。
- yes : HTTPトンネリングを使用する。(注1)
省略された場合、またはyes(大文字小文字は意識しない)以外の値が設定された場合は、HTTPトンネリングを使用し
ません。
-ORB_FJ_SSL
HTTPトンネリング使用時に、SSL通信を行う/行わないを設定します。
- yes : SSL通信を行う。
アプレットのダウンロードでHTTPSが使用されず、パラメタが省略された場合、またはyes(大文字小文字は意識しな
い)以外の値が設定された場合は、SSL通信を行いません。
アプレットのダウンロードでHTTPSを使用した場合は、パラメタの有無および設定内容にかかわらず、SSL通信を行
います。
- 149 -
-ORB_FJ_HTTPGW
HTTPトンネリングを処理するゲートウェイを指定します。省略時は、HTTPトンネリングを使用しません。(注2)
なお、SSL通信を行う場合の書式を指定すると、「-ORB_FJ_SSL」パラメタの設定内容にかかわらずSSL通信を行い
ます。「-ORB_FJ_SSL」パラメタに「yes」を設定すると、以下の書式にかかわらずSSL通信を行います。
Interstage HTTP Serverの場合
- SSL通信を行う場合の書式
https://ホスト名/URL名
- SSL通信を行わない場合の書式
http://ホスト名/URL名
ホスト名
HTTP-IIOPゲートウェイが動作するWebサーバを指定します。
URL名
od-httpgwを指定します。URL名にはLocationディレクティブのURLを指定します(詳細は「Interstage HTTP
Server 運用ガイド」参照)。
Internet Information Servicesの場合
- SSL通信を行う場合の書式
https://ホスト名/cgi識別名/ゲートウェイ名
- SSL通信を行わない場合の書式
http://ホスト名/cgi識別名/ゲートウェイ名
ホスト名
HTTP-IIOPゲートウェイが動作するWebサーバを指定します。
cgi識別名
「仮想ディレクトリ」のエイリアス名を指定します。
ゲートウェイ名
ODhttp.dll(HTTP-IIOPゲートウェイ)を指定します。
注1)
yesを指定した場合、CORBA_ORB_init()にパラメタで通知されたargc,argvの値を設定するとHTTPトンネリング機能
が有効になります。
注2)
「-ORB_FJ_HTTPGW」に渡す引数として、指定可能なホスト名の形式を以下に示します。
Interstage HTTP Serverの場合
http://ホスト名・IPv4アドレス/URL名
http://ホスト名・IPv4アドレス:ポート番号/URL名
http://[IPv6アドレス]/URL名
http://[IPv6アドレス]:ポート番号/URL名
https://ホスト名・IPv4アドレス/URL名
https://ホスト名・IPv4アドレス:ポート番号/URL名
Internet Information Servicesの場合
http://ホスト名・IPv4アドレス/cgi識別名/ゲートウェイ名
http://ホスト名・IPv4アドレス:ポート番号/cgi識別名/ゲートウェイ名
http://[IPv6アドレス]/cgi識別名/ゲートウェイ名
http://[IPv6アドレス]:ポート番号/cgi識別名/ゲートウェイ名
https://ホスト名・IPv4アドレス/cgi識別名/ゲートウェイ名
https://ホスト名・IPv4アドレス:ポート番号/cgi識別名/ゲートウェイ名
- 150 -
IPv6形式のアドレスを使用する場合は、大カッコ(「[」 と 「]」)で囲む必要があります。
なお、IPv6環境ではSSL機能が使用できないため、「https」は指定できません。
パラメタの指定方法
アプリケーションタイプ別のパラメタ指定方法を説明します。
注意
HTTPトンネリング固有の注意事項以外については、使用するクライアントランタイム(プレインストール型クライアントおよ
びPortable-ORB)の制限事項ならびに注意事項が適用されます。
Javaアプレット以外のアプリケーションの場合
クライアントアプリケーション(sample_c)を起動する場合、パラメタを以下のように指定します。
Interstage HTTP Serverの場合
sample_c -ORB_FJ_HTTP yes -ORB_FJ_SSL yes
-ORB_FJ_HTTPGW http://host.com/od-httpgw
Internet Information Servicesの場合
sample_c -ORB_FJ_HTTP yes -ORB_FJ_SSL yes
-ORB_FJ_HTTPGW http://host.com/cgi-bin/ODhttp.dll
注意
・ クライアントアプリケーションでは、富士通拡張インタフェースのCORBA_ORB_net_disconnect()を使用し、使用した
通信資源を解放してください。なお、SolarisまたはLinuxの場合は、通信資源は自動的に解放されるため不要です。
・ Windowsの場合、通信資源が自動的には解放されません。このため、通信資源の解放を行わずにクライアントアプ
リケーションの起動/終了を繰り返すと、通信資源がリークします。この場合、サーバ側でconfigファイルの
max_IIOP_resp_conの値に設定されたコネクションの数が不足し、COMM_FAILURE例外が通知されることがありま
す。また、通信資源の不足が発生し、od40004メッセージなどが出力される場合があります。
・ HTTPトンネリングに使用できるアプリケーション種別はC,C++,Java,COBOL,OOCOBOLで作成されたクライアントア
プリケーションです。 OLE-CORBAゲートウェイからは使用できません。
Javaアプレットの場合
Javaアプレットを使用する場合のHTMLの記述例を以下に示します。
なお、HTMLにパラメタを記述する場合、パラメタ名のハイフン(「-」)は指定しません。
プレインストール型Javaライブラリを使用する場合
Interstage HTTP Serverの場合
<HTML>
<HEAD><!--demo.html-->
<TITLE>Java sample Applet </TITLE>
</HEAD>
- 151 -
<BODY>
<H1>Java sample Applet</H1>
<applet code="Sample.class" width=300 height=250>
<PARAM NAME=ORB_FJ_HTTP VALUE=yes>
<PARAM NAME=ORB_FJ_SSL VALUE=yes>
<PARAM NAME=ORB_FJ_HTTPGW VALUE=http://host.com/od-httpgw>
</applet><BR>
</BODY>
</HTML>
Internet Information Servicesの場合
<HTML>
<HEAD><!--demo.html-->
<TITLE>Java sample Applet </TITLE>
</HEAD>
<BODY>
<H1>Java sample Applet</H1>
<applet code="Sample.class" width=300 height=250>
<PARAM NAME=ORB_FJ_HTTP VALUE=yes>
<PARAM NAME=ORB_FJ_SSL VALUE=yes>
<PARAM NAME=ORB_FJ_HTTPGW VALUE=http://host.com/cgi-bin/ODhttp.dll>
</applet><BR>
</BODY>
</HTML>
Javaアプレットを使用する場合のHTMLファイルの記述方法については、「アプリケーション作成ガイド(CORBAサービス
編)」の「アプリケーションの開発(Java言語)」を参照してください。
7.2.4 HTTPプロキシサーバ使用時の設定
プレインストール型ランタイム(Portable-ORB以外の実行環境)において、HTTPプロキシサーバを経由したHTTPトンネリ
ングを行う場合、CORBAサービスのconfigファイルに以下の設定が必要です。
http_proxy_use
HTTPトンネリング機能の使用する(yes)/しない(no)を指定します。
http_proxy
HTTPプロキシサーバのホスト名を指定します。
http_proxy_port
HTTPプロキシサーバのポート番号を指定します。
なお、configファイルの新しい設定値を有効にするためには、CORBAサービスを再起動してください。
例
http_proxy_use = yes
http_proxy
= proxy.xxx.com
http_proxy_port = 8080
- 152 -
注意
Portable-ORBを使用する場合は、Webブラウザに設定されているプロキシサーバを使用するため、設定は必要ありませ
ん。
- 153 -
第8章 J2EEのHTTPトンネリング
本章では、J2EEのHTTPトンネリングについて説明します。
J2EEのHTTPトンネリングは、以下から使用可能です。
・ J2EEアプリケーションクライアント
・ IJServer(Webアプリケーションのみ運用)
・ Javaアプレット
J2EEのHTTPトンネリングは、以下のタイプのIJServerで使用できます。
・ Webアプリケーションのみ運用
8.1 J2EEアプリケーションクライアントでのHTTPトンネリングの使用
方法
J2EEアプリケーションクライアントでHTTPトンネリングを使用する場合は、HTTPトンネリングを処理するゲートウェイをJNDI
環境プロパティのHTTPGWで指定します。JNDIの環境プロパティの詳細については、「J2EE ユーザーズガイド(旧版互
換)」の「JNDIサービスプロバイダの環境設定」を参照してください。
例
コマンドラインでの引数(-D)での記述例を以下に示します。
・ Interstage HTTP Serverの場合
java -DHTTPGW=http://host.com/od-httpgw SampleClient
・ Internet Information Servicesの場合
java -DHTTPGW=http://host.com/cgi-bin/ODhttp.dll SampleClient
8.2 IJServer(Webアプリケーションのみ運用)でのHTTPトンネリン
グの使用方法
IJServerではタイプが「Webアプリケーションのみ運用」でのみHTTPトンネリングを使用することができます。HTTPトンネリ
ング機能を使用する場合は、IJServerのJava VMオプション、またはFJjndi.propertiesファイルで、環境プロパティとして
「HTTPGW」を設定してください。
環境プロパティ「HTTPGW」の値と設定内容については、「J2EE ユーザーズガイド(旧版互換)」の「JNDIサービスプロバ
イダの環境設定」の「J2EEアプリケーションクライアント」を参照してください。
- 154 -
8.3 JavaアプレットでのHTTPトンネリングの使用方法
Javaアプレットの起動時に、HTMLの<PARAM NAME>タグのパラメタで指定します。
指定するパラメタについては、「7.2.3 HTTPトンネリングの起動方法」-「HTTPトンネリングのパラメタ」を参照してくださ
い。
例
以下に例を示します。
・ Interstage HTTP Serverの場合(太字部分が上記パラメタの設定部分)
<applet code="Sample.class" width=300 height=250>
<PARAM NAME=ORB_FJ_HTTP VALUE=yes>
<PARAM NAME=ORB_FJ_SSL VALUE=yes>
<PARAM NAME=ORB_FJ_HTTPGW VALUE=https://host.com/od-httpgw>
</applet>
・ Internet Information Servicesの場合(太字部分が上記パラメタの設定部分)
<applet code="Sample.class" width=300 height=250>
<PARAM NAME=ORB_FJ_HTTP VALUE=yes>
<PARAM NAME=ORB_FJ_SSL VALUE=yes>
<PARAM NAME=ORB_FJ_HTTPGW VALUE=https://host.com/cgi-bin/ODhttp.dll>
</applet>
- 155 -
第9章 プロキシ連携
9.1 プロキシ連携機能(Interstage Webサービス)
Interstage Webサービスではプロキシを介してのWebサービス間の連携が可能です。
詳細については、「J2EE ユーザーズガイド(旧版互換)」の「Webサービスの運用」を参照してください。
なお、WebサービスクライアントでSSLを使用する場合は、上記の記載に対して、下記の差異があります。
・ プロキシのポート番号は、80がデフォルトとなります。(ホスト名が指定された場合のみ有効)
9.2 プロキシ連携機能(Java EEのWebサービス機能)
Java EEのWebサービス機能ではプロキシを介してのWebサービス間の連携が可能です。
詳細については、「Java EE運用ガイド」の「Webサービスクライアントアプリケーションの開発」の「プロキシの利用」を参照
してください。
- 156 -
第4部 SSLによる暗号化通信
本部では、SSLによる暗号化通信を行う方法を説明しています。
暗号や署名処理を行うためには、証明書や秘密鍵を管理する環境の構築が必要です。本製品では以下の3つの環境を
使い分けています。利用するサービスと状況に応じ、選択してください。
本バージョンでは、Interstage証明書環境の利用を推奨します。
Interstage証明書環境(推奨)
複数のサービスで共有でき、証明書や秘密鍵を一括管理することができます。また、Interstage管理コンソールから参
照することができます。
環境構築方法については、「第10章 Interstage証明書環境の構築と利用」を参照してください。
注意
以下の機能が必須です。
- Interstage管理コンソール
SMEEコマンドで構築した証明書/鍵管理環境
SMEEコマンドを使用し、サービス単位に環境を構築します。
環境構築方法については、「第11章 SMEEコマンドによる証明書/鍵管理環境の構築と利用」を参照してください。
注意
以下の機能が必須です。
- セキュア通信サービス
FJSVsmee、FJSVsclr、FSUNssllパッケージ
FJSVsme64、FJSVscl64パッケージ
FJSVsmee、FJSVsclrパッケージ
FJSVsmee64、FJSVsclr64パッケージ
キーストア
Java暗号化関連のパッケージのJSSE(Java Secure Socket Extension)、JCE(Java Cryptography Extension)を使用して
います。
サービス単位に環境を構築します。
環境設定方法については、「第16章 Portable-ORBでSSLを利用する方法」を参照してください。
各サービスで利用できる環境を以下に示します。
サービス名
Interstage証 証明書/鍵管理
明書環境
環境
キーストア
Interstage HTTP Server
○
○
×
Interstage HTTP Server 2.2
○
○
×
CORBAサービス(クライアントパッケージを除く)
○
○
×
- 157 -
サービス名
Interstage証 証明書/鍵管理
明書環境
環境
キーストア
CORBAサービス(クライアントパッケージ)
×
○
×
Interstage Webサービスクライアント
○
×
○
Servletサービス
○
×
×
EJBサーバ、EJBクライアント
○
○
×
Interstage JMS(クライアントパッケージを除く)
(注1)
(注1)
×
Interstage JMS(クライアントパッケージ)
(注2)
(注2)
×
イベントサービス
(注1)
(注1)
×
Portable-ORB
×
×
○
Interstage ディレクトリサービス
○
○
×
Interstage ディレクトリサービスクライアント
×
○
×
(注3)
(注3)
×
Interstage シングル・サインオン
○:利用可能 ×:利用不可
注1) CORBAサービス(クライアントパッケージを除く)において構築した環境を使用します。
注2) CORBAサービス(クライアントパッケージ)において構築した環境を使用します。
注3) Interstage HTTP Serverにおいて構築した環境を使用します。
注意
サービスが利用可能かは、製品に依存します。
参照
なお、V6.0以前に作成された環境でSSLによる暗号化通信を行っている場合は、旧マニュアルの「SSLによる暗号化通
信」を参照してください。
第10章 Interstage証明書環境の構築と利用..............................................................................159
第11章 SMEEコマンドによる証明書/鍵管理環境の構築と利用...................................................181
第12章 Interstage HTTP ServerでSSLを利用する方法.............................................................198
第13章 Interstage HTTP Server 2.2でSSLを利用する方法.......................................................238
第14章 CORBAサービスでSSLを利用する方法.........................................................................239
第15章 J2EEでSSLを利用する方法..........................................................................................248
第16章 Portable-ORBでSSLを利用する方法............................................................................252
第17章 Interstage ディレクトリサービスでSSLを利用する方法....................................................263
- 158 -
第10章 Interstage証明書環境の構築と利用
SSLなど、署名や暗号処理を行うために必要なものと、必要な設定について説明します。
本章では、Interstage証明書環境を利用する場合について説明します。
注意
Interstage証明書環境を利用するためには、Interstage管理コンソールがインストールされている必要があります。
ここで構築するInterstage証明書環境は、以下のサービスにおいて共通に利用することができます。
・ Interstage HTTP Server
・ Interstage HTTP Server 2.2
・ CORBAサービス(クライアントパッケージを除く)
・ Servletサービス
・ Interstage シングル・サインオン
注意
Interstage シングル・サインオンのリポジトリサーバ、および認証サーバでSSLを利用するには、Interstage HTTP Server
において構築した環境を使用します。
・ Interstage Webサービス
・ Interstage JMS
注意
Interstage JMSでSSLを利用するには、CORBAサービスにおいて構築した環境を使用します。
・ イベントサービス
注意
イベントサービスでSSLを利用するには、CORBAサービスにおいて構築した環境を使用します。
・ Interstage ディレクトリサービス
注意
Interstage ディレクトリサービスを利用可能な製品については、「第17章 Interstage ディレクトリサービスでSSLを利用
する方法」を参照してください。
上記以外のサービスを利用する場合や、Interstage管理コンソールがインストールされていない場合は、「第4部 SSLによ
る暗号化通信」を参照し、関連する章を参照してください。
- 159 -
10.1 証明書と秘密鍵について
証明書と秘密鍵について説明します。
証明書と秘密鍵
SSL通信など、署名や暗号の処理を行うためには、認証局の証明書(発行局証明書)、サイト証明書、それに対応する秘
密鍵が必要となります。また、証明書の有効性を確認するために、CRL(証明書失効リスト)が利用されます。
X.509またはRFC2459に準拠し、RSA暗号アルゴリズムの鍵が使用されている証明書・CRLが使用できます。
・ 認証局の証明書(発行局証明書)
認証局が発行した証明書を保証するための、認証局自身の証明書です。CA証明書ともいいます。
認証局が配下の認証局に証明書を発行することがあります。この場合、認証局自身の証明書に加え、配下の認証
局に発行した証明書も、認証局の証明書と呼びます。また、配下の認証局に発行した証明書を特に中間CA証明書
と呼びます。
・ サイト証明書
サーバやクライアントやサービスの身元を保証するために、認証局が発行した証明書です。
利用者(サーバ/クライアント/サービス)に関する情報と認証局に関する情報が含まれています。
サイト証明書は、必ずこれを発行した認証局の証明書を組み合わせて使用する必要があります。
証明書には有効期間が設定されています。有効期間を過ぎた証明書は無効と判断され、利用することができなくな
ります。有効期間を過ぎる前に、証明書を更新し、新しい証明書を入手する必要があります。詳細については、「証
明書を更新する(証明書の有効期限が切れる)場合」を参照してください。
・ サイト証明書に対応する秘密鍵
サイト証明書の中に含まれている公開鍵と対になっています。
注意
秘密鍵をなくしたり、削除したりすると、対応するサイト証明書は登録できなくなります。そのため、必ずバックアップを
とるようにしてください。
・ CRL(証明書失効リスト)
CRLは認証局が発行し、その認証局が発行したが無効になった証明書の一覧が含まれています。証明書を無効に
する(失効する)のは、秘密鍵が盗まれた場合や、利用資格がなくなった場合、などがあります。
SSL通信で利用する場合には、接続先のサイトやクライアントの証明書が無効になっていないかを確認する場合に
参照されます。
CRLは定期的に発行され、認証局の管理しているWebサーバやディレクトリサーバなどに公開されます。公開方法
は、認証局の運用によって異なるため、認証局に確認してください。なお、証明書の中に公開場所が記載されてい
る場合もあります。
証明書と秘密鍵の配布や、バックアップなどの目的で、PKCS#12データが用いられることがあります。PKCS#12データに
は、証明書とそれに対応する秘密鍵と、その証明書の検証に必要な認証局証明書が含まれており、パスワード文字列で
暗号化されています。
Interstage証明書環境では、以下のPKCS#12データを移入する(登録する)ことができます。
・ Systemwalker PkiMGRで作成されたPKCS#12データ
・ Interstage証明書環境からscsexppfxコマンドで移出された(取り出された)PKCS#12データ
・ SMEEコマンドで構築された証明書/鍵管理環境からcmmkpfxコマンドで移出されたPKCS#12データ
また、Interstage証明書環境から移出されたPKCS#12データは、以下の環境に移入することができます。
- 160 -
・ Interstage証明書環境(scsimppfxコマンドを利用)
・ SMEEコマンドで構築された証明書/鍵管理環境(cmentpfxコマンドを利用)
証明書/鍵管理環境については、「第11章 SMEEコマンドによる証明書/鍵管理環境の構築と利用」を参照してください。
認証局(証明書発行局)
証明書を作成するためには、認証局が必要です。
Interstage証明書環境では、以下で発行された証明書・CRLをサポートしています。
・ プライベート認証局(社内用など、利用範囲を限定した証明書発行サービス)
Systemwalker PkiMGR
(インターネット/イントラネットで証明書管理を実現する、当社のソフトウェア)
・ パブリック認証局(信頼された第三者として証明書発行サービスを行う認証局)
日本ベリサイン株式会社
・セキュア・サーバID
・セキュア・サーバID EV(EV SSL証明書)
日本認証サービス株式会社
・SecureSign(R)ADサーバサービス
サイバートラスト株式会社
・SureServer for SSL証明書
GMOグローバルサイン株式会社
・クイック認証SSL
・企業認証SSL
Systemwalker PkiMGRについては、Systemwalker PkiMGRのカタログやマニュアルを参照してください。
参考
上記以外の認証局が発行する証明書については、以下の条件を満たす証明書を扱うことができます。
しかし、証明書の申請方法や入手方法などが原因で導入が困難な場合もあります。
その場合は、担当の営業やSEにご相談ください。
・ X.509またはRFC2459に準拠
・ RSA暗号アルゴリズムを利用し、その鍵長が4096bit以下
・ ハッシュアルゴリズムには下記のものを利用
・MD5
・SHA-1
・SHA-256
・SHA-384
・SHA-512
10.2 環境の構築方法
Interstage証明書環境は、証明書、秘密鍵、CRLを管理する環境です。Interstage証明書環境の構築・更新にはコマンド
を使用し、参照はInterstage管理コンソールで行います。ここでは、Interstage証明書環境の構築方法について説明しま
す。
- 161 -
Interstage証明書環境の資源は、以下にあります。
C:\Interstage\etc\security
/etc/opt/FJSVisscs/security
Interstage証明書環境の構築には、証明書の取得方法により、以下の2つの方法があります。
・ CSR(証明書取得申請書)を使用する方法
・ PKCS#12データを使用する方法
それぞれについて説明します。
CSR(証明書取得申請書)を使用する方法
日本ベリサイン株式会社、日本認証サービス株式会社またはサイバートラスト株式会社など、CSRを用いた証明書発行
の運用をしている認証局から証明書を発行してもらう場合や、小規模ユーザにおいてSystemwalker PkiMGRでプライ
ベート認証局が構築された場合、以下の手順で環境を構築します。
1. Interstage証明書環境の所有グループの作成
「10.2.1 Interstage証明書環境のアクセス権限の設定」を参照してください。
2. Interstage証明書環境の構築
「10.3 CSRによるInterstage証明書環境の構築方法」を参照してください。
3. 証明書を利用するための設定
「10.5 証明書を利用するための設定」を参照してください。
PKCS#12データを使用する方法
PKCS#12データを使用するのは、大規模ユーザにおいてSystemwalker PkiMGRでプライベート認証局が構築され証明
書が一括発行される場合などで、以下の手順で環境を構築します。
1. Interstage証明書環境の所有グループの作成
「10.2.1 Interstage証明書環境のアクセス権限の設定」を参照してください。
2. Interstage証明書環境の構築
「10.4 PKCS#12によるInterstage証明書環境の構築方法」を参照してください。
3. 証明書を利用するための設定
「10.5 証明書を利用するための設定」を参照してください。
証明書の参照方法
証明書の参照処理はInterstage管理コンソールから行います。Interstage証明書環境を構築後、Interstage管理コンソール
の[システム] > [セキュリティ] > [証明書] > [認証局証明書]、または[システム] > [セキュリティ] > [証明書] > [サイト証明
書]を参照してください。
Interstage証明書環境を更新する場合は「10.6 証明書の管理」を参照してください。
10.2.1 Interstage証明書環境のアクセス権限の設定
- 162 -
Administrators権限を持たないユーザでInterstage証明書環境をアクセスする場合には、Administrators権限を持つユー
ザでInterstage証明書環境を構築した後、アクセス権限を変更してください。
以下の場合が該当します。
・ CORBAサービスで、一般権限のユーザでSSL機能を使用する場合
・ セション管理の運用を行うシングル・サインオンの業務サーバをIISに組み込む場合
エクスプローラでInterstage証明書環境のフォルダを選択し、「プロパティ」メニューの「セキュリティ」タブの画面で、ユーザ
またはグループを追加することでアクセス権限を追加できます。追加したユーザまたはグループについては「フルコント
ロール」を設定するようにしてください。
Interstage証明書環境のフォルダについては、「10.2 環境の構築方法」を参照してください。
注意
Microsoft(R) Windows(R) XPでフォルダのプロパティに[セキュリティ]タブが表示されない場合は、次の手順を実行する
ことで表示されます。
1. [スタート]-[コントロールパネル]から「フォルダオプション」を起動します。
2. [表示]タブをクリックし、「簡易ファイルの共有を使用にする(推奨)」のチェックを解除して「OK」をクリックします。
Interstage証明書環境を構築する前に、Interstage証明書環境へのアクセスを許可する、所有グループを作成しておく必
要があります。
Interstage証明書環境は、スーパユーザによって構築され、特定の所有グループに属する実効ユーザがアクセスすること
ができます。
実効ユーザは、利用するサービスによって異なります。各サービス指定の実効ユーザを所有グループに追加設定するよ
うにしてください。
所有グループの作成や変更は、OS提供のツールから実行する方法もありますが、ここでは、コマンドで所有グループを
作成する例を示します。
1. Interstage証明書環境の所有グループを作成します。
例
下記の実行例では、「iscertg」というグループを作成しています。
# groupadd iscertg
2. useraddまたはusermodコマンドで、実効ユーザをiscertgグループに登録します。
例
下記の実行例では、iscertgに「nobody」を追加しています。
# usermod -G iscertg nobody
コマンドの詳細については、使用しているOSのマニュアルを参照してください。
作成した所有グループは、Interstage証明書環境を構築時にscsmakeenvコマンドの-gオプションに指定してください。
- 163 -
注意
・ スーパユーザで実行してください。
・ Interstage HTTP ServerでSSLを利用する場合、Interstage証明書環境の所有グループに登録する実効ユーザは、
Interstage HTTP Serverの環境定義ファイル(httpd.conf)のUserディレクティブに設定されているユーザを使用する必
要があります。Userディレクティブに設定されているユーザの初期値は「nobody」です。
10.3 CSRによるInterstage証明書環境の構築方法
ここでは、CSR(証明書取得申請書)を利用した、Interstage証明書環境の構築方法について説明します。
Interstage証明書環境は、以下の手順で構築します。
1. Interstage証明書環境の構築と、CSR(証明書取得申請書)の作成
2. 証明書の発行依頼
3. 証明書とCRLの登録
なお、Interstage証明書環境を構築した後は、証明書を利用するための環境設定が必要です。詳細は、「10.5 証明書を
利用するための設定」を参照してください。
参照
以降で使用する各コマンドの詳細は、「リファレンスマニュアル(コマンド編)」を参照してください。
注意
コマンドはAdministrators権限をもつユーザで実行してください。
コマンドはスーパユーザで実行してください。
環境変数JAVA_HOMEにJDKまたはJREのインストールパスを設定して実行してください。
10.3.1 Interstage証明書環境の構築と、CSR(証明書取得申請書)の作成
SSLなど、署名や暗号処理を行うには、証明書を取得する必要があります。そのために、認証局へ証明書の発行を依頼
するためのデータである、CSR(証明書取得申請書)を作成します。
このとき、Interstage証明書環境が存在しなければ、同時にInterstage証明書環境も作成されます。存在している場合に
は、そのInterstage証明書環境が利用されます。
注意
CSRに指定したニックネームは、サイト証明書の登録時にも指定するため、忘れないようにしてください。
なお、CSRに指定したニックネームの一覧は、scslistコマンドで確認することができます。
- 164 -
また、Interstage証明書環境に登録済みのニックネームで新たな証明書を登録することはできません。
CSRを作成すると、Interstage証明書環境に秘密鍵が作成されます。秘密鍵を保護するために、証明書を入手するまで
の間、Interstage証明書環境をバックアップしておいてください。バックアップ方法については、「運用ガイド(基本編)」を
参照してください。
なお、バックアップしていないときにInterstage証明書環境が破壊された場合、秘密鍵がなくなってしまうため、Interstage
証明書環境の作成(CSRの作成)と証明書の発行依頼を再度行うことになります。
例
CSRの作成例を以下に示します。
本製品がサポートするパブリック認証局から発行された証明書を使用する場合
CSRの作成と同時に、パブリック認証局のルート証明書の登録も行います。
>scsmakeenv -n SiteCert -f C:\my_folder\my_csr.txt -c
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\my_folder\my_csr.txt>
> scsmakeenv -n SiteCert -c -f /usr/home/my_dir/my_csr.txt -g iscertg
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain (注2)
What is the name of your organizational unit?
- 165 -
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</usr/home/my_dir/my_csr.txt>
UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のた
め再入力(Retype)してください。
注2) 入力する内容については、「リファレンスマニュアル(コマンド編)」を参照してください。
注3) 表示された内容が正しければ、「yes」を入力してください。再度やり直したい場合には、「no」を入力してください。
本製品がサポートするプライベート認証局から発行された証明書を使用する場合
> scsmakeenv -n SiteCert -f C:\my_folder\my_csr.txt
New Password: (注1)
Retype: (注1)
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。<C:\my_folder\my_csr.txt>
> scsmakeenv -n SiteCert -f /usr/home/my_dir/my_csr.txt -g iscertg
New Password: (注1)
Retype: (注1)
- 166 -
Input X.500 distinguished names.
What is your first and last name?
[Unknown]:SiteName.domain (注2)
What is the name of your organizational unit?
[Unknown]:Interstage (注2)
What is the name of your organization?
[Unknown]:Fujitsu Ltd. (注2)
What is the name of your City or Locality?
[Unknown]:Yokohama (注2)
What is the name of your State or Province?
[Unknown]:Kanagawa (注2)
What is the two-letter country code for this unit?
[Un]:jp (注2)
Is <CN=SiteName.domain, OU=Interstage, O=Fujitsu Ltd., L=Yokohama, ST=Kanagawa, C=jp> correct?
[no]:yes (注3)
UX: SCS: 情報: scs0101: CSR(証明書取得申請書)を作成しました。</usr/home/my_dir/my_csr.txt>
UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のた
め再入力(Retype)してください。
注2) 入力する内容については、「リファレンスマニュアル(コマンド編)」を参照してください。
注3) 表示された内容が正しければ、「yes」を入力してください。再度やり直したい場合には、「no」を入力してください。
例
発行済みCSRの確認例を以下に示します。
発行したCSRは、scslistコマンドの-cオプションで確認することができます。
>scslist -c
Password: (注1)
--- CSR --Nickname:
sitecert
DN:
CN=SiteName.domain,OU=Interstage,O=Fujitsu Ltd.,L=Yokohama,ST=Kangawa,C=jp
Modulus(n):
0000 a1499f01 72e79cca e45f31a5 ea59bd93
0010 f54500c3 3601dfe3 e00d1f34 9463527b
0020 5d5dba5a b3cb9cc2 e0e8731d edc6b49c
0030 f61c95ca 17de0764 8e0ef85b b15fee9b
0040 d1c533cd 9c837606 5415aa9a ec18622e
0050 fbfd0624 feaa877b bb6c6ad6 e4ddd8eb
0060 ab0ef3e8 20f368db f049f693 91529ef4
0070 55371247 c4f5935d 24aaa751 13eef7a9
0080 482dc417 3c055742 b951be7b 9428a116
0090 eb96f7bd 55237e79 c32a3532 c1fca0ed
00a0 f25cbd5d 52f01c39 81d44cc8 99111c1b
00b0 c1f1ed50 29f10b60 758bbf02 9ef0f9ce
00c0 a2a93635 63d37310 95be8dc3 b391d428
00d0 900d1ddb 834ebcd1 25941585 3a03d3b4
00e0 7595cfc3 89cba5ae 657e0b35 582b7eb2
00f0 462f5bf5 11ee703f 57723c63 133f5e47
Public Exponent(e):
0000 010001
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
注意
クライアント機能として動作するサービスで、サーバ認証だけを行う運用の場合は、scsmakeenvコマンドを使用して、CSR
ではなくテスト用証明書を作成してください。テスト用証明書の作成方法については、「リファレンスマニュアル(コマンド
- 167 -
編)」を参照してください。テスト用証明書を作成後は、「10.3.2 証明書の発行依頼」、「10.3.3 証明書・CRLの登録」を実
行する必要はありません。「10.5.1 証明書の利用設定」以降を実行してください。
以下のサービスが該当します。
・ Interstage Webサービス
・ Interstage ディレクトリサービス(標準データベースを使用するレプリケーション形態のマスタにおいてレプリケーション
先ホスト情報でSSLを使用するように定義した場合)
・ CORBAサービス(SSL連携機能を使用する際、クライアント認証を行わない場合の、クライアント側の設定)
・ Servletサービス(Webサーバとワークユニットを同一のマシンで運用しない場合の、Webサーバコネクタ側のSSL通信
の設定)
・ Interstage HTTP Server(オンライン照合機能において、異なるシステム上のディレクトリサーバとSSL通信を行う場合)
・ Interstageシングル・サインオン(Interstageシングル・サインオンが提供するJavaAPI)
10.3.2 証明書の発行依頼
認証局に証明書の発行を依頼し、証明書を取得します。
証明書の発行依頼
scsmakeenvコマンドで作成したCSRを認証局へ送付し、証明書の発行を依頼します。
依頼は認証局の指定方法に従ってください。
証明書の取得
認証局により発行された証明書をバイナリデータ(DER形式)またはBase64エンコーディングデータ(PEM形式)で取得します。
PEM形式の証明書は、以下のようなデータ形式をしています。
-----BEGIN CERTIFICATE----… (Base64エンコードされた証明書データ) …
-----END CERTIFICATE-----
なお、取得方法は認証局に従ってください。
10.3.3 証明書・CRLの登録
認証局から取得した証明書とCRLをInterstage証明書環境に登録します。
証明書は、認証局自身の証明書から順に登録してください。
注意
取得した証明書・CRLを登録後は必ず、Interstage証明書環境をバックアップしてください。バックアップ方法について
は、「運用ガイド(基本編)」を参照してください。
なお、Interstage証明書環境をバックアップしていなかった場合にInterstage証明書環境が破壊されると、Interstage証明書
環境の作成(CSRの作成)や、証明書の発行依頼を再度行うことになります。
- 168 -
認証局の証明書の登録
取得した認証局の証明書を登録します。
例
登録例を以下に示します。
>scsenter -n CA -f C:\my_folder\CA.der
Password: (注1)
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。
>scsenter -n CA -f /usr/home/my_dir/CA.der
Password: (注1)
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
認証局証明書は、Interstage管理コンソールでは[システム] > [セキュリティ] > [証明書] > [認証局証明書]で参照できま
す。
注意
CORBAサービスでは、SSLを使用するすべてのCORBAサーバ、CORBAクライアントで同一の認証局の証明書を登録
する必要があります。CORBAサービスクライアントパッケージでの証明書の登録方法については「第14章 CORBAサー
ビスでSSLを利用する方法」を参照してください。
中間CA証明書の登録
認証局によっては、認証局証明書とサイト証明書のほかに、中間CA(中間認証局)証明書が用意されている場合があり
ます。その場合、サイト証明書の登録の前に、認証局から配布されている中間CA証明書を登録してください。
なお、登録方法は認証局証明書の場合と同じです。「認証局の証明書の登録」を参照してください。ただし、中間CA証
明書のニックネームは認証局証明書やサイト証明書と異なるものを指定してください。
サイト証明書の登録
発行された証明書をサイト証明書として登録します。
例
登録例を以下に示します。
>scsenter -n SiteCert -f C:\my_folder\SiteCert.der -o
Password: (注1)
- 169 -
証明書応答がキーストアにインストールされました。
SCS: 情報: scs0104: 証明書を登録しました。
>scsenter -n SiteCert -f /usr/home/my_dir/SiteCert.der -o
Password: (注1)
証明書応答がキーストアにインストールされました。
UX: SCS: 情報: scs0104: 証明書を登録しました。
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
サイト証明書は、Interstage管理コンソールでは[システム] > [セキュリティ] > [証明書] > [サイト証明書]で参照できます。
証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。なお、証明書の更新について
は、「証明書を更新する(証明書の有効期限が切れる)場合」を参照してください。
注意
-nオプションには、CSRを作成したときと同じニックネームを指定してください。
信頼する他のサイトの証明書の登録
信頼する他のサイトの証明書を登録します。
例
登録例を以下に示します。
>scsenter -n OtherSiteCert -f C:\my_folder\OtherSiteCert.der -e
Password: (注1)
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。
>scsenter -n OtherSiteCert -f /usr/home/my_dir/OtherSiteCert.der -e
Password: (注1)
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
信頼する他のサイトの証明書は、Interstage管理コンソールでは[システム] > [セキュリティ] > [証明書] > [認証局証明書]
で参照できます。
CRLの登録
CRLで失効確認をしない場合には、CRLを登録する必要はありません。
CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録するようにしてく
ださい。
- 170 -
例
登録例を以下に示します。
>scsenter -c -f C:\my_folder\CRL.der
Password: (注1)
SCS: 情報: scs0105: CRLを登録しました。
>scsenter -c -f /usr/home/my_dir/CRL.der
Password: (注1)
UX: SCS: 情報: scs0105: CRLを登録しました。
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
注意
Webサービスクライアント、Servletサービス(コンテナ)では、CRLを参照した失効の確認は行われません。
10.4 PKCS#12によるInterstage証明書環境の構築方法
ここでは、PKCS#12データを利用した、Interstage証明書環境の構築方法について説明します。
Interstage証明書環境は以下の手順で構築します。
1. Interstage証明書環境の構築
2. PKCS#12データ、証明書、CRLの登録
なお、Interstage証明書環境を構築した後は、証明書を利用するための環境設定が必要です。詳細は、「10.5 証明書を
利用するための設定」を参照してください。
参照
以降で使用する各コマンドの詳細は、「リファレンスマニュアル(コマンド編)」を参照してください。
注意
コマンドはAdministrators権限をもつユーザで実行してください。
コマンドはスーパユーザで実行してください。
環境変数JAVA_HOMEにJDKまたはJREのインストールパスを設定して実行してください。
- 171 -
10.4.1 Interstage証明書環境の構築
SSLなど、署名や暗号処理を行うには、証明書を取得し、Interstage証明書環境に登録しておく必要があります。
例
ここでは、Interstage証明書環境を構築する実行例を以下に示します。
> scsmakeenv -e
Password: (注1)
SCS: 情報: scs0100: Interstage証明書環境を作成しました。
> scsmakeenv -e -g iscertg
Password: (注1)
UX: SCS: 情報: scs0100: Interstage証明書環境を作成しました。
UX: SCS: 情報: scs0180: Interstage証明書環境の所有グループを設定しました。
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。Retypeと表示されたときには、確認のた
め再入力(Retype)してください。
注意
クライアント機能として動作するサービスで、サーバ認証だけを行う運用の場合は、「10.3 CSRによるInterstage証明書環
境の構築方法」を参照し、scsmakeenvコマンドを使用して、CSRではなくテスト用証明書を作成してください。
10.4.2 PKCS#12データ、証明書、CRLの登録
認証局から取得したPKCS#12データと証明書とCRLをInterstage証明書環境に登録します。
注意
取得したPKCS#12データを移入すると、Interstage証明書環境にサイト証明書とそれに対応する秘密鍵と、認証局証明
書が登録されます。そのため、PKCS#12データを移入後は、Interstage証明書環境のバックアップをするようにしてくだ
さい。バックアップ方法については、「運用ガイド(基本編)」を参照してください。
なお、バックアップしていないときにInterstage証明書環境が破壊された場合、Interstage証明書環境の作成とPKCS#12
データの移入を再度行う必要があります。
認証局の証明書の登録
認証局証明書がPKCS#12データとは別に配布されている場合は、まず認証局の証明書を登録します。
例
登録例を以下に示します。
- 172 -
>scsenter -n CA -f C:\my_folder\CA.der
Password: (注1)
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。
>scsenter -n CA -f /usr/home/my_dir/CA.der
Password: (注1)
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
認証局証明書は、Interstage管理コンソールでは[システム] > [セキュリティ] > [証明書] > [認証局証明書]で参照できま
す。
注意
CORBAサービスでは、SSLを使用するすべてのCORBAサーバ、CORBAクライアントで同一の認証局の証明書を登録
する必要があります。CORBAサービスクライアントパッケージでの証明書の登録方法については「第14章 CORBAサー
ビスでSSLを利用する方法」を参照してください。
Webサービスのセキュリティ機能を利用した通信で連携するすべてのサーバシステム、クライアントシステムで同一の認
証局証明書を登録する必要があります。
PKCS#12データの移入
PKCS#12データで配布されたサイト証明書と秘密鍵をInterstage証明書環境に移入します。
例
移入例を以下に示します。
> scsimppfx -f C:\my_folder\MyCert.p12
Password: (注1)
PKCS#12 Password: (注2)
SCS: 情報: scs0108: PKCS#12(PFX)から認証局証明書を移入しました。<MyCACertificate>
SCS: 情報: scs0109: PKCS#12(PFX)からサイト証明書を移入しました。<MyServerCertificate>
> scsimppfx -f /usr/home/my_dir/MyCert.p12
Password: (注1)
PKCS#12 Password: (注2)
UX: SCS: 情報: scs0108: PKCS#12(PFX)から認証局証明書を移入しました。<MyCACertificate>
UX: SCS: 情報: scs0109: PKCS#12(PFX)からサイト証明書を移入しました。<MyServerCertificate>
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
注2) PKCS#12データを保護するためのパスワードを入力します。なお、入力した文字列はエコーバックされません。
- 173 -
サイト証明書は、Interstage管理コンソールでは[システム] > [セキュリティ] > [証明書] > [サイト証明書]で参照できます。
証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。なお、証明書の更新について
は、「証明書を更新する(証明書の有効期限が切れる)場合」を参照してください。
信頼する他のサイトの証明書の登録
信頼する他のサイトの証明書を登録します。
例
登録例を以下に示します。
>scsenter -n OtherSiteCert -f C:\my_folder\OtherSiteCert.der -e
Password: (注1)
証明書がキーストアに追加されました。
SCS: 情報: scs0104: 証明書を登録しました。
>scsenter -n OtherSiteCert -f /usr/home/my_dir/OtherSiteCert.der -e
Password: (注1)
証明書がキーストアに追加されました。
UX: SCS: 情報: scs0104: 証明書を登録しました。
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
信頼する他のサイトの証明書は、Interstage管理コンソールでは[システム] > [セキュリティ] > [証明書] > [認証局証明書]
で参照できます。
CRLの登録
CRLで失効確認をしない場合には、CRLを登録する必要はありません。
CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録するようにしてく
ださい。
例
登録例を以下に示します。
>scsenter -c -f C:\my_folder\CRL.der
Password: (注1)
SCS: 情報: scs0105: CRLを登録しました。
>scsenter -c -f /usr/home/my_dir/CRL.der
Password: (注1)
UX: SCS: 情報: scs0105: CRLを登録しました。
- 174 -
注1) パスワードを入力します。なお、入力した文字列はエコーバックされません。
注意
Webサービスクライアント、Servletサービス(コンテナ)では、CRLを参照した失効の確認は行われません。
10.5 証明書を利用するための設定
Interstage証明書環境を構築後は、証明書を利用するための設定が必要です。その手順について、以降に説明します。
1. 証明書の利用設定
2. 各サービスの環境設定
3. 認証局の証明書のWebブラウザへの登録(Interstage HTTP ServerでSSLを利用する場合のみ)
10.5.1 証明書の利用設定
Interstage証明書環境に登録されている証明書は、Interstage管理コンソールの[システム] > [セキュリティ] > [証明書] >
[認証局証明書]画面、または、[システム] > [セキュリティ] > [証明書] > [サイト証明書]画面で参照できます。
取得した証明書の内容が正しいか確認してください。また、証明書の有効期間を参照し、証明書の更新が必要となる時
期を確認しておいてください。なお、証明書の更新については、「証明書を更新する(証明書の有効期限が切れる)場合」
を参照してください。
なお、SSL通信を行うためには、SSL定義を作成する必要があります。Interstage管理コンソールの[システム] > [セキュリ
ティ] > [SSL] > [新規作成]タブでSSL定義を作成してください。
また、証明書には有効期間がありますので、確認しておいてください。証明書が期限切れになると、運用や機能が停止
してしまう場合があります。そのため、期限切れになる前に、事前に新しい証明書を入手しておく必要があります。詳細に
ついては「10.6 証明書の管理」を参照してください。
10.5.2 各サービスの環境設定
各サービスにおいてSSLを利用する場合、Interstage管理コンソールを使用してサービスごとにそれぞれの環境設定を行
う必要があります。
以下に、それぞれのサービスで設定するInterstage管理コンソール画面上の項目名を示します。
・ Interstage HTTP Server
[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [環境設定]タブ > [詳細設定[表示]] > [SSL]
注意
バーチャルホストでSSL通信を行う場合、以下の設定画面においてSSLの設定を行います。
- バーチャルホストの新規作成時:
[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [バーチャルホスト] > [新規作成]タブ > [詳細設定
[表示]] > [SSL]
- バーチャルホストの環境設定時
[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [バーチャルホスト] > [バーチャルホスト名] > [[詳細
設定[表示]] > [SSL]
- 175 -
・ CORBAサービス
- 一括操作時以外:
[システム] > [環境設定]タブ > [詳細設定[表示]] > [CORBAサービス詳細設定[表示]] > [SSL]
- 一括操作時:
[システム] > [サーバグループ/サーバを選択] > [環境設定]タブ > [詳細設定[表示]] > [CORBAサービス詳細
設定[表示]] > [SSL]
なお、CORBAワークユニットでSSL通信を行う場合、CORBAワークユニットの設定画面においてもSSLの設定が必
要です。設定画面は以下の個所です。
- [システム] > [ワークユニット] > [ワークユニット名を選択] > [配備]タブ > [詳細設定[表示]] > [CORBAアプリケー
ション[表示]] > [オブジェクトリファレンスへのSSL情報付加]
・ Servletサービス
環境設定の詳細は、「15.1 Servletサービスにおける環境設定」を参照してください。
・ Interstage Webサービス
環境設定の詳細は、「15.4 Interstage Webサービスにおける環境設定」を参照してください。
・ Interstage JMS
[システム] > [リソース] > [JMS] > [イベントチャネル] > [新規作成]タブ > [詳細設定[表示]] > [SSL通信]
注意
Interstage JMSでSSLを利用するには、CORBAサービスのSSL環境設定を行う必要があります。
・ Interstage ディレクトリサービス
環境設定の詳細は、「第17章 Interstage ディレクトリサービスでSSLを利用する方法」を参照してください。
・ イベントサービス
[システム] > [サービス] > [イベントサービス] > [イベントチャネル] > [新規作成]タブ > [詳細設定[表示]] > [SSL通
信]
注意
イベントサービスでSSLを利用するには、CORBAサービスのSSL環境設定を行う必要があります。
ポイント
上記で説明しているInterstage管理コンソールのツリーは、スタンドアロンサーバで運用する場合の階層です。管理サー
バで運用する場合は、「マルチサーバ運用ガイド」の「マルチサーバ環境の構築」-「Interstageの環境構築」を参照して、
操作してください。
参照
Interstage管理コンソールの起動については「運用ガイド(基本編)」の「Interstage管理コンソールによるInterstage運用」を、
Interstage管理コンソールの定義詳細についてはInterstage管理コンソールのヘルプを参照してください。
- 176 -
10.5.3 認証局の証明書のWebブラウザへの登録(Interstage HTTP Server
でSSLを利用する場合のみ)
Interstage HTTP ServerでSSLを利用する場合、Systemwalker PkiMGRを使用した認証局に発行されたサイト証明書を
使用してWebブラウザとSSLを使用した通信を行うためには、サイト証明書を発行した認証局の証明書をWebブラウザに
登録する必要があります。登録方法を以下に示します。
Webサーバ(公開サーバ)を用いて登録
WebサーバのSSLを使用しない公開ページに認証局の証明書を公開し、初回だけWebブラウザに認証局の証明書を登
録してもらいます。
登録後、WebブラウザはSSLを使用したWebサーバのサービスを利用できるようになります。
例
認証局の証明書を登録するためのHTMLの例
<HTML>
<BODY>
<A HREF="cacert.der">認証局の証明書</A>
・
・
・
</BODY>
</HTML>
Webブラウザよりリンクをクリックすることにより、認証局の証明書がWebサーバよりダウンロードされWebブラウザに登録さ
れます。
注意
・ 認証局の証明書のデータタイプは、「application/x-x509-ca-cert」です。以下に示す「データタイプとファイルの拡張
子の関連を指定するファイル」に「application/x-x509-ca-cert」の定義があり、作成した認証局の証明書のファイルの
拡張子が関連付けられていることを確認してください。
Windows(R)システム:C:\Interstage\F3FMihs\servers\(Webサーバ名)\conf\mime.types
Solaris/Linuxシステム:/var/opt/FJSVihs/servers/(Webサーバ名)/conf/mime.types
・ 認証局の証明書は、SSLを使用しないWebサーバを使って取出せるような場所に格納しておいてください。
- 177 -
・ 認証局の証明書をダウンロードするためのWebサーバは、必ずしもSSL通信を行うWebサーバと同じサーバである必
要はありません。
・ 証明書の有効期限切れなどの理由で認証局の証明書を更新した場合は、認証局の古い証明書をいったんWebブ
ラウザ内から削除した後、新しい証明書をWebブラウザにダウンロードして登録し直す必要があります。
10.6 証明書の管理
運用開始後も、証明書や秘密鍵やCRLを管理する必要があります。
そのため、証明書の管理を行うための以下のコマンドを用意しています。
コマンド
説明
scsmakeenv
Interstage証明書環境を構築・変更します。また、CSRやテスト用証明書を作成
することができます。
scsenter
証明書またはCRLをInterstage証明書環境に登録します。
scslistcrl
Interstage証明書環境に登録されているCRLの概要を表示します。
scsdelete
サイト証明書とそれに対応する秘密鍵、または認証局の証明書をInterstage証
明書環境から削除します。
注) 削除すると、それまでの運用ができなくなったり、復旧ができなくなることが
あります。後述の「証明書を削除する場合」を参照し、十分注意して削除してく
ださい。
scsexppfx
Interstage証明書環境からPKCS#12データで移出(取り出し)します。
scsimppfx
Interstage証明書環境にPKCS#12データを移入(登録)します。
scslist
Interstage証明書環境の登録状況を表示します。
以降に示すような場面に、コマンドが利用できます。
参照
各コマンドの書式、使用方法は、「リファレンスマニュアル(コマンド編)」を参照してください。
注意
登録した証明書を利用するには、Interstage管理コンソールでの設定変更や反映が必要です。
証明書を更新する(証明書の有効期限が切れる)場合
有効期限が切れると、運用や機能が停止してしまう場合があります。有効期限が切れる前に、事前に新しい証明書を入
手し、登録しておく必要があります。
新しい証明書を入手したら、使用する証明書を新しい証明書に切りかえるのが一般的な運用です。その際、今まで使用
していた古い証明書は、削除せずにそのまま残しておいてください。
手順は、「10.2 環境の構築方法」を再度実行することになります。
- 178 -
注意
証明書を更新する際、scsmakeenvコマンドでCSRを作成しますが、古い証明書と同じニックネームを指定することはでき
ません。
なお、認証局の運営方針(ポリシー)により、証明書の有効期間よりも早く、認証局証明書や中間CA証明書(中間認証局
証明書)が更新される場合があります。その場合には、各認証局のサイトを確認し、指示された手順に従って新しい認証
局証明書や中間CA証明書を入手してください。それらをscsenterコマンドで登録した後で、新しいサイト証明書を登録す
るようにしてください。その際、新しい認証局証明書や中間CA証明書には、既に登録されている証明書と重ならない、任
意のニックネームが指定できます。
なお、日本ベリサイン株式会社で発行されるセキュア・サーバIDは、2007年3月以降に仕様が変更され、中間CA証明書
も提供されるようになりました。バージョン8.0以前の本製品で作成したInterstage証明書環境を利用していて、サイト証明
書を更新した場合には、中間CA証明書を登録してから新しいサイト証明書を登録してください。本製品の本バージョン
では、「付録B Interstage組み込み証明書一覧」に記載されている証明書を組み込んでいます。本製品に組み込まれて
いる中間CA証明書は、Interstage証明書環境の構築時にscsmakeenvコマンドで-cオプションを指定すれば、認証局証明
書と一緒にInterstage証明書環境に登録されます。
運用開始後に本製品がサポートするパブリック認証局の発行する証明書を利用することになった場合
運用変更により、本製品がサポートするパブリック認証局の発行する証明書も使用することになった場合、scsmakeenvコ
マンドで-cオプションを指定し、CSRを作成してください。
手順は、「10.2 環境の構築方法」 を再度実行することになります。
新しい証明書やCRLを入手した場合
運用開始時よりも利用する証明書が増えた時など、新たに証明書を発行してもらった場合や、新しいCRLを入手した場
合は、scsenterコマンドでInterstage証明書環境に登録してください。
運用開始前にテスト用サイト証明書で動作確認する場合
運用開始前や証明書の発行依頼中に、テスト用サイト証明書でシステム構築し動作確認を行うことができます。
scsmakeenvコマンドでテスト用サイト証明書を作成できます。なお、この場合、テスト用サイト証明書はInterstage証明書環
境に自動的に登録されますので、scsenterコマンドで証明書を登録する必要はありません。
注意
テスト用サイト証明書を利用可能な機能は、以下のとおりです。
・ Interstage HTTP Serverでのサーバ認証
・ CORBAサービスで、クライアント・サーバが同一マシン上にある場合
・ Interstage ディレクトリサービスで、標準データベースを使用するレプリケーション形態のマスタにおいて、レプリケー
ション先ホスト情報でSSLを使用するように定義した場合
なお、証明書はテスト用ですので、実際の運用では利用しないでください。
テスト用の証明書が誤って運用で利用されてしまうことを防ぐために、テストが終わったらテスト用証明書を削除すること
を推奨します。テスト用証明書の認証局証明書も、同様に削除することを推奨します。
- 179 -
日本ベリサイン株式会社のテスト用セキュア・サーバIDを使用する場合
scsmakeenvコマンドで登録した日本ベリサイン株式会社のルート証明書には、「テスト用ルート証明書」は含まれていま
せん。そのため、「テスト用セキュア・サーバID」を使用する場合には、日本ベリサイン株式会社から「テスト用ルート証明
書」を入手し、scsenterコマンドで登録しておいてください。「テスト用ルート証明書」が登録されていないと、証明書検証
に失敗するため、「テスト用セキュア・サーバID」の登録は失敗します。
なお、日本ベリサイン株式会社の発行する証明書は、2007年3月以降に仕様が変更されました。それまではルート証明
書とサイト証明書の2階層となっていましたが、変更後は、ルート証明書と中間CA証明書(中間認証局証明書)とサイト証
明書の3階層の構成となりました。テスト用証明書に関しても同様となるため、テスト用セキュア・サーバIDを使用する場
合には、「テスト用ルート証明書」、「テスト用中間CA証明書」、「テスト用セキュア・サーバID」の3つを、順番に登録してく
ださい。「テスト用ルート証明書」と「テスト用中間CA証明書(中間認証局証明書)」は日本ベリサイン株式会社のサイトか
ら入手してください。
証明書はテスト用ですので、実際の運用では利用しないでください。
テスト用の証明書が誤って運用で利用されてしまうことを防ぐために、テストが終わったらテスト用証明書を削除すること
を推奨します。テスト用証明書の認証局証明書も、同様に削除することを推奨します。
証明書を削除する場合
使用されなくなった証明書を削除することができます。
サイト証明書を削除すると、対応する秘密鍵も削除されます。秘密鍵がなくなると、二度とサイト証明書として登録できな
くなります。また、認証局証明書を削除すると、その認証局の発行した認証局証明書やサイト証明書は使用できなくなります。
十分注意のうえ、scsdeleteコマンドで削除してください。
なお、有効期間が切れて使用されなくなった証明書をそのまま残しておいても問題はありません。
PKCS#12データでバックアップ/リストアする場合
サイト証明書とそれに対応する秘密鍵と、サイト証明書の検証に必要な認証局証明書を、PKCS#12データでバックアッ
プすることができます。その場合、scsexppfxコマンドを使用します。作成されたPKCS#12データはパスワードで暗号化さ
れているため、秘密鍵を安全に保管できます。
バックアップしたPKCS#12データをscsimppfxコマンドでリストアすることができます。また、scsimppfxコマンドで移行する
こともできます。
ただし、PKCS#12データには、信頼する他のサイト証明書を含めることはできません。Interstage証明書環境全体のバッ
クアップをする場合には「運用ガイド(基本編)」を参照してください。
- 180 -
第11章 SMEEコマンドによる証明書/鍵管理環境の構築と
利用
SSL通信を行うために必要なものと、必要な設定について説明します。
本章では、SMEEコマンドによる証明書/鍵管理環境を利用する場合について説明します。
注意
証明書/鍵管理環境を利用するためには、以下の機能がインストールされている必要があります。
・ セキュア通信サービス
FJSVsmee、FJSVsclr、FSUNssllパッケージ
FJSVsme64、FJSVscl64パッケージ
FJSVsmee、FJSVsclrパッケージ
FJSVsmee64、FJSVsclr64パッケージ
証明書/鍵管理環境は以下のサービスそれぞれで構築し、利用することができます。
・ Interstage HTTP Server
・ Interstage HTTP Server 2.2
・ CORBAサービス
・ Servletサービス
・ Interstage JMS
注意
Interstage JMSでSSLを利用するには、CORBAサービスにおいて構築した環境を使用します。
・ イベントサービス
注意
イベントサービスでSSLを利用するには、CORBAサービスにおいて構築した環境を使用します。
・ Interstage ディレクトリサービス
注意
Interstage ディレクトリサービスを利用可能な製品については、「Interstage ディレクトリサービスでSSLを利用する方
法」を参照してください。
・ Interstage シングル・サインオン
注意
Interstage シングル・サインオンのリポジトリサーバ、および認証サーバでSSLを利用するには、Interstage HTTP Server
において構築した環境を使用します。
- 181 -
上記以外のサービスを利用する場合は、「第4部 SSLによる暗号化通信」を参照し、関連する章を参照してください。
11.1 証明書/鍵管理環境で使用できるSSLライブラリについて
11.1.1 2種類のSMEEについて
本製品では、SMEE3ライブラリが使用できます。
使用するSMEEライブラリにより、環境作成時に使用するコマンドが異なります。
・ SMEE3:SMEE 3.x以降のSSLライブラリ
本製品に同梱されています。
UTF-8証明書が使用できます。
秘密鍵管理環境の作成と設定では、makeslot、maketokenコマンドを使用します。
参考
・ SMEE2:SMEE 2.2.x以前のSSLライブラリ
これまでSMEEライブラリが提供してきた機能の互換性を保つために、本製品にも同梱されていますが、使用しません。
UTF-8証明書が使用できません。
秘密鍵管理環境の作成と設定では、SMEE3のときと異なり、mkslt、mktknコマンドを使用します。
SMEE2で既に作成済の環境は、SMEE3でも利用することができます。なお、SMEE2からSMEE3環境への移行につ
いては、「11.5 証明書/鍵管理環境の移行方法」を参照してください。
本書では上記ライブラリをSMEE2およびSMEE3という用語で記載しています。
11.1.2 証明書/鍵管理環境について
SSL(Secure Socket Layer)使用時の動作環境である証明書/鍵管理環境について説明します。
証明書と秘密鍵
SSLを使用するためには、認証局の証明書(発行局証明書)、サイト証明書、それに対応する秘密鍵が必要となります。
また、証明書の有効性を確認するために、CRL(証明書失効リスト)が利用されます。
X.509またはRFC2459に準拠し、RSA暗号アルゴリズムの鍵が使用されている証明書・CRLが使用できます。
・ 認証局の証明書(発行局証明書)
認証局(発行局)が発行した証明書を保証するための、認証局自身の証明書です。CA証明書ともいいます。
認証局が配下の認証局に証明書を発行することがあります。この場合、認証局自身の証明書に加え、配下の認証
局に発行した証明書も、認証局の証明書と呼びます。また、配下の認証局に発行した証明書を特に中間CA証明書
と呼びます。
・ サイト証明書
サーバ、クライアントの身元を保証するために、認証局が発行した証明書です。
利用者(サーバ/クライアント/サービス)に関する情報と認証局に関する情報が含まれています。
- 182 -
サイト証明書は、必ずこれを発行した認証局の証明書を組み合わせて使用する必要があります。
証明書には有効期間が設定されています。有効期間を過ぎた証明書は無効と判断され、利用することができなくな
ります。有効期間を過ぎる前に、証明書を更新し、新しい証明書を入手する必要があります。詳細については、「証
明書を更新する(証明書の有効期限が切れる)場合」を参照してください。
・ サイト証明書に対応する秘密鍵
サイト証明書の中に含まれている公開鍵と対になる鍵です。
注意
秘密鍵をなくすと、対応するサイト証明書は使用できなくなります。そのため、必ずバックアップするようにしてくださ
い。
・ CRL(証明書失効リスト)
CRLは認証局が発行し、その認証局が発行したが無効になった証明書の一覧が含まれています。証明書を無効に
する(失効する)のは、秘密鍵が盗まれた場合や、利用資格がなくなった場合、などがあります。
SSL通信で利用する場合には、接続先のサイトやクライアントの証明書が無効になっていないかを確認する場合に
参照されます。
CRLは定期的に発行され、認証局の管理しているWebサーバやディレクトリサーバなどに公開されます。公開方法
は、認証局の運用によって異なるため、認証局に確認してください。なお、証明書の中に公開場所が記載されてい
る場合もあります。
認証局からの配布や、バックアップなどの手段として、PKCS#12データが用いられることがあります。PKCS#12データに
は、証明書とそれに対応する秘密鍵と、その証明書の検証に必要な証明書が含まれており、パスワード文字列で暗号化
されています。
証明書/鍵管理環境では、以下のPKCS#12データを移入する(登録する)ことができます。
・ Systemwalker PkiMGRで作成されたPKCS#12データ
・ Interstage証明書環境からscsexppfxコマンドで移出された(取り出された)PKCS#12データ
・ 証明書/鍵管理環境からcmmkpfxコマンドで移出されたPKCS#12データ
また、証明書/鍵管理環境から移出されたPKCS#12データは、以下の環境に移入することができます。
・ Interstage証明書環境(scsimppfxコマンドを利用)
・ 証明書/鍵管理環境(cmentpfxコマンドを利用)
認証局(証明書発行局)
証明書を作成するためには、認証局(証明書発行局)が必要です。
証明書/鍵管理環境では、以下で発行された証明書・CRLをサポートしています。
・ プライベート認証局(社内用など、利用範囲を限定した証明書発行サービス)
Systemwalker PkiMGR
(インターネット/イントラネットで証明書管理を実現する、当社のソフトウェア)
・ パブリック認証局(信頼された第三者として証明書発行サービスを行う認証局)
日本ベリサイン株式会社
- セキュア・サーバID
- セキュア・サーバID EV(EV SSL証明書)
日本認証サービス株式会社
- 183 -
- SecureSign(R)ADサーバサービス
サイバートラスト株式会社
- SureServer for SSL証明書
GMOグローバルサイン株式会社
- クイック認証SSL
- 企業認証SSL
政府認証基盤(GPKI)
- 「政府認証基盤相互運用性仕様書」で定める証明書プロファイルの証明書
Systemwalker PkiMGRについては、Systemwalker PkiMGRのカタログやマニュアルを参照してください。
参考
上記以外の認証局が発行する証明書については、以下の条件を満たす証明書を扱うことができます。
しかし、証明書に設定される情報、証明書の申請方法、入手方法などによって導入できない場合もあります。
その場合は、技術員に問い合わせてください。
・ X.509またはRFC2459に準拠
・ RSA暗号アルゴリズムを利用し、その鍵長が4096bit以下
・ ハッシュアルゴリズムには下記を利用
- MD5
- SHA-1
- SHA-256
- SHA-384
- SHA-512
証明書/鍵管理環境のイメージ
証明書/鍵管理環境は以下のようになっています。
- 184 -
秘密鍵の管理方法
秘密鍵管理では、秘密鍵をスロット、トークンの概念で扱います。
スロットは暗号装置を装着する物理的な口を抽象化したものであり、トークンとはスロットに装着する暗号装置を抽象化し
たものです。
1つのスロットには1つのトークンが割り当てられますが、1つのトークンには複数の秘密鍵を登録できます。
このスロット、トークン、秘密鍵の関係を以下に示します。
スロットの情報を処理する操作にはスロットパスワードが、トークンの情報を処理する操作には、SO-PIN、またはユーザ
PINが必要であり、それぞれスロットの生成時、トークンの生成時に設定されます。なお、SO-PINは、設定だけであり通常
の運用では使用しません。
ユーザPINは、トークン内の秘密鍵にアクセスする際(cmmakecsrコマンドで秘密鍵を生成する場合やcmenterkeyコマンド
で秘密鍵を登録する場合)に必要となる認証のための情報です。なお、ユーザPINはトークン単位で存在するため、1つ
- 185 -
のトークンに複数の秘密鍵が登録されている場合には、1つのユーザPINで複数の秘密鍵情報にアクセスできることにな
ります。
スロット、トークンに関するパスワードとPINの関係を以下に示します。
種別
個数
主な用途
スロットパスワード
スロットに1個
トークンの生成
SO-PIN
トークンに1個
-
ユーザPIN
トークンに1個
秘密鍵アクセス
(cmmakecsr、cmenterkey)
11.2 証明書/鍵管理環境の構築方法
以下の手順で構築します。
1. 証明書/鍵管理環境の作成
1. 管理ディレクトリの作成
2. 秘密鍵管理環境の作成と設定
3. 証明書/CRL管理環境の作成
2. 秘密鍵の作成と証明書の取得
1. CSR(証明書取得申請書)の作成(同時に秘密鍵を作成)
2. 証明書の発行依頼
3. 証明書の取得
3. 証明書とCRLの登録
1. 認証局の証明書(発行局証明書)の登録
2. サイト証明書の登録
3. CRLの登録
参照
以降で使用する各コマンドの詳細は、「リファレンスマニュアル(コマンド編)」を参照してください。
SMEEの各コマンドは、以下のディレクトリに格納されています。
・ SMEE3の秘密鍵管理環境作成/設定コマンド(makeslot、maketoken)
- Windows Server(R) x64 Editionsではない場合
%ProgramFiles%\SecurecryptoLibraryR\PROGRAM\bin 配下
- Windows Server(R) x64 Editionsの場合
%ProgramFiles%\SecurecryptoLibraryR64\PROGRAM\bin 配下
- 186 -
・ 上記以外
%CommonProgramFiles%\Fujitsu Shared\F3FSSMEE 配下
・ SMEE3の秘密鍵管理環境作成/設定コマンド(makeslot、maketoken)
/opt/FJSVsclr/bin 配下
・ 上記以外
/opt/FJSVsmee/bin 配下
・ SMEE3の秘密鍵管理環境作成/設定コマンド(makeslot、maketoken)
/opt/FJSVscl64/bin 配下
・ 上記以外
/opt/FJSVsme64/bin 配下
・ SMEE3の秘密鍵管理環境作成/設定コマンド(makeslot、maketoken)
/opt/FJSVsclr64/bin 配下
・ 上記以外
/opt/FJSVsmee64/bin 配下
CORBAサービスにおいて、一般ユーザ権限でSSL連携機能を使用するCORBAアプリケーションを実行する場合は、
CORBAアプリケーションを実行するユーザ権限で手順1~3の操作を行ってください。管理者権限で証明書/鍵管理環
境を作成すると、一般ユーザで環境をアクセスすることができないため、SSL連携機能を使用することができません。
一般ユーザ権限で証明書/鍵管理環境を作成すると、環境を構築したユーザ権限で環境へのアクセスを行うことができ
るためSSL連携機能を使用することが可能となります。但し、環境を構築したユーザ以外の一般ユーザは環境へのアク
セスを行う権限が無いため、SSL連携機能を使用することができません。
複数の一般ユーザがSSL連携機能を使用する場合、証明書/鍵管理環境のアクセス権限を変更する必要があります。ア
クセス権限についての詳細は、「第14章 CORBAサービスでSSLを利用する方法」を参照してください。
Interstage HTTP Serverにおいてクライアント認証を行う場合、スーパユーザ権限以外のユーザが手順1~3の操作を行っ
てください(セキュリティ上の配慮によりWebサーバのプロセスをスーパユーザ権限以外で設定する必要があるため)。
また、このユーザ、グループをInterstage HTTP Serverの環境定義ファイルに設定します。Interstage HTTP Serverの環境
設定については、「Interstage HTTP Serverの環境設定」を参照してください。
11.2.1 証明書/鍵管理環境の作成
SSL使用時の動作環境である証明書/鍵管理環境を作成します。
管理ディレクトリの作成
証明書、秘密鍵管理には4つのディレクトリが必要なため、OS提供のコマンド等でディレクトリを作成します。
例
作成例を以下に示します。
- 187 -
mkdir
mkdir
mkdir
mkdir
#
#
#
#
d:\sslenv\slot
d:\sslenv\sslcert
d:\sslenv\sslcert\cert
d:\sslenv\sslcert\crl
mkdir
mkdir
mkdir
mkdir
/export/home/slot
/export/home/sslcert
/export/home/sslcert/cert
/export/home/sslcert/crl
スロット情報ディレクトリ
運用管理ディレクトリ
証明書管理ディレクトリ
CRL管理ディレクトリ
スロット情報ディレクトリ
運用管理ディレクトリ
証明書管理ディレクトリ
CRL管理ディレクトリ
秘密鍵管理環境の作成と設定
秘密鍵の管理に必要な秘密鍵管理環境の作成と設定を行います。
例
作成例を以下に示します。
makeslot -d d:\sslenv\slot
maketoken -d d:\sslenv\slot -s 1 -t Token01
スロット情報ディレクトリの生成と初期化
トークンの初期設定
# makeslot -d /export/home/slot
# maketoken -d /export/home/slot -s 1 -t Token01
スロット情報ディレクトリの生成と初期化
トークンの初期設定
証明書/CRL管理環境の作成
証明書およびCRLの管理に必要な証明書/CRL管理環境の作成と設定を行います。
本製品がサポートするパブリック認証局の証明書を使用する場合は、ルート証明書(CA証明書)の登録を行います。
例
作成例を以下に示します。
プライベート認証局(Systemwalker PkiMGR)の証明書を使用する場合
cmmkenv d:\sslenv\sslcert -todir d:\sslenv\sslcert\cert,d:\sslenv\sslcert\crl
証明書/CRL管理環境の作成
cmsetenv d:\sslenv\sslcert -sd d:\sslenv\slot -jc 1
証明書/CRL管理環境の設定
# cmmkenv /export/home/sslcert -todir /export/home/sslcert/cert,/export/home/sslcert/crl
証明書/CRL管理環境の作成
# cmsetenv /export/home/sslcert -sd /export/home/slot -jc 1
証明書/CRL管理環境の設定
- 188 -
本製品がサポートするパブリック認証局の証明書(組み込み証明書一覧ファイル「contractcertlist」)を使用する場合
cmsetenvコマンドで、ルート証明書(CA証明書)を登録します。
cmmkenv d:\sslenv\sslcert -todir d:\sslenv\sslcert\cert,d:\sslenv\sslcert\crl
証明書/CRL管理環境の作成
cmsetenv d:\sslenv\sslcert -sd d:\sslenv\slot -jc 1 -rc C:\Interstage\IS_cert\contractcertlist
証明書/CRL管理環境の設定
# cmmkenv /export/home/sslcert -todir /export/home/sslcert/cert,/export/home/sslcert/crl
証明書/CRL管理環境の作成
# cmsetenv /export/home/sslcert -sd /export/home/slot -jc 1 -rc /etc/opt/FJSVisas/contractcertlist
証明書/CRL管理環境の設定
注意
証明書/CRL管理環境の作成完了後は、証明書/CRL管理環境のすべてのディレクトリ名を変更することはできません。
11.2.2 秘密鍵の作成と証明書の取得
認証局(証明書発行局)に証明書の発行を依頼し、証明書を取得します。
証明書取得申請書の作成(同時に秘密鍵を作成)
認証局へ証明書の発行を依頼するための、証明書取得申請書を作成します。
以下のコマンドを実行すると、同時に秘密鍵を作成します。
注意
秘密鍵を保護するために、証明書を入手するまでの間、証明書/鍵管理環境のファイルをバックアップしておいてください。
なお、バックアップしていないときに証明書/鍵管理環境が破壊された場合、秘密鍵がなくなってしまうため、証明書/鍵管
理環境の作成と、証明書取得申請書の作成を再度行うことになります。
例
作成例を以下に示します。
cmmakecsr -ed d:\sslenv\sslcert -sd d:\sslenv\slot -f TEXT -c jp
-cn "www.InterstageApplicationServer.com" -o fujitsu -ou 4-1f -l "Shizuoka-shi" -s "Shizuoka-ken"
-kt RSA -kb 2048 -tl Token01 -of d:\sslenv\myCertRequest
ENTER TOKEN PASSWORD=> * (注)
# cmmakecsr -ed /export/home/sslcert -sd /export/home/slot -f TEXT -c jp
-cn "www.InterstageApplicationServer.com" -o fujitsu -ou 4-1f -l "Shizuoka-shi" -s "Shizuoka-ken"
- 189 -
-kt RSA -kb 2048 -tl Token01 -of /export/home/myCertRequest
ENTER TOKEN PASSWORD=> * (注)
注) 本文字列が表示された場合は、ユーザPINを入力してください。なお、入力される文字はエコーバックされません。
証明書の発行依頼
証明書取得申請書を認証局へ送付し、サイト証明書の発行を依頼します。
依頼方法は認証局に従ってください。
証明書の取得
認証局により署名された証明書を取得します。
取得方法は認証局に従ってください。
11.2.3 証明書とCRLの登録
取得した証明書とCRLを証明書/CRL管理環境に登録します。
登録したあとは、証明書/鍵管理環境をバックアップするようにしてください。バックアップ方法は、「運用ガイド(基本編)」
の各サービスにおけるバックアップ方法を参照するか、または、「11.5 証明書/鍵管理環境の移行方法」の「1. 既存の資
源(秘密鍵、証明書)を取り出す」を参照してください。
認証局の証明書(発行局証明書)の登録
取得した認証局の証明書を証明書/CRL管理環境へ登録します。
運用で使用する証明書(サイト証明書やクライアント証明書)を発行した認証局の証明書は、すべて登録してください。な
お、本製品がサポートするパブリック認証局の証明書は、cmsetenvコマンドで登録してください。
証明書は、ルート証明書から順に登録してください。
例
登録例を以下に示します。
認証局の証明書がd:\sslenv\ca-cert.derに格納されている場合の実行例を示します。
cmentcert d:\sslenv\ca-cert.der -ed d:\sslenv\sslcert -ca -nn CACert
認証局の証明書が/export/home/ca-cert.derに格納されている場合の実行例を示します。
# cmentcert /export/home/ca-cert.der -ed /export/home/sslcert -ca -nn CACert
注意
CORBAサービスでは、SSLを使用するすべてのCORBAサーバ、CORBAクライアントで同一の認証局の証明書を登録
する必要があります。
- 190 -
中間CA証明書(中間認証局証明書)の登録
認証局によっては、認証局証明書とサイト証明書のほかに、中間CA証明書(中間認証局証明書)が用意されている場合
がありますので、各認証局に確認し、中間CA証明書(中間認証局証明書)を入手してください。その場合、サイト証明書
の登録の前に入手した中間CA証明書(中間認証局証明書)を登録してください。
なお、登録方法は認証局証明書の場合と同じです。「認証局の証明書(発行局証明書)の登録」を参照してください。
サイト証明書の登録
認証局から発行されたサイト証明書を証明書/CRL管理環境へ登録します。
登録後は、証明書の有効期間を参照し、証明書の更新が必要となる時期を確認しておいてください。有効期間は、
cmdspcertコマンドで確認できます。コマンドの詳細は、「リファレンスマニュアル(コマンド編)」を参照してください。なお、
証明書の更新については、「証明書を更新する(証明書の有効期限が切れる)場合」を参照してください。
例
登録例を以下に示します。
サイト証明書がd:\sslenv\my_site_cert.derに格納されている場合の実行例を示します。
cmentcert d:\sslenv\my_site_cert.der -ed d:\sslenv\sslcert -own -nn MySiteCert
サイト証明書が/export/home/my_site_cert.derに格納されている場合の実行例を示します。
# cmentcert /export/home/my_site_cert.der -ed /export/home/sslcert -own -nn MySiteCert
注意
CORBAサービスでは、クライアント認証を行わない場合は、CORBAクライアントにおいてサイト証明書の登録を行う必要
はありません。
CRLの登録
CRLで失効確認をしない場合には、CRLを登録する必要はありません。
CRLで失効確認をする場合には、CRLは定期的に発行されるため、定期的に最新のCRLを取得し登録するようにしてく
ださい。
例
登録例を以下に示します。
CRLがd:\sslenv\crl.derに格納されている場合の実行例を示します。
cmentcrl d:\sslenv\crl.der -ed d:\sslenv\sslcert
CRLが、/export/home/crl.derに格納されている場合の実行例を示します。
- 191 -
# cmentcrl /export/home/crl.der -ed /export/home/sslcert
11.3 認証局の証明書(発行局証明書)のWebブラウザへの登録
Systemwalker PkiMGRを使用した認証局(証明書発行局)に発行されたサイト証明書を使用してWebブラウザとSSLを使
用した通信を行うためには、サイト証明書を承認した認証局の証明書をWebブラウザに登録する必要があります。登録
方法を以下に示します。
Webサーバ(公開サーバ)を用いて登録
WebサーバのSSLを使用しない公開ページに認証局の証明書を公開し、初回だけWebブラウザに認証局の証明書を登
録してもらいます。
登録後、WebブラウザはSSLを使用したWebサーバのサービスを利用できるようになります。
例
認証局の証明書を登録するためのHTMLの例
<HTML>
<BODY>
<A HREF="cacert.der">認証局の証明書</A>
・
・
・
</BODY>
</HTML>
Webブラウザよりリンクをクリックすることにより、認証局の証明書がWebサーバよりダウンロードされWebブラウザに登録さ
れます。
- 192 -
注意
・ 認証局の証明書のデータタイプは、「application/x-x509-ca-cert」です。以下に示す「データタイプとファイルの拡張
子の関連を指定するファイル」に「application/x-x509-ca-cert」の定義があり、作成した認証局の証明書のファイルの
拡張子が関連付けられていることを確認してください。
- Interstage HTTP Serverの場合
Windows(R)システム:C:\Interstage\F3FMihs\servers\(Webサーバ名)\conf\mime.types
Solaris/Linuxシステム:/var/opt/FJSVihs/servers/(Webサーバ名)/conf/mime.types
・ 認証局の証明書は、SSLを使用しないWebサーバを使って取り出せるような場所に格納しておいてください。
・ 認証局の証明書をダウンロードするためのWebサーバは、必ずしもSSL通信を行うWebサーバと同じサーバである必
要はありません。
・ 証明書の有効期限切れなどの理由で認証局の証明書を更新した場合は、認証局の古い証明書をいったんWebブ
ラウザ内から削除した後、新しい証明書をWebブラウザにダウンロードして登録し直す必要があります。
11.4 クライアント証明書の運用
SSLバージョン3.0を使用してクライアント認証をするためには、Webブラウザにクライアント証明書が必要です。
また、そのクライアント証明書を発行した認証局の証明書(発行局証明書)を証明書/CRL管理環境に登録する必要があ
ります。
クライアント認証を行う場合は、SSL環境定義ファイルで以下のように指定してください。
・ SSLバージョン(version)で、「3」または「2 3」を指定する。さらに、
・ クライアント証明書の検証方法(clcertcheck)で「ON」を指定する。
11.4.1 クライアント証明書の取得
クライアント証明書は、認証局(証明書発行局)に発行を依頼し取得します。
Systemwalker PkiMGRを使用するプライベート認証局のクライアント証明書の発行については、Systemwalker PkiMGR
のマニュアルを参照してください。
本製品がサポートするパブリック認証局のクライアント証明書の発行については、それぞれの認証局にお問い合わせく
ださい。
11.4.2 クライアントCA証明書の登録
- 193 -
プライベート認証局(Systemwalker PkiMGR)で発行するクライアント証明書を使用する場合
クライアント証明書の認証局の証明書(発行局証明書)(クライアントCA証明書)を証明書/CRL管理環境に登録します。
証明書は、ルート証明書から順に登録してください。
例
登録例を以下に示します。
cmentcert d:\sslenv\clca-cert.cer -ed d:\sslenv\sslcert -ca -nn ClientCA
# cmentcert /export/home/clca-cert.cer -ed /export/home/sslcert -ca -nn ClientCA
本製品がサポートするパブリック認証局のクライアント証明書を使用する場合
証明書/CRL管理環境設定時に、本製品がサポートするパブリック認証局のルート証明書(CA証明書)を登録します。
例
登録例を以下に示します。
cmsetenv d:\sslenv\sslcert -sd d:\sslenv\slot -jc 1 -rc C:\Interstage\IS_cert\contractcertlist
# cmsetenv /export/home/sslcert -sd /export/home/slot -jc 1 -rc /etc/opt/FJSVisas/contractcertlist
参照
コマンドの詳細は、「リファレンスマニュアル(コマンド編)」を参照してください。
11.5 証明書/鍵管理環境の移行方法
使用するSSLライブラリをSMEE2からSMEE3に変更する場合、既存の証明書/鍵管理環境をそのまま使用することがで
きます。
しかし、UTF-8証明書を使用する場合は証明書/鍵管理環境の移行が必要です。
証明書/鍵管理環境の移行は、既存資源からPKCS#12(PFX)データを作成し、そのPKCS#12(PFX)データを新規環境に
登録することにより行います。
移行手順を以下に示します。
1. 既存の資源(秘密鍵、証明書)を取り出す
- 194 -
2. 証明書/鍵管理環境を作成する
3. 1.で取り出した資源を、2.で作成した環境に登録する
4. ユーザPINを登録する
参照
下記説明中の各コマンドの詳細は、「リファレンスマニュアル(コマンド編)」を参照してください。
1. 既存の資源(秘密鍵、証明書)を取り出す
資源の取り出しは、PKCS#12(PFX)データ作成コマンドで行います。
cmmkpfx d:\sslenv\my_site_pfx.pfx -ed d:\sslenv\sslcert -sn 1 -nn MySiteCert
# cmmkpfx /export/home/my_site_pfx.pfx -ed /export/home/sslcert -sn 1 -nn MySiteCert
PKCS#12(PFX)データ作成コマンドでは、クライアントCA証明書、CRLの取り出しはできません。
クライアントCA証明書、CRLが必要な場合は、通常の方法で登録しなおしてください。
PKCS#12(PFX)データ作成時には、「サイト証明書」のニックネームを指定してください。PKCS#12(PFX)データ作成コマ
ンドは、サイト証明書、その秘密キー、サイト証明書の認証局の証明書(発行局証明書)(ルートCA証明書までの一式)を
取り出し、PKCS#12(PFX)データを作成します。
2. 証明書/鍵管理環境を作成する
証明書/鍵管理環境を作成します。
詳細は、「11.2.1 証明書/鍵管理環境の作成」を参照してください。
3. 1.で取り出した資源を、2.で作成した環境に登録する
資源の登録は、PKCS#12(PFX)データ登録コマンドで行います。
ここでは、新しく作成した環境を、d:\sslnewenv\sslcertとします。
cmentpfx d:\sslenv\my_site_pfx.pfx -ed d:\sslnewenv\sslcert -sn 1 -nn MyNewSiteCert -entca
ここでは、新しく作成した環境を、/export/home/new/sslcertとします。
# cmentpfx /export/home/my_site_pfx.pfx -ed /export/home/new/sslcert -sn 1 -nn MyNewSiteCert -entca
- 195 -
PKCS#12(PFX)データ登録時には、PKCS#12(PFX)データ内にCA証明書が含まれているため、「-entca」を指定してくだ
さい。これにより、PKCS#12(PFX)データ作成時に取り出した、サイト証明書、その秘密キー、サイト証明書の認証局の証
明書(ルートCA証明書までの一式)を同時に登録することができます。
4. ユーザPINを登録する
ユーザPINを、ユーザPIN管理ファイルに登録します。
11.6 証明書/鍵管理環境の管理
利用者の証明書には有効期限があるため、証明書の再取得、再登録が必要となります。
そのため、証明書の管理を行うための以下のコマンドを用意しています。
コマンド
説明
cmlistcert
証明書/鍵管理環境に登録されている証明書の一覧を表示します。
cmdspcert
指定された証明書の内容を表示します
cmlistcrl
証明書/鍵管理環境に登録されているCRLの一覧を表示します。
cmrmcert
証明書/鍵管理環境に登録されている証明書を削除します。
参照
各コマンドの書式、使用方法は、「リファレンスマニュアル(コマンド編)」を参照してください。
証明書を更新する(証明書の有効期限が切れる)場合
有効期限が切れると、運用や機能が停止してしまう場合があります。有効期限が切れる前に、事前に新しい証明書を入
手し、登録しておく必要があります。
新しい証明書を入手したら、使用する証明書を新しい証明書に切りかえるのが一般的な運用です。その際、今まで使用
していた古い証明書は、削除せずにそのまま残しておいてください。
手順は、「11.2.2 秘密鍵の作成と証明書の取得」から再度実行することになります。その際、古い証明書と同じニックネー
ムは指定できません。
本製品の本バージョン以前の組み込み証明書一覧ファイルを登録した証明書/鍵管理環境を利用していて、サイト証明
書を更新する場合、本バージョンでは組み込み証明書一覧ファイルには「付録B Interstage組み込み証明書一覧」で記
載されている認証局証明書が含まれており、それらの証明書に更新してから新しいサイト証明書を登録してください。既
存の証明書/鍵管理環境に対して、本製品で「-rc」オプションを指定してcmsetenvコマンドを再実行すれば、それらの証
明書に更新されます。
なお、認証局の運営方針(ポリシー)により、証明書の有効期間よりも早く、認証局証明書や中間CA証明書(中間認証局
証明書)が更新または追加される場合があります。その場合には、各認証局のサイトを確認し、指示された手順に従って
新しい認証局証明書や中間CA証明書を入手してください。それらをcmentcertコマンドで「-ca」オプションを指定して登
録した後で、新しいサイト証明書を登録するようにしてください。その際、新しい認証局証明書や中間CA証明書には、既
に登録されている証明書と重ならない、任意のニックネームが指定できます。
日本ベリサイン株式会社のテスト用セキュア・サーバIDを登録する場合には
cmsetenvコマンドで登録した日本ベリサイン株式会社のルート証明書には、「テスト用セキュア・サーバID」のルート証明
書は含まれていません。そのため「テスト用セキュア・サーバID」を登録する場合には、日本ベリサイン株式会社から「テ
スト用セキュア・サーバID」のルート証明書と必要な中間CA証明書(中間認証局証明書)を入手し、cmentcertコマンドで
登録しておいてください。
- 196 -
その際、「テスト用セキュア・サーバID」のルート証明書、必要な中間CA証明書、「テスト用セキュア・サーバID」の順番で
登録してください。「テスト用セキュアサーバID」のルート証明書と必要な中間CA証明書(中間認証局証明書)が登録され
ていないと、証明書検証に失敗するため、「テスト用セキュア・サーバID」の登録は失敗します。
なお、テスト用証明書はテスト用ですので、実際の運用では利用しないでください。
テスト用の証明書が誤って運用で利用されてしまうことを防ぐために、テストが終わったらテスト用証明書を削除すること
を推奨します。テスト用証明書の認証局証明書も、同様に削除することを推奨します。
- 197 -
第12章 Interstage HTTP ServerでSSLを利用する方法
本章では、Interstage HTTP Serverにおいて、SSLを利用する方法について説明します。
Interstage HTTP Serverでは、暗号や署名処理を行うために必要な証明書や秘密鍵を管理する環境として以下の環境を
使用できます。運用に応じて、以下のいずれかのSSL環境を構築してください。
■Interstage証明書環境のSSL通信(推奨)
Interstage証明書環境のSSL通信を利用する場合は、以下の環境設定を行います。詳細については、以降の「12.1
Interstage証明書環境のSSL通信」を参照してください。
1. Interstage証明書環境の構築
2. Interstage HTTP Serverの環境設定
■SMEEコマンドで構築する証明書/鍵管理環境のSSL通信
SMEEコマンドで構築する証明書/鍵管理環境のSSL通信を利用する場合は、以下の環境設定を行います。詳細につい
ては、以降の「12.2 SMEEコマンドで構築する証明書/鍵管理環境のSSL通信」を参照してください。
1. 証明書/鍵管理環境の構築
2. ユーザPINの登録
3. Interstage HTTP Serverの環境設定
12.1 Interstage証明書環境のSSL通信
Interstage証明書環境のSSL通信を利用する場合の環境設定について説明します。
1. Interstage証明書環境の構築
2. Interstage HTTP Serverの環境設定
12.1.1 Interstage証明書環境の構築
Interstage証明書環境を構築します。Interstage証明書環境構築の詳細については、「第10章 Interstage証明書環境の構
築と利用」を参照してください。
12.1.2 Interstage HTTP Serverの環境設定
Interstage管理コンソールを使用して、Interstage HTTP ServerのSSL環境を設定します。
SSLは、以下のような運用を行うことができます。
・ Webサーバ全体のSSL定義
Webサーバ全体のSSL定義です。
・ バーチャルホスト内のSSL定義
バーチャルホストごとのSSL定義です。本設定により、SSLを使用しない通信とSSLを使用する通信を同時に運用で
きます。
Interstage管理コンソールを使用したInterstage HTTP ServerのSSL環境の設定手順について、以下に示します。詳細に
ついては、Interstage管理コンソールのヘルプを参照してください。
- 198 -
■Webサーバ全体のSSL定義
1. Interstage管理コンソールを起動してログインします。
2. Interstage管理コンソールの以下の画面で設定します。
- [システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [環境設定]タブ > [詳細設定[表示]] > [SSL]
- [SSLの使用]で、「使用する」を選択します。
- [SSL定義]で、使用するSSL定義名を選択します。
■バーチャルホスト内のSSL定義
1. Interstage管理コンソールを起動してログインします。
2. Interstage管理コンソールの以下の画面で設定します。
- バーチャルホストの新規作成を行う場合
[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [バーチャルホスト] > [新規作成]タブ > [詳細設
定[表示]] > [SSL]
- [SSLの使用]で、「使用する」を選択します。
- [SSL定義]で、使用するSSL定義名を選択します。
- バーチャルホストの環境設定を行う場合
[システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [バーチャルホスト] > [バーチャルホスト名] > [[詳
細設定[表示]] > [SSL]
- [SSLの使用]で、「使用する」を選択します。
- [SSL定義]で、使用するSSL定義名を選択します。
注意
サイト証明書および認証局の証明書(発行局証明書)には、有効期限があります。この有効期限が切れた状態でWeb
サーバ運用を続行した場合、エラーメッセージ「ihs00504」/「ihs00505」が出力され、Webサーバの起動処理/通信処
理を行うことができません。Interstage管理コンソールの以下の画面で証明書の有効期間を確認し、有効期限が切れる前
に新しい証明書を取得して登録してください。
・ [システム] > [セキュリティ] > [証明書] > [認証局証明書]画面
・ [システム] > [セキュリティ] > [証明書] > [サイト証明書]画面
証明書の登録方法については、「10.6 証明書の管理」の「証明書を更新する(証明書の有効期限が切れる)場合」を参照
してください。登録後は、Interstage HTTP Serverを再起動する必要があります。
なお、サイト証明書および認証局の証明書(発行局証明書)の有効期限が切れる前に、証明書の有効日数を通知する
警告メッセージ「ihs00536」/「ihs00537」を、出力タイミングを指定して出力させることができます。
Interstage HTTP Serverの環境定義ファイル(httpd.conf)の定義例を以下に示します。
例)以下のタイミングで、サイト証明書および認証局の証明書(発行局証明書)の有効日数を通知する警告メッセージ
「ihs00536」/「ihs00537」を出力させる場合
・ 証明書の有効期限が切れる15日前から有効期間満了日までの間のWebサーバ起動時
・ 証明書の有効期限が切れる10日前の9:30(Webサーバ運用中)
・ 証明書の有効期限が切れる3日前の9:30(Webサーバ運用中)
- 199 -
・ 証明書の有効期限が切れる1日前の9:30(Webサーバ運用中)
SSLCertExpire All 15 10,3,1:093000
参考
関連ディレクティブ
・ SSLCertExpire
12.2 SMEEコマンドで構築する証明書/鍵管理環境のSSL通信
SMEEコマンドで構築する証明書/鍵管理環境のSSL通信を利用する場合の環境設定について説明します。
1. 証明書/鍵管理環境の構築
2. ユーザPINの登録
3. Interstage HTTP Serverの環境設定
12.2.1 証明書/鍵管理環境の構築
以下の手順でSSL環境を設定します。
1. 証明書/鍵管理環境の作成
詳細は、「SMEEコマンドによる証明書/鍵管理環境の構築と利用」の「11.2.1 証明書/鍵管理環境の作成」を参照し
てください。
2. 秘密鍵の作成と証明書の取得
詳細は、「SMEEコマンドによる証明書/鍵管理環境の構築と利用」の「11.2.2 秘密鍵の作成と証明書の取得」を参
照してください。
3. 証明書とCRLの登録
詳細は、「SMEEコマンドによる証明書/鍵管理環境の構築と利用」の「11.2.3 証明書とCRLの登録」を参照してくだ
さい。
4. ユーザPINの登録
5. Interstage HTTP Serverの環境定義ファイルの設定
6. 認証局の証明書(発行局証明書)のWebブラウザへの登録
詳細は、「SMEEコマンドによる証明書/鍵管理環境の構築と利用」の「11.3 認証局の証明書(発行局証明書)のWeb
ブラウザへの登録」を参照してください。
注意
クライアント認証を行う場合は、スーパユーザ権限以外のユーザが手順1~3の操作を行ってください(セキュリティ上の配
慮によりWebサーバのプロセスをスーパユーザ権限以外で設定する必要があるため)。
また、このユーザ、グループを手順5でInterstage HTTP Serverの環境定義ファイルに設定してください。
以降に、Interstage HTTP Serverの手順4、手順5について説明します。
- 200 -
12.2.2 ユーザPINの登録
ユーザPINを、ユーザPIN管理ファイルに登録します。
ihsregistupinコマンドに、ユーザPINとユーザPIN管理ファイルを指定することで、ユーザPINが暗号化されてユーザPIN
管理ファイルに登録されます。
例
登録例を以下に示します。
ユーザPIN(対話入力)を暗号化して、ユーザPIN管理ファイル「d:\ssl\upinfile」に登録する場合
ihsregistupin -f d:\ssl\upinfile -d d:\sslenv\slot
ユーザPIN(対話入力)を暗号化して、ユーザPIN管理ファイル「/home/ssl/upinfile」に登録する場合
ihsregistupin -f /home/ssl/upinfile -d /home/sslenv/slot
注意
セキュリティ対策のため、エクスプローラのファイルプロパティを使用して、以下の手順でユーザPIN管理ファイルのアク
セス権限を変更することを推奨します。
1. エクスプローラを起動します。
2. ユーザPIN管理ファイルを選択して右クリックします。
3. [プロパティ]をクリックします。
4. [セキュリティ]タブをクリックします。
5. プロパティの[セキュリティ]画面で、以下のグループ以外の[アクセス許可]設定に「拒否」を選択して、[OK]ボタン
をクリックします。
- Administrators
- SYSTEM
12.2.3 Interstage HTTP Serverの環境設定
環境定義ファイル(httpd.conf)にSSL定義を設定して、Interstage HTTP ServerのSSL環境を設定します。
SSLは、以下のような運用を行うことができます。
・ Webサーバ全体のSSL定義
Webサーバ全体のSSL定義です。クライアント認証を行うSSL運用、およびクライアント認証を行わないSSL運用を設
定できます。
- 201 -
・ バーチャルホスト内のSSL定義
バーチャルホストごとのSSL定義です。本設定により、SSLを使用しない通信とSSLを使用する通信を同時に運用す
ることができます。
■Webサーバ全体のSSL定義
例
以下のような設定でSSL運用を行う場合
・ ポート番号「443」
・ SSLプロトコルバージョン「SSL3.0」または「SSL3.1」(TLS 1.0)
・ クライアント認証あり
・ スロット情報ディレクトリ「d:\ssl\slotdir」
・ トークンラベル「secret_key_tok」
・ ユーザPIN管理ファイル「d:\ssl\upinfile」
・ 運用管理ディレクトリ「d:\ssl\envdir」
・ サイト証明書のニックネーム「server_cert」
・ クライアントCA証明書のニックネーム「client_cert」
LoadModule ihs_ssl_module "C:/Interstage/F3FMihs/modules/mod_ihs_ssl.so"
Listen 443
ServerAdmin [email protected]
ServerName main.example.com
SSLExec on
SSLVersion 3-3.1
SSLVerifyClient require
SSLSlotDir d:/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile d:/ssl/upinfile
SSLEnvDir d:/ssl/envdir
SSLCertName server_cert
SSLClCACertName client_cert
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4MD5:RC2-MD5
例
以下のような設定でSSL運用を行う場合
・ ポート番号「443」
・ SSLプロトコルバージョン「SSL3.0」または「SSL3.1」(TLS 1.0)
・ クライアント認証あり
・ スロット情報ディレクトリ「/home/ssl/slotdir」
・ トークンラベル「secret_key_tok」
- 202 -
・ ユーザPIN管理ファイル「/home/ssl/upinfile」
・ 運用管理ディレクトリ「/home/ssl/envdir」
・ サイト証明書のニックネーム「server_cert」
・ クライアントCA証明書のニックネーム「client_cert」
・ 証明書/鍵管理環境の構築を行ったユーザ「user1」
・ 証明書/鍵管理環境の構築を行ったグループ「group1」
LoadModule ihs_ssl_module "/opt/FJSVihs/modules/mod_ihs_ssl.so"
Listen 443
ServerAdmin [email protected]
ServerName main.example.com
User user1
Group group1
SSLExec on
SSLVersion 3-3.1
SSLVerifyClient require
SSLSlotDir /home/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile /home/ssl/upinfile
SSLEnvDir /home/ssl/envdir
SSLCertName server_cert
SSLClCACertName client_cert
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4MD5:RC2-MD5
■バーチャルホスト内のSSL定義
例
以下のような設定で運用を行う場合
・ SSLを使用しないバーチャルホスト
- ポート番号「80」
- 公開用ルートディレクトリ「C:\www\public」
・ SSLを使用するバーチャルホスト(クライアント認証なし)
- ポート番号「443」
- 公開用ルートディレクトリ「C:\www\secure1」
・ SSLを使用するバーチャルホスト(クライアント認証あり)
- ポート番号「8443」
- 公開用ルートディレクトリ「C:\www\secure2」
LoadModule ihs_ssl_module "C:/Interstage/F3FMihs/modules/mod_ihs_ssl.so"
Listen 80
Listen 443
Listen 8443
- 203 -
SSLSlotDir d:/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile d:/ssl/upinfile
<VirtualHost 192.168.0.1:80>
ServerName main.example.com
DocumentRoot C:/www/public
</VirtualHost>
<VirtualHost 192.168.0.1:443>
ServerName main.example.com
DocumentRoot C:/www/secure1
SSLExec on
SSLVersion 2
SSLEnvDir d:/ssl/envdir
SSLCertName cert_for_purchase
CustomLog "|ihsrlog.exe -s logs/accesslog_secure1 1 5" ihs-analysis
ErrorLog "|ihsrlog.exe -s logs/errorlog_secure1 1 5"
</VirtualHost>
<VirtualHost 192.168.0.1:8443>
ServerName main.example.com
DocumentRoot C:/www/secure2
SSLExec on
SSLVersion 3-3.1
SSLVerifyClient require
SSLEnvDir d:/ssl/envdir
SSLCertName cert_for_manager
SSLClCACertName CACert_InfoCA
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4MD5:RC2-MD5
CustomLog "|ihsrlog.exe -s logs/accesslog_secure2 1 5" ihs-analysis
ErrorLog "|ihsrlog.exe -s logs/errorlog_secure2 1 5"
</VirtualHost>
例
以下のような設定で運用を行う場合
・ SSLを使用しないバーチャルホスト
- ポート番号「80」
- 公開用ルートディレクトリ「/home/www/public」
・ SSLを使用するバーチャルホスト(クライアント認証なし)
- ポート番号「443」
- 公開用ルートディレクトリ「/home/www/secure1」
・ SSLを使用するバーチャルホスト(クライアント認証あり)
- ポート番号「8443」
- 公開用ルートディレクトリ「/home/www/secure2」
・ 証明書/鍵管理環境の構築を行ったユーザ「user1」
・ 証明書/鍵管理環境の構築を行ったグループ「group1」
- 204 -
LoadModule ihs_ssl_module "/opt/FJSVihs/modules/mod_ihs_ssl.so"
Listen 80
Listen 443
Listen 8443
User user1
Group group1
SSLSlotDir /home/ssl/slotdir
SSLTokenLabel secret_key_tok
SSLUserPINFile /home/ssl/upinfile
<VirtualHost 192.168.0.1:80>
ServerName main.example.com
DocumentRoot /home/www/public
</VirtualHost>
<VirtualHost 192.168.0.1:443>
ServerName main.example.com
DocumentRoot /home/www/secure1
SSLExec on
SSLVersion 2
SSLEnvDir /home/ssl/envdir
SSLCertName cert_for_purchase
CustomLog "|/opt/FJSVihs/bin/ihsrlog -s logs/accesslog_secure1 1 5" ihs-analysis
ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s logs/errorlog_secure1 1 5"
</VirtualHost>
<VirtualHost 192.168.0.1:8443>
ServerName main.example.com
DocumentRoot /home/www/secure2
SSLExec on
SSLVersion 3-3.1
SSLVerifyClient require
SSLEnvDir /home/ssl/envdir
SSLCertName cert_for_manager
SSLClCACertName CACert_InfoCA
SSLCipherSuite RSA-AES-256-SHA:RSA-AES-128-SHA:RSA-3DES-SHA:RSA-RC4-SHA:RSA-RC4-MD5:DES-CBC3-MD5:RC4MD5:RC2-MD5
CustomLog "|/opt/FJSVihs/bin/ihsrlog -s logs/accesslog_secure2 1 5" ihs-analysis
ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s logs/errorlog_secure2 1 5"
</VirtualHost>
注意
サイト証明書および認証局の証明書(発行局証明書)には、有効期限があります。この有効期限が切れた状態でWeb
サーバ運用を続行した場合、エラーメッセージ「ihs00504」/「ihs00505」が出力され、Webサーバの起動処理/通信処
理を行うことができません。cmdspcertコマンドで証明書の有効期間を確認し、有効期限が切れる前に新しい証明書を取
得して登録してください。証明書の登録方法については、「11.6 証明書/鍵管理環境の管理」の「証明書を更新する(証
明書の有効期限が切れる)場合」を参照してください。登録後は、Interstage HTTP Serverを再起動する必要があります。
なお、サイト証明書および認証局の証明書(発行局証明書)の有効期限が切れる前に、証明書の有効日数を通知する
警告メッセージ「ihs00536」/「ihs00537」を、出力タイミングを指定して出力させることができます。
Interstage HTTP Serverの環境定義ファイル(httpd.conf)の定義例を以下に示します。
例)以下のタイミングで、サイト証明書および認証局の証明書(発行局証明書)の有効日数を通知する警告メッセージ
「ihs00536」/「ihs00537」を出力させる場合
- 205 -
・ 証明書の有効期限が切れる15日前から有効期間満了日までの間のWebサーバ起動時
・ 証明書の有効期限が切れる10日前の9:30 (Webサーバ運用中)
・ 証明書の有効期限が切れる3日前の9:30 (Webサーバ運用中)
・ 証明書の有効期限が切れる1日前の9:30 (Webサーバ運用中)
SSLCertExpire All 15 10,3,1:093000
参考
関連ディレクティブ
・ CustomLog
・ DocumentRoot
・ ErrorLog
・ Group
・ Listen
・ LoadModule
・ ServerAdmin
・ ServerName
・ SSLCertExpire
・ SSLCertName
・ SSLClCACertName
・ SSLCipherSuite
・ SSLEnvDir
・ SSLExec
・ SSLSlotDir
・ SSLTokenLabel
・ SSLUserPINFile
・ SSLVerifyClient
・ SSLVersion
・ User
・ <VirtualHost>
12.3 関連ディレクティブ
SSLを利用する際、環境定義ファイルの設定において関連するディレクティブを以下に示します。
なお、ここでは、以下のように説明しています。
- 206 -
名前
ディレクティブの名前です。
形式
ディレクティブの形式です。
機能概要
ディレクティブの機能概要です。
指定位置
ディレクティブが設定する位置を、以下のキーワードで示します。
グローバルコンテキスト
Webサーバ全体の動作について設定します。
バーチャルホスト
<VirtualHost>セクション内で使用可能であり、バーチャルホストの動作について設定します。
ディレクトリ
<Directory>セクション内、<Location>セクション内、および<Files>セクション内で使用可能であり、特定のディレクト
リ、URL、およびファイルに対してリクエストを受けた場合の動作について設定します。
省略値
ディレクティブを省略した場合の値です。「なし」と示されているディレクティブは、省略した場合にディレクティブの機能を
使用することができません。
初期値
ディレクティブの初期値です。
モジュール
ディレクティブの機能を実装しているモジュールの名前です。モジュール名が示されていないディレクティブは、基本モ
ジュールに含まれます。
注意事項
ディレクティブ使用時の注意事項です。
使用例
ディレクティブの使用例です(設定が複雑なディレクティブのみ)。
12.3.1 Alias
- 207 -
名前
Alias
形式
Alias URLパス ファイルパス|ディレクトリパス
機能概要
指定したディレクトリを仮想ディレクトリとして設定します。DocumentRootディレクティブに設定したディレクトリ以外にドキュ
メントを格納できます。
URLパスには、英数字、'+'、'-'、'.'、'_'、'/'の224文字以内の文字列を指定できます。同一のパス名やScriptAliasディレク
ティブのURLパスと同一のパスは、指定できません。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
なし
モジュール
mod_alias
注意事項
・ ServletサービスのアプリケーションのWebアプリケーション名が「ROOT」である場合、本ディレクティブの設定は無効
となります。
・ URLパスには、Servletサービスのアプリケーションを指定できません。URLパスにServletサービスのアプリケーション
を指定して本ディレクティブを設定した場合、無効となります。
・
ディレクトリパスには、NFSサーバへのマウントポイントを指定できますが、Webサーバ運用中は常にNFSサーバへの
アクセスが可能である必要があります。Webサーバを起動する前にNFSサーバが正常に起動されていることを確認
し、またWebサーバ運用中はNFSサーバへのアクセスが不可となるような操作(NFSサーバの電源断など)を行わない
でください。
12.3.2 CustomLog
名前
CustomLog
形式
CustomLog "|ihsrlogコマンド実行文"|ログファイル名 ニックネーム [env=[!]環境変数]
- 208 -
機能概要
アクセスログファイルを作成します。
|ihsrlogコマンド実行文
ihsrlogコマンドの実行文を指定します。ihsrlogコマンドの実行文の指定方法については、「リファレンスマニュアル(コ
マンド編)」の「ihsrlog」を参照してください。
ログファイル名
アクセスログを出力するファイル名を指定します。ファイル名は、絶対パス、またはServerRootディレクティブからの相
対パスで指定します。スラッシュ(/)で始まらないパスを指定した場合、ServerRootディレクティブからの相対パスによる
指定となります。なお、ディレクトリは、実際に存在するディレクトリ名を指定してください。
ニックネーム
LogFormatディレクティブで設定したニックネームを指定します。
初期値には、以下のようなニックネームがあります。
- common
Common Log Formatでログを記録します。
- referer
クライアントの追跡情報をログに記録します。
- agent
クライアントが使用しているWebブラウザの情報をログに記録します。
- combined
common、referer、およびagentのすべての情報をログに記録します。
- ihs-analysis
common、リクエスト処理時間、およびリクエスト受信情報をログに記録します。
env=[!]環境変数
指定した環境変数が設定されている場合にアクセスログを出力します。環境変数の先頭に「!」を指定すると、指定し
た環境変数が設定されている場合にアクセスログを出力しません。環境変数の設定条件は、SetEnvIfディレクティブ
で指定します。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
なし
初期値
CustomLog "|ihsrlog.exe -s logs/accesslog 1 5" ihs-analysis
CustomLog "|/opt/FJSVihs/bin/ihsrlog -s logs/accesslog 1 5" ihs-analysis
- 209 -
モジュール
mod_log_config
注意事項
・ 本ディレクティブを複数設定した場合は、定義されたすべての設定が有効となります。
・
本ディレクティブにログファイル名を指定した場合、ファイルサイズがulimitコマンド(ボーンシェル系)またはlimitコマ
ンド(Cシェル系)で設定されたファイルサイズに達した際に、エラーメッセージihs70009が出力され、ログの記録に失
敗します。
・
本ディレクティブを多量に追加した場合、Webサーバを運用するために必要なファイルディスクリプタ数が不足する
可能性があります。“チューニングガイド”の“システムのチューニング”-“サーバ機能運用時に必要なシステム資
源”-“Interstage HTTP Serverのシステム資源の設定”を参考に、Webサーバを運用するために必要なファイルディ
スクリプタ数に問題がないかを確認してください。
・ Interstage管理コンソールの以下画面で[適用]/[作成]操作を行うと、本ディレクティブのihsrlogコマンド実行文の
logfileに設定される「ログファイルを格納するディレクトリ、およびファイル名プレフィクス」がエンマークおよびダブル
クォーテーション(\")で囲まれますが、動作上の影響はありません。
- [システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [Webサーバ:環境設定]
- [システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [バーチャルホスト] > [バーチャルホスト:環境設定]
- [システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [バーチャルホスト:新規作成]
12.3.3 DocumentRoot
名前
DocumentRoot
形式
DocumentRoot ディレクトリ
機能概要
httpdがファイルを提供するディレクトリを設定します。Aliasディレクティブによる指定が一致しなければ、サーバは要求さ
れたURLに本ディレクティブで指定したディレクトリを付加してドキュメントへのパスを作成します。
なお、本ディレクティブは、必ず設定してください。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
なし
初期値
- 210 -
DocumentRoot "C:/Interstage/F3FMihs/servers/(Webサーバ名)/htdocs"
DocumentRoot "/opt/FJSVihs/servers/(Webサーバ名)/htdocs"
注意事項
・ 本ディレクティブに指定したディレクトリの末尾に、スラッシュ(/)は指定しないでください。
・ 初期状態では、本ディレクティブで指定したディレクトリにサンプルのコンテンツが格納されています。Webサーバの
運用に応じて、不要なサンプルのコンテンツを削除するか、または本ディレクティブに指定するディレクトリを変更して
ください。
・
ディレクトリには、NFSサーバへのマウントポイントを指定できますが、Webサーバ運用中は常にNFSサーバへのアク
セスが可能である必要があります。Webサーバを起動する前にNFSサーバが正常に起動されていることを確認し、ま
たWebサーバ運用中はNFSサーバへのアクセスが不可となるような操作(NFSサーバの電源断など)を行わないでく
ださい。
12.3.4 ErrorLog
名前
ErrorLog
形式
ErrorLog "|ihsrlogコマンド実行文"|ログファイル名
機能概要
エラーログファイルを作成します。
|ihsrlogコマンド実行文
ihsrlogコマンドの実行文を指定します。ihsrlogコマンドの実行文の指定方法については、「リファレンスマニュアル(コ
マンド編)」の「ihsrlog」を参照してください。
ログファイル名
エラーログを出力するファイル名を指定します。ファイル名は、絶対パス、またはServerRootディレクティブからの相対
パスで指定します。スラッシュ(/)で始まらないパスを指定した場合、ServerRootディレクティブからの相対パスによる指
定となります。なお、ディレクトリは、実際に存在するディレクトリ名を指定してください。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
- 211 -
ErrorLog logs/error.log
ErrorLog logs/error_log
初期値
ErrorLog "|ihsrlog.exe -s logs/errorlog 1 5"
ErrorLog "|/opt/FJSVihs/bin/ihsrlog -s logs/errorlog 1 5"
注意事項
・ メインホスト・バーチャルホストそれぞれに本ディレクティブを複数設定した場合は、それぞれ最後に定義された設定
が有効となります。
・ 本製品では、Apache HTTP Serverで指定可能な「syslog」は使用できません。
・
本ディレクティブにログファイル名を指定した場合、ファイルサイズがulimitコマンド(ボーンシェル系)またはlimitコマ
ンド(Cシェル系)で設定されたファイルサイズに達した際に、エラーメッセージihs70009が出力され、ログの記録に失
敗します。
・ Interstage管理コンソールの以下画面で[適用]/[作成]操作を行うと、本ディレクティブのihsrlogコマンド実行文の
logfileに設定される「ログファイルを格納するディレクトリ、およびファイル名プレフィクス」がエンマークおよびダブル
クォーテーション(\")で囲まれますが、動作上の影響はありません。
- [システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [Webサーバ:環境設定]
- [システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [バーチャルホスト] > [バーチャルホスト:環境設定]
- [システム] > [サービス] > [Webサーバ] > [Webサーバ名] > [バーチャルホスト:新規作成]
12.3.5 Group
名前
Group
形式
Group グループID
機能概要
通信プロセスを実行する際のグループ名を指定します。
「グループID」には、グループ名を指定するか、「#」の後ろにグループID(数値)を続けて指定できます。
- 212 -
指定位置
グローバルコンテキスト
省略値
Group nobody
初期値
Group nobody
12.3.6 Listen
名前
Listen
形式
Listen [IPアドレス:]ポート番号
機能概要
クライアントからの接続要求を受け取るポート番号およびIPアドレスを指定します。複数のポート番号およびIPアドレスを
指定できます。ポート番号には、1から65535までを指定できます。また、Solarisの場合、IPアドレスに、IPv6アドレスを角
括弧([])で囲んで指定することもできます。
指定位置
グローバルコンテキスト
省略値
なし
初期値
Listen 80
注意事項
・ 本ディレクティブは、必ず設定する必要があります。設定していない場合、Webサーバを起動できません。
・ ポート番号には、システム上のアプリケーションを含むすべてのサービスにおいてそれぞれ異なるポート番号を設定
する必要があります。80(HTTP)および443(HTTPS)以外のポート番号を指定する場合、Well Knownポートである1
から1023は、ポートの衝突の危険性があるため、注意してください。
・ 本ディレクティブは、同一のIPアドレスとポート番号の組合せで複数設定することはできません。
- 213 -
・ 本ディレクティブにIPアドレスを指定する場合は、オペレーティングシステムに設定されているIPアドレスを指定してく
ださい。
・ 複数のIPアドレスが設定されているオペレーティングシステム上で運用している場合、IPアドレスの指定を省略する
と、オペレーティングシステムに設定されているすべてのIPアドレスへの接続要求を受け取ります。特定のIPアドレス
への接続要求だけを受け取る場合は、必ずIPアドレスを指定してください。
・
本ディレクティブにIPv6アドレスを指定できません。IPv6環境で運用する場合は、IPアドレスを指定せずにポート番号
だけを指定してください。
12.3.7 LoadModule
名前
LoadModule
形式
LoadModule モジュール識別子 ファイル名
機能概要
プラグインモジュールを読み込みます。
モジュール識別子には、プラグインモジュールのソースファイルで定義したモジュール構造体の名前を指定します。プラ
グインモジュールのファイル名は、絶対パスで指定します。
指定位置
グローバルコンテキスト
省略値
なし
12.3.8 LogFormat
名前
LogFormat
形式
LogFormat フォーマット [ニックネーム]
機能概要
カスタマイズしたログフォーマットを定義します。
フォーマットとして指定可能な書式パラメタを以下に示します。
- 214 -
%A
リクエストを受け付けたWebサーバのIPアドレス
%b
クライアントへのデータ転送量(バイト)
注) SSL通信時は、暗号化前のデータ転送量が出力されます。
%D
リクエストを受け付けてから処理が完了するまでの時間(マイクロ秒)
%{Foobar}e
環境変数Foobarの内容
%{UNIQUE_ID}e
リクエストごとに付与される一意なID
%h
クライアントまたはプロキシサーバなどのIPアドレス/ホスト名
%{Cookie}i
リクエスト時のCookieヘッダの設定値
%{Cookie2}i
リクエスト時のCookie2ヘッダの設定値
%{Foobar}i
Foobarで指定したリクエストヘッダの内容
%{Host}i
リクエスト時のHostヘッダの設定値
%{Referer}i
リクエスト時のRefererヘッダの設定値
%{User-agent}i
リクエスト時のUser-agentヘッダの設定値
%l
クライアントから返信されるユーザ個人情報
%{Cookie}n
ユーザ追跡機能で設定されたクライアントIPアドレス、および一意なID
%{Foobar}o
Foobarで指定したレスポンスヘッダの内容
%{Set-Cookie}o
レスポンス時のSet-Cookieヘッダの設定値
%{Set-Cookie2}o
レスポンス時のSet-Cookie2ヘッダの設定値
%p
リクエストを受け付けたWebサーバのポート番号
%P
リクエストを処理した通信プロセスのプロセスID
- 215 -
%r
リクエストの最初の行
%s
リクエストに対するステータスコード
%S
リクエストを受け付けてから処理が完了するまでの時間(秒.ミリ秒)
%t
クライアントからのリクエストを受け付けた日時
%T
リクエストを受け付けてから処理が完了するまでの時間(秒)
%u
クライアントから送信されたユーザ名
注) Interstage HTTP Serverのユーザ認証機能、またはオンライン照合機能を運用している場合にだけ出力されます。
%U
リクエストされたURLのパス
%X
レスポンス送信終了時の接続ステータス
接続ステータスは、以下のように出力されます。
- X:レスポンス送信が完了する前に接続が異常終了しました。
- +:レスポンス送信後に接続を持続します。
- -:レスポンス送信後に接続を閉じます。
ニックネームには、設定したフォーマットに対する任意のニックネームを指定します。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
LogFormat "%h %l %u %t \"%r\" %>s %b" clf
初期値
LogFormat
LogFormat
LogFormat
LogFormat
LogFormat
"%h %l %u %t \"%r\" %>s %b %A:%p %{Host}i %P %S %{UNIQUE_ID}e" ihs-analysis
"%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
"%h %l %u %t \"%r\" %>s %b" common
"%{Referer}i -> %U" referer
"%{User-agent}i" agent
モジュール
mod_log_config
- 216 -
注意事項
・ 指定した書式パラメタに対して出力する情報を持たない場合、または指定した書式パラメタのフォーマットで出力で
きない場合は、ハイフン「-」が出力されます。
・ 書式パラメタに「%l」を指定する場合、IdentityCheckディレクティブを以下のように設定し、アクセスログに「ユーザ名
識別」を採取する設定を行う必要があります。
IdentityCheck On
・ 書式パラメタに「%{UNIQUE_ID}e」を指定する場合、LoadModuleディレクティブを以下のように設定し、モジュール
「unique_id_module」を読み込む必要があります。
(インストールパスはデフォルト)
LoadModule unique_id_module "C:/Interstage/F3FMihs/modules/mod_unique_id.so"
(インストールパスはデフォルト)
LoadModule unique_id_module "/opt/FJSVihs/modules/mod_unique_id.so"
12.3.9 ScriptAlias
名前
ScriptAlias
形式
ScriptAlias URLパス ファイルパス|ディレクトリパス
機能概要
CGI実行用のパスを設定します。URLパスに仮想URLを指定し、CGI実行用のファイルパスまたはディレクトリパスを絶対
パスで指定します。
URLパスには、英数字、'+'、'-'、'.'、'_'、'/'の224文字以内の文字列を指定できます。同一のパス名やAliasディレクティブ
のURLパスと同一のパスは、指定できません。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
なし
初期値
ScriptAlias /cgi-bin/ "C:/Interstage/F3FMihs/servers/(Webサーバ名)/cgi-bin/"
なし
- 217 -
モジュール
mod_alias
注意事項
・ ServletサービスのアプリケーションのWebアプリケーション名が「ROOT」である場合、本ディレクティブの設定は無効
となります。
・ URLパスには、Servletサービスのアプリケーションを指定できません。URLパスにServletサービスのアプリケーション
を指定して本ディレクティブを設定した場合、無効となります。
・
ディレクトリパスには、NFSサーバへのマウントポイントを指定できますが、Webサーバ運用中は常にNFSサーバへの
アクセスが可能である必要があります。Webサーバを起動する前にNFSサーバが正常に起動されていることを確認
し、またWebサーバ運用中はNFSサーバへのアクセスが不可となるような操作(NFSサーバの電源断など)を行わない
でください。
12.3.10 ServerAdmin
名前
ServerAdmin
形式
ServerAdmin Emailアドレス
機能概要
サーバがクライアント宛のエラーメッセージに挿入するサーバの管理者のEmailアドレスを設定します。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
なし
注意事項
Servletサービスのアプリケーションにアクセスした場合、本ディレクティブの設定は無効となります。
12.3.11 ServerName
名前
ServerName
- 218 -
形式
ServerName ホスト|IPアドレス[:ポート番号]
機能概要
サーバのホスト名、またはIPアドレスとポート番号を設定します。リダイレクトURLを作成するために使用されます。
ネームベースのバーチャルホストを使用する場合、バーチャルホストセクション内に設定する本ディレクティブにはIPアド
レスを指定できません。ホスト名を指定してください。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
なし
初期値
ServerName (ホスト名)
注意事項
本ディレクティブには、IPv6アドレスを指定できません。
12.3.12 ServerRoot
名前
ServerRoot
形式
ServerRoot ディレクトリパス
機能概要
サーバのルートディレクトリパスを設定します。各種の設定ファイルの相対パスは、本ディレクティブで設定したディレクト
リを基準とします。通常、サブディレクトリとしてconf/およびlogs/などがこのディレクトリ配下に置かれます。
指定位置
グローバルコンテキスト
省略値
なし
- 219 -
初期値
ServerRoot "C:/Interstage/F3FMihs/servers/(Webサーバ名)"
ServerRoot "/opt/FJSVihs/servers/(Webサーバ名)"
注意事項
本ディレクティブは、インストール時およびWebサーバ作成時に自動的に設定されるため、直接編集しないでください。
万が一、本ディレクティブの設定値を変更した場合、Webサーバの動作を保証することはできません。
12.3.13 SetEnvIf
名前
SetEnvIf
形式
SetEnvIf 属性 属性値 [!]環境変数[=値]
機能概要
クライアントから送信されるHTTPリクエストの属性が指定した属性値と一致した場合に、環境変数を設定します。パラメタ
は、それぞれ以下のように指定します。
属性
以下のいずれかを指定します。
HTTPリクエストヘッダ名
Host、User-Agent、Referer、Accept-LanguageなどのHTTPリクエストヘッダ名
HTTPリクエストヘッダ名は、正規表現を使用して指定できます。
Remote_Host
クライアントまたはプロキシサーバなどのホスト名
Remote_Addr
クライアントまたはプロキシサーバなどのIPアドレス
Request_Method
メソッド名
Request_Protocol
プロトコルの名前とバージョン
Request_URI
URLのスキームとホストの後の部分
- 220 -
Server_Addr
リクエストを受け取ったWebサーバのIPアドレス
属性値
属性値を指定します。属性値は、正規表現を使用して指定できます。
環境変数
以下の形式で指定します。
環境変数名
指定した環境変数の値を「1」に設定します。
!環境変数名
指定した環境変数がすでに設定されていた場合、その環境変数を削除します。
環境変数名=値
指定した環境変数に、指定した値を設定します。
指定位置
グローバルコンテキスト、バーチャルホスト、ディレクトリ
省略値
なし
モジュール
mod_setenvif
12.3.14 SSLCertExpand
名前
SSLCertExpand
形式
SSLCertExpand on|off
機能概要
クライアント証明書の情報を環境変数として設定するかを指定します。
on
クライアント証明書の情報を環境変数として設定します。
off
クライアント証明書の情報を環境変数として設定しません。
- 221 -
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
メインホストの場合
SSLCertExpand on
バーチャルホストの場合
SSLCertExpand (メインホストの本ディレクティブの設定値)
モジュール
mod_ihs_ssl
12.3.15 SSLCertExpire
名前
SSLCertExpire
形式
(1) Webサーバ起動時に、証明書の有効日数を通知する警告メッセージを出力します
SSLCertExpire Startup day
(2) Webサーバ運用中の指定日時に、証明書の有効日数を通知する警告メッセージを出力します
SSLCertExpire Running days[,…][:time]
(3) Webサーバ起動時/Webサーバ運用中の指定日時に、証明書の有効日数を通知する警告メッセージを出力しま
す
SSLCertExpire All day days[,…][:time]
(4) 証明書の有効日数を通知する警告メッセージを出力しません
SSLCertExpire None
機能概要
サイト証明書および認証局の証明書(発行局証明書)の有効期限が切れる前に、警告メッセージを出力するかを設定し
ます。また、警告メッセージを出力する場合は、出力タイミングも設定します。
[出力の有無]
Startup
dayの条件で証明書の有効日数を通知する警告メッセージを出力します。
Running
days(time)の条件で証明書の有効日数を通知する警告メッセージを出力します。
- 222 -
All
dayおよびdays(time)の条件で証明書の有効日数を通知する警告メッセージを出力します。
None
証明書の有効日数を通知する警告メッセージを出力しません。
[出力タイミング]
day
Startup/All指定時に、証明書の有効期限が切れる何日前から警告メッセージを出力するかを、1から90までの数値
(単位:日)で指定します。警告メッセージの出力タイミングは、Webサーバ起動時です。
days
Running/All指定時に、証明書の有効期限が切れる何日前に警告メッセージを出力するかを、1から90までの数値(単
位:日)で指定します。半角カンマ(,)で区切ることにより、複数の日を最大90個まで指定できます。警告メッセージの
出力タイミングは、Webサーバ運用中のdays/timeに指定した日時です。
time
Running/All指定時に、警告メッセージの出力を行う時刻を、以下の形式で指定します(省略時:証明書の有効期間
満了日時の時刻)。
hhmmss(000000~235959の数値)
- hh:時(00~23)
- mm:分(00~59)
- ss:秒(00~59)
[出力する警告メッセージ]
上記で指定した出力タイミングに、以下の警告メッセージを出力します。メッセージの詳細については、「メッセージ集」の
「メッセージ番号がihsで始まるメッセージ」-「ihs00500番台のメッセージ」を参照してください。
・ サイト証明書の有効日数を通知する警告メッセージ「ihs00536」
・ 認証局の証明書(発行局証明書)の有効日数を通知する警告メッセージ「ihs00537」
指定位置
グローバルコンテキスト
省略値
SSLCertExpire All 14 90,60,30,14,7,6,5,4,3,2,1
モジュール
mod_ihs_ssl
12.3.16 SSLCertName
- 223 -
名前
SSLCertName
形式
SSLCertName サイト証明書のニックネーム
機能概要
証明書/CRL管理環境に登録したサイト証明書のニックネームを128文字以内で指定します。
本ディレクティブは、ホストごとに1つ定義することができます。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
なし
モジュール
mod_ihs_ssl
注意事項
本ディレクティブは、SSLConfNameディレクティブと同時に指定できません。指定した場合、本ディレクティブの設定は無
効となります。
12.3.17 SSLCipherSuite
名前
SSLCipherSuite
形式
SSLCipherSuite 暗号化の方法
機能概要
使用する暗号化の方法を優先度の高い順に区切り文字‘:’を使用して指定します。
SSLプロトコルバージョン「SSL2.0」を使用する場合(SSLVersionディレクティブで「2」を含む値を指定した場合)は、以下
の値が指定可能です。
値
意味
RC4-MD5
SSL_TXT_RC4_128_WITH_MD5(128ビットキー)
RC2-MD5
SSL_TXT_RC2_128_CBC_WITH_MD5 (128ビットキー)
DES-CBC3-MD5
SSL_TXT_DES_192_EDE3_CBC_WITH_MD5 (168ビットキー)
- 224 -
値
意味
DES-CBC-MD5
SSL_TXT_DES_64_CBC_WITH_MD5(56ビットキー)
EXP-RC4-MD5
SSL_TXT_RC4_128_EXPORT40_WITH_MD5(40ビットキー)
EXP-RC2-MD5
SSL_TXT_RC2_128_CBC_EXPORT40_WITH_MD5(40ビットキー)
SSLプロトコルバージョン「SSL3.0」またはSSLプロトコルバージョン「SSL3.1」(TLS 1.0)を使用する場合(SSLVersionディ
レクティブで「3」または「3.1」を含む値を指定した場合)は、以下の値が指定可能です。
値
意味
RSA-RC4-MD5
SSL_TXT_RSA_WITH_RC4_128_MD5(128ビットキー)
RSA-RC4-SHA
SSL_TXT_RSA_WITH_RC4_128_SHA(128ビットキー)
RSA-3DES-SHA
SSL_TXT_RSA_WITH_3DES_EDE_CBC_SHA(168ビットキー)
RSA-DES-SHA
SSL_TXT_RSA_WITH_DES_CBC_SHA(56ビットキー)
RSA-EXPORT-RC4MD5
SSL_TXT_RSA_EXPORT_WITH_RC4_40_MD5 (40ビットキー)
RSA-EXPORT-RC2MD5
SSL_TXT_RSA_EXPORT_WITH_RC2_CBC_40_MD5(40ビット
キー)
RSA-AES-128-SHA
SSL_TXT_RSA_WITH_AES_128_CBC_SHA(128ビットキー)
RSA-AES-256-SHA
SSL_TXT_RSA_WITH_AES_256_CBC_SHA(256ビットキー)
RSA-SC2000-128-SHA
SSL_TXT_RSA_WITH_SC2000_128_CBC_SHA(128ビットキー)
RSA-SC2000-256-SHA
SSL_TXT_RSA_WITH_SC2000_256_CBC_SHA(256ビットキー)
RSA-NULL-MD5
SSL_TXT_RSA_WITH_NULL_MD5
RSA-NULL-SHA
SSL_TXT_RSA_WITH_NULL_SHA
SSLVersionディレクティブで「2-3」または「2-3.1」を指定した場合は、各バージョンの対象の値を1つは必ず指定する必要
があります。
ポイント
Interstage Application Serverでサポートしている暗号化方式(「SSL_TXT_XXX」)に表わされる暗号化の種類を以下に示
します。
公開鍵暗号化方式
RSA
秘密鍵暗号化方式
DES、3DES(トリプルDES)、RC4、RC2、AES、SC2000(NULLは暗号化しないことを
示す)
秘密鍵の処理モード
CBC、EDE(数値はブロック長)
ハッシュキー
SHA、MD5
指定位置
グローバルコンテキスト、バーチャルホスト
- 225 -
省略値
SSLVersionディレクティブで指定した値に応じて、以下の値が指定されます(表現上、暗号化の方法ごとに改行)。
SSLVersionディレクティブの値
本ディレクティブの省略値
2
DES-CBC3-MD5:
RC4-MD5:
RC2-MD5:
DES-CBC-MD5:
EXP-RC2-MD5:
EXP-RC4-MD5
3
3.1
3-3.1
RSA-SC2000-256-SHA:
RSA-AES-256-SHA:
RSA-SC2000-128-SHA:
RSA-AES-128-SHA:
RSA-3DES-SHA:
RSA-RC4-MD5:
RSA-RC4-SHA:
RSA-DES-SHA:
RSA-EXPORT-RC4-MD5:
RSA-EXPORT-RC2-MD5
2-3
2-3.1
DES-CBC3-MD5:
RC4-MD5:
RC2-MD5:
DES-CBC-MD5:
EXP-RC2-MD5:
EXP-RC4-MD5:
RSA-SC2000-256-SHA:
RSA-AES-256-SHA:
RSA-SC2000-128-SHA:
RSA-AES-128-SHA:
RSA-3DES-SHA:
RSA-RC4-MD5:
RSA-RC4-SHA:
RSA-DES-SHA:
RSA-EXPORT-RC4-MD5:
RSA-EXPORT-RC2-MD5
モジュール
mod_ihs_ssl
注意事項
本ディレクティブは、SSLConfNameディレクティブと同時に指定できません。指定した場合、本ディレクティブの設定は無
効となります。
12.3.18 SSLClCACertName
名前
SSLClCACertName
- 226 -
形式
SSLClCACertName クライアントCA証明書のニックネーム
機能概要
クライアント証明書を確認するためのCA証明書のニックネームを128文字以内で指定します。運用管理ディレクトリに登
録されているクライアントCA証明書の中から、特定の証明書を選択する場合に使用します。SSLプロトコルバージョン
「SSL3.0」またはSSLプロトコルバージョン「SSL3.1」(TLS 1.0)を使用する場合に有効です。
本ディレクティブは、ホストに複数定義することが可能であり、ホストごとの定義はそれぞれのホストでのみ有効です。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
SSLClCACertName (運用管理ディレクトリに登録されているすべてのクライアントCA証明書のニックネーム)
モジュール
mod_ihs_ssl
注意事項
本ディレクティブは、SSLConfNameディレクティブと同時に指定できません。指定した場合、本ディレクティブの設定は無
効となります。
12.3.19 SSLEnvDir
名前
SSLEnvDir
形式
SSLEnvDir 運用管理ディレクトリ名
機能概要
SSLで使用する運用管理ディレクトリを絶対パスで指定します。
本ディレクティブは、ホストごとに1つ定義することができます。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
なし
- 227 -
モジュール
mod_ihs_ssl
注意事項
本ディレクティブは、SSLConfNameディレクティブと同時に指定できません。指定した場合、本ディレクティブの設定は無
効となります。
12.3.20 SSLExec
名前
SSLExec
形式
SSLExec on|off
機能概要
SSLを使用するかを指定します。
本ディレクティブは、ホストごとに1つ定義できます。
on
SSLを使用します。
off
SSLを使用しません。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
SSLExec off
モジュール
mod_ihs_ssl
注意事項
本ディレクティブは、SSLConfNameディレクティブと同時に指定できません。指定した場合、本ディレクティブの設定は無
効となります。
- 228 -
12.3.21 SSLHandshakeTimeout
名前
SSLHandshakeTimeout
形式
SSLHandshakeTimeout 秒数
機能概要
SSLコネクションの確立処理でクライアントからのデータパケットを送受信するときに待機する最長の時間(秒)を設定しま
す。待機時間には、0から65535までを指定できます。本ディレクティブに指定した時間に達してもパケットを受信できない
場合は、TCPコネクションが切断されます。“0”を指定した場合、待機時間は無制限となります。
通常、SSLコネクションの確立処理にかかる時間をチューニングしたい場合に設定します。
指定位置
グローバルコンテキスト
省略値
SSLHandshakeTimeout (Timeoutディレクティブの設定値)
モジュール
mod_ihs_ssl
12.3.22 SSLLIBMultiSession
名前
SSLLIBMultiSession
形式
SSLLIBMultiSession 多重度
機能概要
暗号化ライブラリの初期起動時の多重度を指定します。多重度には、1から256までを指定できます。設定値を大きくする
と、起動直後の多重接続の通信処理が早くなります。ただし、設定値を大きくすると、起動処理時間が長くなってしまうた
め、注意してください。
指定位置
グローバルコンテキスト
- 229 -
省略値
SSLLIBMultiSession 50
モジュール
mod_ihs_ssl
注意事項
本ディレクティブの設定値はリクエスト数により自動的に拡張されるため、通常、設定する必要はありません。
12.3.23 SSLMaxSession
名前
SSLMaxSession
形式
SSLMaxSession リクエスト数
機能概要
SSLセッション情報を保持するリクエストの最大数を指定します。リクエスト数には、1から65535までを指定できます。一度
SSL通信を行い、サーバマシン上にセッション情報が保持されている場合は、リクエストの転送効率を向上させることがで
きます。
なお、本ディレクティブは、SSLVersionディレクティブでSSLプロトコルバージョン「SSL 3.0」以上を設定した場合に有効と
なります。
指定位置
グローバルコンテキスト
省略値
SSLMaxSession 100
モジュール
mod_ihs_ssl
注意事項
リクエスト数の設定値が1増加するごとに、約4キロバイトの仮想メモリを消費します。運用状態をチューニングする場合
は、設定値が大きすぎないように注意してください。
12.3.24 SSLNotifyVers
- 230 -
名前
SSLNotifyVers
形式
SSLNotifyVers on|off
機能概要
SSL関連の環境変数を設定するかを指定します。
on
SSL関連の情報を環境変数として設定します。
off
SSL関連の情報を環境変数として設定しません。ただし、HTTPS環境変数だけは設定されます。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
メインホストの場合
SSLNotifyVers on
バーチャルホストの場合
SSLNotifyVers (メインホストの本ディレクティブの設定値)
モジュール
mod_ihs_ssl
12.3.25 SSLSlotDir
名前
SSLSlotDir
形式
SSLSlotDir スロット情報ディレクトリ名
機能概要
秘密鍵管理環境のスロット情報ディレクトリを絶対パスで指定します。
本ディレクティブは、環境定義ファイル(httpd.conf)の基本域に1つのみ定義することができます。
- 231 -
指定位置
グローバルコンテキスト
省略値
なし
モジュール
mod_ihs_ssl
注意事項
本ディレクティブは、SSLConfNameディレクティブと同時に指定できません。指定した場合、本ディレクティブの設定は無
効となります。
12.3.26 SSLTokenLabel
名前
SSLTokenLabel
形式
SSLTokenLabel トークンラベル
機能概要
サーバの秘密鍵を登録したトークンのトークンラベルを32文字以内で指定します。
本ディレクティブは、環境定義ファイル(httpd.conf)の基本域に1つだけ定義できます。
指定位置
グローバルコンテキスト
省略値
なし
モジュール
mod_ihs_ssl
注意事項
本ディレクティブは、SSLConfNameディレクティブと同時に指定できません。指定した場合、本ディレクティブの設定は無
効となります。
- 232 -
12.3.27 SSLUserPINFile
名前
SSLUserPINFile
形式
SSLUserPINFile ユーザPINファイル名
機能概要
ユーザPINファイルを絶対パスで指定します。
本ディレクティブは、環境定義ファイル(httpd.conf)の基本域に1つだけ定義できます。
ユーザPINファイルの作成方法については、「リファレンスマニュアル(コマンド編)」の「ihsregistupin」を参照してください。
指定位置
グローバルコンテキスト
省略値
なし
モジュール
mod_ihs_ssl
注意事項
本ディレクティブは、SSLConfNameディレクティブと同時に指定できません。指定した場合、本ディレクティブの設定は無
効となります。
12.3.28 SSLVerifyClient
名前
SSLVerifyClient
形式
SSLVerifyClient none|optional|require
機能概要
SSLプロトコルバージョン「SSL3.0」またはSSLプロトコルバージョン「SSL3.1」(TLS 1.0)を使用する場合、クライアント認証
のレベルを指定します。
本ディレクティブは、ホストごとに1つ定義できます。
none
クライアント証明書の検証を行いません。
- 233 -
optional
クライアント証明書の検証を行います。
クライアントからクライアント証明書を提示されない場合、処理は続行されます。
require
クライアント証明書の検証を行います。
クライアントからクライアント証明書を提示されない場合は、エラーが発生します。
SSLプロトコルバージョン「SSL2.0」を使用する場合(SSLVersionディレクティブで「2」を指定した場合)は、本ディレクティ
ブを省略するか、または「none」を指定してください。
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
SSLVersionディレクティブで指定した値に応じて、以下の値が指定されます。
本ディレクティブの省略値
SSLVersionディレクティブの値
2
none
3
optional
3.1
optional
2-3
optional
2-3.1
optional
3-3.1
optional
モジュール
mod_ihs_ssl
注意事項
本ディレクティブは、SSLConfNameディレクティブと同時に指定できません。指定した場合、本ディレクティブの設定は無
効となります。
12.3.29 SSLVersion
名前
SSLVersion
形式
SSLVersion 2|3|3.1|2-3|2-3.1|3-3.1
- 234 -
機能概要
使用するSSLプロトコルバージョンを指定します。
本ディレクティブは、ホストごとに1つ定義できます。
2
SSLプロトコルバージョン「SSL2.0」を使用します。
3
SSLプロトコルバージョン「SSL3.0」を使用します。
3.1
SSLプロトコルバージョン「SSL3.1」(TLS 1.0)を使用します。
2-3
以下のいずれかのうち、クライアントとの通信時にクライアントが利用可能な一番高いバージョンのプロトコルを使用し
ます。
- SSLプロトコルバージョン「SSL2.0」
- SSLプロトコルバージョン「SSL3.0」
2-3.1
以下のいずれかのうち、クライアントとの通信時にクライアントが利用可能な一番高いバージョンのプロトコルを使用し
ます。
- SSLプロトコルバージョン「SSL2.0」
- SSLプロトコルバージョン「SSL3.0」
- SSLプロトコルバージョン「SSL3.1」(TLS 1.0)
3-3.1
以下のいずれかのうち、クライアントとの通信時にクライアントが利用可能な一番高いバージョンのプロトコルを使用し
ます。
- SSLプロトコルバージョン「SSL3.0」
- SSLプロトコルバージョン「SSL3.1」(TLS 1.0)
指定位置
グローバルコンテキスト、バーチャルホスト
省略値
SSLVersion 3-3.1
モジュール
mod_ihs_ssl
注意事項
本ディレクティブは、SSLConfNameディレクティブと同時に設定できません。同時に設定した場合、本ディレクティブの設
定は無効となります。
- 235 -
12.3.30 Timeout
名前
Timeout
形式
Timeout 秒数
機能概要
クライアントとの間でデータパケットを送受信するときに待機する最長の時間(秒)を設定します。待機時間には、0から
65535までを指定できます。本ディレクティブに指定した時間に達してもパケットを受信できない場合は、TCPコネクション
が切断されます。接続しているネットワークのトラフィックが増大し、TCPコネクションの接続が頻繁に中断される場合は、
待機時間を増やすことにより中断回数を減少させることができます。
ポイント
クライアントからTCPコネクションが接続されたあとにリクエストが届かない場合は、本ディレクティブに指定した時間(秒)
に達すると、TCPコネクションが切断されます。
指定位置
グローバルコンテキスト
省略値
Timeout 300
初期値
Timeout 600
12.3.31 User
名前
User
形式
User ユーザID
機能概要
通信プロセスを実行する際のユーザ名を指定します。
「ユーザID」には、ユーザ名を指定するか、または「#」の後ろにユーザID(数値)を続けて指定できます。
- 236 -
指定位置
グローバルコンテキスト
省略値
User nobody
初期値
User nobody
12.3.32 <VirtualHost>
名前
<VirtualHost>
形式
<VirtualHost アドレス[:ポート]> ... </VirtualHost>
機能概要
バーチャルホストを設定します。
アドレスには、バーチャルホストとして使用するIPアドレス、またはバーチャルホストのドメインを含む完全なホスト名を指
定します。特にアドレスを問わない場合は、「<VirtualHost _default_>」という特別な名前を指定できます。また、IPアドレ
スには、IPv6アドレスを角括弧([])で囲んで指定することもできます。
ポート番号には、バーチャルホストが使用するポート番号を指定します。すべてのポート番号を対象とする場合は、「*」を
指定します。
指定位置
グローバルコンテキスト
省略値
なし
注意事項
ポート番号に「*」を指定してバーチャルホストを設定した場合、Interstage管理コンソール上で該当するバーチャルホスト
の表示・変更・削除を行うことができません。環境定義ファイル(httpd.conf)を使用して設定してください。
- 237 -
第13章 Interstage HTTP Server 2.2でSSLを利用する方
法
Interstage HTTP Server 2.2において、SSLを利用する方法については、「Interstage HTTP Server 2.2 運用ガイド」の「環
境設定」-「SSLの設定」を参照してください。
- 238 -
第14章 CORBAサービスでSSLを利用する方法
CORBAサービスを使用したクライアント・サーバアプリケーション連携では、SSLを利用した暗号化通信を行うことができます。
本章では、CORBAアプリケーションにおけるSSL通信について説明します。
CORBAサービスで暗号や署名処理を行うために必要な証明書や秘密鍵を管理する環境として以下の2つを使用するこ
とができます。
・ Interstage証明書環境
・ SMEEコマンドで構築した証明書/鍵管理環境
運用に応じて、上記のどちらかの環境を構築してください。Interstage証明書環境を使用する場合は「第10章 Interstage
証明書環境の構築と利用」を参照してInterstage証明書環境を構築後、Interstage管理コンソールを使用してCORBAサー
ビスにSSL環境を設定してください。
アクセス権限の設定
Interstage証明書環境において一般ユーザ(Administrators権限を持たないユーザ)の権限でアプリケーションを動作させ
る場合は、Interstage証明書環境のアクセス権を変更する必要があります。詳細については「10.2.1 Interstage証明書環境
のアクセス権限の設定」を参照してください。
SMEEコマンドで構築した証明書/鍵管理環境において、証明書/鍵管理環境を構築したユーザ以外の一般ユーザ
(Administrators権限を持たないユーザ)で、アプリケーションを動作させる場合は、証明書/鍵管理環境に実行ユーザの
アクセス権を追加する必要があります。
エクスプローラで証明書および鍵管理環境のフォルダを選択し、「プロパティ」メニューの「セキュリティ」タブの画面で、
ユーザまたはグループを追加することでアクセス権限を追加できます。追加したユーザまたはグループについては「フル
コントロール」を設定するようにしてください。
注意
Microsoft(R) Windows(R) XPでフォルダのプロパティに[セキュリティ]タブが表示されない場合は、次の手順を実行する
ことで表示されます。
1. [スタート]-[コントロールパネル]から「フォルダオプション」を起動します。
2. [表示]タブをクリックし、「簡易ファイルの共有を使用にする(推奨)」のチェックを解除して「OK」をクリックします。
Interstage証明書環境において一般ユーザ(システム管理者(root)以外)の権限でアプリケーションを動作させる場合は、
そのユーザがInterstage証明書環境の所有グループに属している必要があります。アプリケーションを実行するユーザを
Interstage証明書環境の所有グループに追加してください。詳細については「10.2.1 Interstage証明書環境のアクセス権
限の設定」を参照してください。
SMEEコマンドで構築した証明書/鍵管理環境において一般ユーザ(システム管理者(root)以外)の権限でアプリケーショ
ンを動作させる場合は、秘密鍵/証明書に一般ユーザのアクセス権限を設定する必要があるため、odsetpathコマンドを実
行します。
odsetpathコマンドは、管理者権限で実行してください。
なお、管理者権限でアプリケーションを動作させる場合は、本操作は不要です。
- 239 -
例
秘密鍵/証明書にアクセス権限を設定
odsetpath
/home/SSL/slot /home/SSL/sslcert
14.1 CORBAサービスのSSL連携
CORBAサービスのSSL連携機能は、CORBAアプリケーション間のデータのやりとりをSSLによる暗号化通信で行うため
の機能です。
SSL連携機能のしくみ
CORBAアプリケーション連携では、サーバアプリケーションのオブジェクトリファレンスに暗号化通信を行うよう設定され
ていると、そのオブジェクトと連携するクライアントとの間でSSLを使用した暗号化通信を行います。
SSL連携機能の処理イメージ(オブジェクトリファレンス静的生成時)を以下に示します。
クライアントアプリケーションで獲得したオブジェクトリファレンスにSSL情報が設定されていると、サーバアプリケーション
に対するリクエストの送受信においてSSL暗号化通信が行われます。
CORBAアプリケーションの開発
CORBAアプリケーション連携でSSL通信を行う場合、通常のCORBAアプリケーションをそのまま使用することができま
す。CORBAアプリケーション(サーバアプリケーション)の登録時にSSL情報を設定するだけで、アプリケーションの再作
成(再リンケージを含む)などは必要ありません。
SSL連携の環境構築
SSLを使用した暗号化通信を行う場合、サーバ・クライアントともに証明書管理環境の作成、および証明書の登録を行う
必要があります。
CORBAアプリケーションの運用時にSSL通信を行うためには、SSL環境をCORBAサービスに登録し、SSL通信を行う
CORBAアプリケーション(サーバアプリケーション)に対してSSL情報を設定する必要があります。
- 240 -
証明書の取得と登録(サーバ・クライアントとも)
SSL環境として秘密鍵/証明書管理環境を作成し、認証局(証明書発行局)から取得した認証局の証明書(発行局証
明書)、サイト証明書をInterstage証明書環境に登録します。認証局の証明書(発行局証明書)は、SSL連携を行う
CORBAアプリケーションを配置したすべてのサーバ・クライアントで同一のものを登録する必要があります。
証明書の取得・登録については、「第10章 Interstage証明書環境の構築と利用」と「第11章 SMEEコマンドによる証明
書/鍵管理環境の構築と利用」を参照してください。
CORBAサービスでのSSL環境の設定・登録(サーバ・クライアントとも)
Interstage証明書環境を使用する場合は、Interstage管理コンソールを使用してCORBAサービスにSSL環境を設定し
てください。
SMEEコマンドで構築した証明書/鍵管理環境を使用する場合は、odsetSSLコマンドを使用してCORBAサービスに取
得した証明書を登録した後、CORBAサービスの動作環境ファイル(config)でSSL連携のためのパラメタを設定し、
CORBAサービスにSSL通信処理を組み込みます。
CORBAアプリケーションへのSSL情報の設定(サーバアプリケーションのみ)
CORBAアプリケーションでSSL連携を行う場合、サーバアプリケーションのオブジェクトリファレンスにSSL情報を設定
する必要があります。オブジェクトリファレンスにSSL情報を設定するためには、以下の方法で行うことができます。
- OD_or_admコマンドでのオブジェクトリファレンスの静的生成時に、オブジェクトリファレンスにSSL情報を設定し
ます。(-sオプション)
- OD_impl_instコマンドでのサーバアプリケーションの登録時に、オブジェクトリファレンス生成時のSSL情報の設
定ルールを指定します(sslパラメタ)。
オブジェクトリファレンス生成時(静的生成、動的生成とも)に、SSL情報はこのルールに従って設定されます。
SSL連携の運用
OD_or_admコマンド、OD_impl_instコマンドによりSSL情報を付加するように設定したオブジェクトリファレンスのサーバア
プリケーションにアクセスすることにより、SSLを使用したアプリケーション連携を行うことができます。
IPv6環境でのSSL連携
SSL連携機能は、IPv6環境では使用できません。
14.2 CORBAサーバの環境設定
運用に応じて、Interstage証明書環境とSMEEコマンドで構築した証明書/鍵管理環境のどちらかの環境を構築してくださ
い。Interstage証明書環境を使用する場合はInterstage管理コンソールを使用してCORBAサービスにSSL環境を設定し
てください。
ここでは、SMEEコマンドで構築した証明書/鍵管理環境について説明します。
1. 証明書/鍵管理環境の作成
詳細は、「SMEEコマンドによる証明書/鍵管理環境の構築と利用」の「11.2.1 証明書/鍵管理環境の作成」を参照し
てください。
2. 秘密鍵の作成と証明書の取得
詳細は、「SMEEコマンドによる証明書/鍵管理環境の構築と利用」の「11.2.2 秘密鍵の作成と証明書の取得」を参
照してください。
3. 証明書とCRLの登録
詳細は、「SMEEコマンドによる証明書/鍵管理環境の構築と利用」の「11.2.3 証明書とCRLの登録」を参照してくだ
さい。
4. CORBAサービスへの秘密鍵/証明書の設定
- 241 -
5. configファイルの編集
6. オブジェクトリファレンス作成時のSSL情報付加の指定
ここでは、CORBAサーバの環境設定の手順4から手順6について説明します。
ポイント
CORBAサービスのSSL環境設定では、以下のコマンドを使用します。
コマンドプロンプトで入力できないような長いパラメタを使用する場合、バッチファイルに記述して実行してください。
CORBAサービスへの秘密鍵/証明書の設定
C:\INTERSTAGE\ODWIN\bin\odsetSSL
CORBAサービスへの秘密鍵/証明書の設定
/opt/FSUNod/bin/odsetSSL
秘密鍵/証明書のアクセス権限設定
/opt/FSUNod/bin/odsetpath
CORBAサービスへの秘密鍵/証明書の設定
/opt/FJSVod/bin/odsetSSL
秘密鍵/証明書のアクセス権限設定
/opt/FJSVod/bin/odsetpath
14.2.1 CORBAサービスへの秘密鍵/証明書の設定
SMEEコマンドで構築した証明書/鍵管理環境上においてCORBAアプリケーション連携でSSLを使用する場合は、以下
の方法でCORBAサービスに秘密鍵/証明書を設定しておく必要があります。
秘密鍵/証明書の設定
CORBAサービスに秘密鍵/証明書を設定するため、odsetSSLコマンドを実行します。コマンド実行時、トークンに設定し
たユーザPINを入力します。
例
CORBAサービスに秘密鍵/証明書を設定
odsetSSL -sd C:\slot -ed C:\sslcert -tl Token01 -nn Jiro
UserPIN:
Re-type UserPIN:
- 242 -
odsetSSL -sd /home/SSL/slot -ed /home/SSL/sslcert -tl Token01 -nn Jiro
UserPIN:
Re-type UserPIN:
セキュリティ属性
CORBAサービスではセキュリティ属性として以下をサポートしており、odsetSSLコマンドで指定します。
SSL 2.0 暗号化方式 ("-level2 xx")
SSLバージョン2.0の通信で許容される暗号化方式として、以下の値の和(10進数)を指定します。
0
SSL2.0通信は使用不可
1
128bit鍵を使用したRC2暗号
2
40bit鍵を使用したRC2暗号
4
56bit鍵を使用したDES暗号
8
168bit鍵を使用した3DES暗号
16
128bit鍵を使用したRC4暗号
32
40bit鍵を使用したRC4暗号
SSL 3.0 暗号化方式 ("-level3 xx")
SSLバージョン3.0の通信で許容される暗号化方式として、以下の値の和(10進数)を指定します。
0
SSL3.0通信は使用不可
1
MD5 MACを使用した暗号なし
2
SHA-1 MACを使用した暗号なし
4
40bit鍵とMD5 MACを使用したRC2暗号
8
56bit鍵とSHA-1 MACを使用したDES暗号
16
168bit鍵とSHA-1 MACを使用した3DES暗号
32
40bit鍵とMD5 MACを使用したRC4暗号
64
128bit鍵とMD5 MACを使用したRC4暗号
128
128bit鍵とSHA-1 MACを使用したRC4暗号
256
128bit鍵とSHA-1 MACを使用したAES暗号
512
128bit鍵とSHA-1 MACを使用したSC2000暗号
1024
256bit鍵とSHA-1 MACを使用したAES暗号
2048
256bit鍵とSHA-1 MACを使用したSC2000暗号
クライアント証明書不在時の認証可否 ("-verify m")
SSLバージョン3.0の通信において、自ホストにクライアント証明書が存在しない場合に、サーバ側でのクライアント認
証時の動作を指定します。
1
自ホストにクライアント証明書が存在しない場合も認証処理を続行
2
自ホストにクライアント証明書が存在しない場合はエラー終了(証明書なし)
- 243 -
14.2.2 configファイルの編集
SMEEコマンドで構築した証明書/鍵管理環境上においてCORBAアプリケーション連携でSSLを使用する場合は、CORBA
サービスにSSL通信処理を組み込むため、configファイルのUNO_IIOP_ssl_useに“yes”を指定します。
また、SSL通信用のポート番号4433(初期値)が他のプログラムで使用されている場合は、UNO_IIOP_ssl_portに1024か
ら65535の間の未使用の番号を設定します。
例
C:\INTERSTAGE\ODWIN\etc\config
UNO_IIOP_ssl_use=yes
UNO_IIOP_ssl_port=4433
/etc/opt/FSUNod/config
UNO_IIOP_ssl_use=yes
UNO_IIOP_ssl_port=4433
/etc/opt/FJSVod/config
UNO_IIOP_ssl_use = yes
UNO_IIOP_ssl_port = 4433
注意
・ configファイルの新しい設定値を有効にするためには、CORBAサービスを再起動してください。
・ 以下の手順でInterstageの初期化を行った場合には、本手順の実施は不要です。
- Interstage動作環境定義に以下の定義項目を定義した上で、isinitコマンドによる初期化を行った場合
SSL USE=yes
SSL Port Number=ポート番号
14.2.3 オブジェクトリファレンス作成時のSSL情報付加の指定
SSL通信を行う場合は、以下のいずれかまたは両方を行い、サーバアプリケーションのオブジェクトリファレンスにSSL情
報が付加されるようにします。
・ OD_or_admコマンドの-sオプションを使用して、SSL情報付きのオブジェクトリファレンスを作成する。
・ OD_impl_instコマンドの定義ファイル内でsslパラメタを指定して、オブジェクトリファレンス生成時のSSL情報付加の
有無を指定する。
OD_or_admコマンドとOD_impl_instコマンドでの指定情報と、SSL通信の有効/無効の関係については、「リファレンスマ
ニュアル(コマンド編)」の「OD_impl_inst」を参照してください。
- 244 -
注意
CORBAサービスにSSL環境を設定後、CORBAサービスを再起動していない場合、OD_or_admコマンドでホスト名(-hオ
プション)とポート番号(-pオプション)を指定する必要があります。
このとき、ポート番号にはCORBAサービスのSSLポート番号に設定したものを指定してください。
14.3 CORBAクライアントの環境設定
Interstage証明書環境を使用する場合はInterstage管理コンソールを使用してSSL環境を設定してください。SMEEコマン
ドで構築した証明書/鍵管理環境においてCORBAクライアントでSSLを利用する場合の環境設定の手順について以下
に示します。
1. 証明書/鍵管理環境の作成
詳細は、「SMEEコマンドによる証明書/鍵管理環境の構築と利用」の「11.2.1 証明書/鍵管理環境の作成」を参照し
てください。
2. 秘密鍵の作成と証明書の取得
詳細は、「SMEEコマンドによる証明書/鍵管理環境の構築と利用」の「11.2.2 秘密鍵の作成と証明書の取得」を参
照してください。
3. 証明書とCRLの登録
詳細は、「SMEEコマンドによる証明書/鍵管理環境の構築と利用」の「11.2.3 証明書とCRLの登録」を参照してくだ
さい。
4. CORBAサービスへの秘密鍵/証明書の設定
5. configファイルの編集
ここでは、CORBAクライアントの環境設定の手順4、手順5について説明します。
ポイント
CORBAサービスのSSL環境設定では、以下のコマンドを使用します。
コマンドプロンプトで入力できないような長いパラメタを使用する場合、バッチファイルに記述して実行してください。
CORBAサービスへの秘密鍵/証明書の設定
C:\Interstage\ODWIN\bin\odsetSSL
14.3.1 CORBAサービスへの秘密鍵/証明書の設定
CORBAアプリケーション連携でSSL通信を行うには、CORBAサービスに秘密鍵/証明書を設定しておく必要があります。
- 245 -
秘密鍵/証明書の設定
CORBAサービスに秘密鍵/証明書を設定するため、odsetSSLコマンドを実行します。
自ホストのサイト証明書(クライアント証明書)を使用する場合、サイト証明書のニックネームを指定します。コマンド実行
時、トークンに設定したユーザPINを入力します。
例
CORBAサービスに秘密鍵/証明書を設定
odsetSSL -sd C:\slot -ed C:\sslcert -tl Token01 -nn Jiro
UserPIN:
Re-type UserPIN:
注意
SSLバージョン3.0でクライアント証明書なしでの運用を行う場合は、ニックネーム(上記例の「-nn Jiro」)は指定しないでく
ださい。
セキュリティ属性
セキュリティ属性を設定する場合は、odsetSSLコマンドで指定します。odsetSSLコマンドの詳細については「リファレンス
マニュアル(コマンド編)」の「odsetSSL」を参照してください。
なお、-verifyオプション(クライアント証明書不在時の認証可否の指定)は、クライアント側では指定する必要はありませ
ん。
14.3.2 configファイルの編集
CORBAサービスにSSL通信処理を組み込むため、configファイルのUNO_IIOP_ssl_useに「yes」を指定します。
また、SSL通信用のポート番号4433(初期値)が他のプログラムで使用されている場合は、UNO_IIOP_ssl_portに1024か
ら65535の間の未使用の番号を設定します。
例
C:\Interstage\ODWIN\etc\config
UNO_IIOP_ssl_use = yes
UNO_IIOP_ssl_port = 4433
注意
configファイルの新しい設定値を有効にするためには、クライアントアプリケーションを再起動してください。
14.4 イベントサービスにおける環境設定
イベントサービスでSSL通信を行うには、CORBAサービスのSSL環境設定を行う必要があります。CORBAサービスのSSL
環境設定については、「14.2 CORBAサーバの環境設定」を参照してください。
- 246 -
また、イベントサービスにおいて、静的生成運用/動的生成運用の環境設定時にSSL通信の設定を行う必要があります。
イベントサービスにおけるSSL通信について以下に説明します。
静的生成運用の場合
esmkchnlコマンドを使用してイベントチャネルを作成する際に、-sslオプションを指定して、SSL通信の設定を行います。
例
イベントチャネル名「CHNL1」、イベントチャネルのグループ「GROUP1」のイベントチャネルを作成して、SSL通信を行う
場合
esmkchnl -g GROUP1 -c CHNL1 -ssl
イベントサービスの静的生成運用の環境設定については、「アプリケーション作成ガイド(イベントサービス編)」(Interstage
Application Server Enterprise Editionで提供)の「静的生成運用」を参照してください。
動的生成運用の場合(Interstage統合コマンドを使用して環境設定を行う場合)
Interstageの環境設定を行う際に、Interstage動作環境定義ファイルに以下の定義を追加して、SSL通信の設定を行いま
す。
Event SSL=yes
イベントサービスの動的生成運用の環境設定については、「アプリケーション作成ガイド(イベントサービス編)」(Interstage
Application Server Enterprise Editionで提供)の「動的生成運用」を参照してください。
動的生成運用の場合(イベントサービス運用コマンドを使用して環境設定を行う場合)
essetupコマンドを使用して、イベントサービスとイベントファクトリのセットアップを行う際に、-sslオプションを指定して、SSL
通信の設定を行います。
例
最大プロセス数「5」、Mixedモデルでのサプライヤ・コンシューマ接続数の合計値「100」のイベントサービスにおいて、動
的生成したイベントチャネルのSSL通信を行う場合
essetup -f -p 5 -m 100 -ssl
イベントサービスの動的生成運用の環境設定については、「アプリケーション作成ガイド(イベントサービス編)」(Interstage
Application Server Enterprise Editionで提供)の「動的生成運用」を参照してください。
- 247 -
第15章 J2EEでSSLを利用する方法
本章では、J2EEアプリケーションにおけるSSL通信について説明します。
15.1 Servletサービスにおける環境設定
以下ではInterstage管理コンソールの操作方法を説明していますが、詳細については、Interstage管理コンソールのヘル
プを参照してください。
WebブラウザとWebサーバ間でSSLを使用した暗号化通信を行う場合
WebサーバでSSLの設定をしてください。
Interstage管理コンソールで、[Webサーバ] > “Webサーバ名” > [環境設定]タブ > [詳細設定] > [SSL]の以下を設定し
ます。
・ [SSLの使用]で[使用する]を設定
・ [SSL定義]で使用するSSL定義名を選択
SSLの設定を行った場合には、セション管理用クッキーにSecure属性が自動的に付加されます。
SSLアクセラレータを使用する場合にはセション管理用クッキーにSecure属性が自動的に付加されないため、常にセショ
ン管理用クッキーにSecure属性を付加する設定をしてください。
Interstage管理コンソールの以下の設定で有効となります。
・ Webアプリケーション単位の設定
[ワークユニット] > “ワークユニット名” > “Webアプリケーション名” > [環境設定]タブ > [コンテキスト設定] > [セショ
ン]で「クッキーにSecure属性を常に付加する」を設定します。
WebサーバコネクタとServletコンテナ間でSSLを使用した暗号化通信を行う場合
Interstage管理コンソールで、以下を設定します。
・ [コネクタとServletコンテナ間のSSLの使用]
・ [コネクタとServletコンテナ間のSSL定義]
設定方法は、運用方法によって異なります。
・ WebサーバとServletコンテナを同一マシンで運用している場合
[ワークユニット] > “ワークユニット名” > [環境設定]タブ > [Webサーバコネクタ(コネクタ)設定]で設定します。
・ WebサーバとServletコンテナを別マシンで運用している場合
WebサーバコネクタとServletコンテナそれぞれに対して設定します。
- Webサーバコネクタの設定
[Webサーバ] > “Webサーバ名” > [Webサーバコネクタ] > “ワークユニット名” > [環境設定]タブ > [詳細設定]
> [Webサーバコネクタ(コネクタ)設定]で設定します。
- Servletコンテナの設定
[ワークユニット] > “ワークユニット名” > [環境設定]タブ > [Webサーバコネクタ(コネクタ)設定]で設定します。
- 248 -
15.2 EJBサービスにおける環境設定
SSL連携を使用する場合は、SSLを使用した暗号化通信の設定を、Interstage管理コンソールを使用して行ってください。
その他の作業は、CORBAサービスのアプリケーションと同様です。詳細については、「第14章 CORBAサービスでSSL
を利用する方法」を参照してください。
EJBサービスの固有作業について、以下に説明します。
SSLを使用した暗号化通信の設定と解除
Interstage管理コンソールを使用して、SSLを使用した暗号化通信の設定と解除を行います。
・ 設定する場合
Interstage管理コンソールの次の画面でSSLを利用するIJServerワークユニットのEJBコンテナの設定をします。
Interstage管理コンソールの[ワークユニット] > “ワークユニット名” > [環境設定] > [詳細設定] > [EJBコンテナ設定]
> [IIOP通信のSSL使用]で“使用する”を設定してください。
・ 解除する場合
Interstage管理コンソールの次の画面でSSLを利用するIJServerワークユニットのEJBコンテナの設定をします。
Interstage管理コンソールの[ワークユニット] > “ワークユニット名” > [環境設定] > [詳細設定] > [EJBコンテナ設定]
> [IIOP通信のSSL使用]で“使用しない”を設定してください。
注意
・ IIOP通信のSSL使用は、ワークユニットタイプが下記の場合にのみ使用できます。
- WebアプリケーションとEJBアプリケーションを別JavaVMで運用
- EJBアプリケーションのみ運用
・ SSL通信設定後、CORBAサービスのconfig(UNO_IIOP_ssl_port)の値を変更した場合は、EJBアプリケーションを再
度配備してください。
SSL通信を使用してHTTPトンネリングを利用する場合、クライアントアプリケーションの起動時に起動パラメタを指定
してください。詳細は「第8章 J2EEのHTTPトンネリング」を参照してください。
15.3 Interstage JMSにおける環境設定
Interstage JMSでSSLを利用する場合、SSLなど、署名や暗号処理を行うための設定をする必要があります。SSLの環境
設定の手順については、「第10章 Interstage証明書環境の構築と利用」を参照してください。
15.4 Interstage Webサービスにおける環境設定
Interstage WebサービスでSSLを利用する方法について説明します。
Webサービスで、Webサービスクライアントとの間でSSLを使用するための設定
WebサーバでSSLの設定をしてください。
詳細は、「15.1 Servletサービスにおける環境設定」の「WebブラウザとWebサーバ間でSSLを使用した暗号化通信を行う
場合」を参照してください。
- 249 -
Webサービスクライアントアプリケーションで、Webサービスとの間でSSLを使用するための設定
Webサービスクライアントアプリケーションでは、Webサービスの呼出しにSSLを使用できます。
WebサービスエンドポイントのURLが、「https://」で始まる場合にSSLが使用されます。
SSLを使用するためには、事前に、Interstage証明書環境の構築を行うことで証明書管理とSSL定義を容易に行うことが
できます。Interstage証明書環境の構築・作成については、「第10章 Interstage証明書環境の構築と利用」を参照してくだ
さい。
注意
・ Interstage証明書環境を使用せずにSSL通信を行う場合、証明書やSSL定義などは、バックアップ・リストアなどの本
製品の管理対象外となりますので、独自に管理を行ってください。
・ クライアントパッケージでは、Interstage証明書環境は提供されません。
以下に、WebサービスクライアントアプリケーションでSSLを使用するための設定方法を説明します。
環境変数の設定
以下の環境変数を設定してください。
CLASSPATH
アプリケーションをIJServer外で動作させる場合は、Webサービスクライアントアプリケーションが必要とするJARに加
え、以下のJARをCLASSPATHに設定してください。
C:\Interstage\lib\isadmin_scs.jar
/opt/FJSVisscs/lib/isadmin_scs.jar
LD_LIBRARY_PATH
アプリケーションをIJServer外で動作させる場合は、環境変数LD_LIBRARY_PATHに下記のパスを追加してくださ
い。
不要
/opt/FJSVisscs/lib
Interstage証明書環境のアクセス権の設定
WebサービスクライアントアプリケーションがInterstage証明書環境へのアクセス権をもっている必要があります。詳細につ
いては、「Interstage証明書環境の構築と利用」の「10.2 環境の構築方法」を参照してください。
SSLの設定
SSLの設定は、Webサービスクライアントアプリケーションのプロセス単位に行ってください。
こ の 設 定 を せ ず に 、 Web サ ー ビ ス の 呼 び 出 し で 「 https:// 」 で 始 ま る URL で 呼 び 出 し た 場 合、
javax.net.ssl.SSLSocketFactory.getDefault()で取得されるSSLSocketによって通信が行われます。URLConnection固有の
- 250 -
設定やサポートされない実装の指定はサポートされません。設定方法の詳細については、JSSEのドキュメントを参照して
ください。なお、サポートされない実装は指定しないでください(非サポート)。
プロセス単位の設定
Webサービス設定ファイルに、以下のプロパティを記述します。
キー
com.fujitsu.interstage.isws.client.ssl.configname
値
Interstage証明書環境で作成したSSL定義名
Webサービス設定ファイルについて詳細は、「J2EE ユーザーズガイド(旧版互換)」の「Webサービスの運用」の「Web
サービス設定ファイル」を参照してください。
スタブ単位の設定
スタブオブジェクトに、以下のプロパティを指定します。
キー
com.fujitsu.interstage.isws.client.ssl.configname
値
Interstage証明書環境で作成したSSL定義名
スタブオブジェクトへの指定方法は、「J2EE ユーザーズガイド(旧版互換)」の「Webサービスの開発」の「HTTP接続に
関する設定」を参照してください。本指定はシステムプロパティによる指定に優先します。
指定するSSL定義について
JSSEのプロバイダでサポートされない暗号化方法は、SSL定義で選択されていても無視されます。JSSEのプロバイダ
がサポートしている暗号化方法が含まれないSSL定義を指定した場合は、例外が発生し、接続が行われません。JSSE
のプロバイダがサポートしている暗号化方法については、JDK/JREのドキュメントを参照してください。
- 251 -
第16章 Portable-ORBでSSLを利用する方法
Portable-ORBでは、SSLを利用した暗号化通信を行うことができます。
本章では、Portable-ORBにおけるSSL通信について説明します。
16.1 Portable-ORBのSSL連携
Portable-ORBのSSL連携機能は、アプリケーション間のデータのやりとりをSSLによる暗号化通信で行うための機能です。
Portable-ORBでSSLを使用した暗号化通信を行う場合は、JDKが提供するkeytoolコマンドで証明書の取得および登録
を行う必要があります。
また、Portable-ORBでSSL通信を行うためには、CORBAサーバの環境設定を行う必要があります。詳細については、
「14.2 CORBAサーバの環境設定」を参照してください。
Portable-ORBの環境設定
証明書の登録
JDKが提供するkeytoolコマンドを使用してキーストアを作成し、認証局(証明書発行局)から取得した認証局の証明書(発
行局証明書)、クライアント証明書を登録します。
キーストアは証明書/鍵などを管理するデータベースであり、keytoolコマンドの初回時に作成されます。認証局の証明書
(発行局証明書)は、SSL連携を行うCORBAアプリケーションを配置したすべてのクライアント・サーバで同一のものを登
録する必要があります。
Portable-ORBの設定
Portable-ORBでCORBAアプリケーション連携をSSL通信で行うためには、SSL環境(キーストアの格納位置、パスワード
等)を設定する必要があります。
設定方法には、porbeditenvコマンドによるセキュリティの設定を使用してPortable-ORBの動作環境ファイル(config)に設
定する方法と、アプリケーション起動時にORB.init()のパラメタとして設定する2とおりの方法があります。
証明書
Portable-ORBでは、以下で発行された証明書をサポートしています。
・ Systemwalker PkiMGR
(当社のインターネット/イントラネットで証明書管理を実現するソフトウェア)
・ 日本ベリサイン株式会社
セキュア・サーバID、セキュア・サーバID EV(EV SSL証明書)をサポートしています。
・ 日本認証サービス株式会社
SecureSign(R)ADサービスをサポートしています。
・ サイバートラスト株式会社
SureServer for SSL証明書をサポートしています。
・ GMOグローバルサイン株式会社
クイック認証SSL、企業認証SSLをサポートしています。
Systemwalker PkiMGRについては、Systemwalker PkiMGRのカタログやマニュアルを参照してください。
- 252 -
暗号化方式
Portable-ORBでは、暗号化方式は接続先のSSL通信機能とのネゴシエーションにより、自動的に選択されます。したがっ
て、CORBAサーバでの暗号化方式の設定時には、Portable-ORBがサポートしている暗号化方式のうち少なくとも1つ以
上を指定してください。
Portable-ORBでサポートしている暗号化方式の一覧を以下に示します。
SSLバージョン3.0で許容される以下の暗号化方式をサポートしています(SSLバージョン2.0未サポート)。
Portable-ORBでサポートする暗号化方式
・ 168bit鍵とSHA-1 MACを使用した3DES暗号
・ 128bit鍵とSHA-1 MACを使用したRC4暗号
・ 128bit鍵とMD5 MACを使用したRC4暗号
・ 128bit鍵とSHA-1 MACを使用したAES暗号
・ 56bit鍵とSHA-1 MACを使用したDES暗号
・ 40bit鍵とMD5 MACを使用したRC4暗号
・ SHA-1 MACを使用した暗号なし
・ MD5 MACを使用した暗号なし
16.2 Portable-ORBの環境設定
Portable-ORBでSSLを利用する場合の環境設定の手順について以下に示します。
ポイント
SSL環境設定では、以下のコマンドを使用します。
コマンドプロンプトで入力できないような長いパラメタを使用する場合、バッチファイルに記述して実行してください。
JDK提供ツール
keytool 証明書の取得/登録
keytoolコマンドの詳細については、JDKのドキュメントを参照してください。
Portable-ORB環境設定コマンド
C:\Interstage\PORB\bin\porbMngCert 組み込み証明書の登録
C:\Interstage\PORB\bin\porbeditenv configファイルの編集
/opt/FJSVporb/bin/porbMngCert 組み込み証明書の登録
/opt/FJSVporb/bin/porbeditenv configファイルの編集
16.2.1 認証局の証明書(発行局証明書)の登録
認証局の証明書(発行局証明書)を登録する手順について以下に示します。
- 253 -
ポイント
キーストアは、証明書および鍵などの情報を管理するデータベースです。keytoolコマンドの初回実行時に作成されま
す。
CORBAサーバの環境設定時に登録した認証局の証明書(発行局証明書)を登録します。
認証局の証明書(発行局証明書)は、組み込み証明書を登録する場合と、それ以外を登録する場合で登録方法が異な
ります。
それぞれの手順について以下に示します。
注意
認証局の証明書(発行局証明書)は、SSL連携を行うCORBAアプリケーションを配置したすべてのクライアント・サーバで
同一のものを登録する必要があります。
組み込み証明書の登録
本製品がサポートするパブリック認証局が発行した認証局の証明書(発行局証明書)を登録する場合、porbMngCertコマ
ンドを使用します。porbMngCertコマンドでは、以下の組み込み証明書一覧ファイルを指定します。
C:\Interstage\IS_cert\contractcertlist
/etc/opt/FJSVisas/contractcertlist
例
組み込み証明書「C:\Interstage\IS_cert\contractcertlist」をキーストア「%PORB_HOME%"\etc\keystore」へ登録します。
java -classpath "%PORB_HOME%"\bin\porbMngCert.jar;"%CLASSPATH%" porbMngCert -import
-kf "%PORB_HOME%"\etc\keystore -rc C:\Interstage\IS_cert\contractcertlist -rl "%PORB_HOME%"\etc
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
PORB0002:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0000:
キーストアのパスワードを入力してください。(注)
証明書がキーストアに追加されました。alias= VeriSign_Class3_PCA_G2_v2
証明書がキーストアに追加されました。alias= VeriSign_PCA3ss_v4
証明書がキーストアに追加されました。alias= VeriSign_Class3_G5
証明書がキーストアに追加されました。alias= VeriSign_Class3_PCA_G3
証明書がキーストアに追加されました。alias= VeriSign_Universal_Root_CA
証明書がキーストアに追加されました。alias= JCS_CA1
証明書がキーストアに追加されました。alias= SecureSign_Root_CA11
証明書がキーストアに追加されました。alias= GTE_CyberTrust_Global_Root
証明書がキーストアに追加されました。alias= Baltimore_CyberTrust_Root
証明書がキーストアに追加されました。alias= GlobalSign_Root_CA_R1
証明書がキーストアに追加されました。alias= GlobalSign_Root_CA_R2
証明書がキーストアに追加されました。alias= GlobalSign_Root_CA_R3
porbMngCertコマンドが正常終了しました。
- 254 -
注) キーストアのパスワード(6文字以上)を入力します。なお、ここで指定したパスワードはキーストアの管理で必要となる
ため、忘れないようにしてください。
例
組み込み証明書「/etc/opt/FJSVisas/contractcertlist」をキーストア「$PORB_HOME/etc/keystore」へ登録します。
ISAS_HOME=/opt/FJSVisas
export ISAS_HOME
java -classpath $PORB_HOME/bin/porbMngCert.jar:$CLASSPATH porbMngCert -import
-kf $PORB_HOME/etc/keystore -rc $ISAS_HOME/etc/contractcertlist -rl $PORB_HOME/etc
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
porbMngCert:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
INFO:
PORB0002:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0010:
PORB0000:
キーストアのパスワードを入力してください。(注)
証明書がキーストアに追加されました。alias= VeriSign_Class3_PCA_G2_v2
証明書がキーストアに追加されました。alias= VeriSign_PCA3ss_v4
証明書がキーストアに追加されました。alias= VeriSign_Class3_G5
証明書がキーストアに追加されました。alias= VeriSign_Class3_PCA_G3
証明書がキーストアに追加されました。alias= VeriSign_Universal_Root_CA
証明書がキーストアに追加されました。alias= JCS_CA1
証明書がキーストアに追加されました。alias= SecureSign_Root_CA11
証明書がキーストアに追加されました。alias= GTE_CyberTrust_Global_Root
証明書がキーストアに追加されました。alias= Baltimore_CyberTrust_Root
証明書がキーストアに追加されました。alias= GlobalSign_Root_CA_R1
証明書がキーストアに追加されました。alias= GlobalSign_Root_CA_R2
証明書がキーストアに追加されました。alias= GlobalSign_Root_CA_R3
porbMngCertコマンドが正常終了しました。
注) キーストアのパスワード(6文字以上)を入力します。なお、ここで指定したパスワードはキーストアの管理で必要となる
ため、忘れないようにしてください。
組み込み証明書以外の登録
CORBAサーバの環境設定時に取得した認証局の証明書(発行局証明書)を登録する場合、keytoolコマンドの-importcert
オプションを使用します。
例
認証局の証明書(発行局証明書)「C:\sslenv\InfoCA.cert」をキーストア「%PORB_HOME%"\etc\keystore」へ登録(別名
はInfoCA)します。
keytool -importcert -alias InfoCA -file C:\sslenv\InfoCA.cert -keystore "%PORB_HOME%"\etc\keystore
キーストアのパスワードを入力してください: (注1)
所有者: CN=Infoca, O=Fujitsu, C=jp
実行者: CN=Infoca, O=Fujitsu, C=jp
シリアル番号: 4c
有効日: Thu Oct 25 18:09:30 JST 2001 有効期限: Wed Oct 25 18:09:30 JST 2006
証明書のフィンガープリント:
MD5: 05:9F:5F:43:81:58:94:6A:93:F7:E9:2C:2E:6A:5C:42
SHA1: 38:FD:54:C9:46:8F:49:D5:32:4D:FD:DD:F9:EE:99:C2:30:49:F5:D5
この証明書を信頼しますか? [no]: yes (注2)
証明書がキーストアに追加されました。
- 255 -
注1) キーストアのパスワード(6文字以上)を入力します。なお、ここで指定したパスワードはキーストアの管理で必要とな
るため、忘れないようにしてください。
注2) 認証局の証明書(発行局証明書)を登録する場合は、「yes」を入力します。
例
認証局の証明書(発行局証明書)「/home/ssluser/InfoCA.cert」をキーストア「$PORB_HOME/etc/keystore」へ登録(別名は
InfoCA)します。
keytool -importcert -alias InfoCA -file /home/ssluser/InfoCA.cert -keystore $PORB_HOME/etc/keystore
キーストアのパスワードを入力してください: (注1)
所有者: CN=Infoca, O=Fujitsu, C=jp
実行者: CN=Infoca, O=Fujitsu, C=jp
シリアル番号: 4c
有効日: Thu Oct 25 18:09:30 JST 2001 有効期限: Wed Oct 25 18:09:30 JST 2006
証明書のフィンガープリント:
MD5: 05:9F:5F:43:81:58:94:6A:93:F7:E9:2C:2E:6A:5C:42
SHA1: 38:FD:54:C9:46:8F:49:D5:32:4D:FD:DD:F9:EE:99:C2:30:49:F5:D5
この証明書を信頼しますか? [no]: yes (注2)
証明書がキーストアに追加されました。
注1) キーストアのパスワード(6文字以上)を入力します。なお、ここで指定したパスワードはキーストアの管理で必要とな
るため、忘れないようにしてください。
注2) 認証局の証明書(発行局証明書)を登録する場合は、「yes」を入力します。
16.2.2 クライアント証明書の登録
クライアント証明書を登録する手順について以下に示します。
注意
クライアント証明書なしでの運用を行う場合、本操作を行う必要はありません。
認証局(証明書発行局)から証明書を取得し、登録します。
証明書の取得
認証局(証明書発行局)が発行した証明書を使用する場合は、認証局(証明書発行局)に証明書の発行を依頼し、証明
書を取得する必要があります。認証局(証明書発行局)から証明書を取得する手順を以下に示します。
証明書取得申請書の作成
認証局(証明書発行局)へ証明書の発行を依頼するための証明書取得申請書を作成します。
keytoolコマンドの-genkeypairオプションを使用して鍵のペア(公開鍵および関連する非公開鍵)を生成します。生成した
公開鍵には、自己署名証明書が含まれています。
keytoolコマンドの-certreqオプションを使用して証明書取得申請書を作成します。
- 256 -
例
証明書申請情報をファイル「C:\sslenv\myCertRequest」に出力します。
keytool -genkeypair -alias porbkey -keyalg RSA -keysize 2048 -keystore "%PORB_HOME%"\etc\keystore -validity
365
キーストアのパスワードを入力してください: (注1)
姓名を入力してください。
[Unknown]: hanako fujitsu (注2)
組織単位名を入力してください。
[Unknown]: interstage (注2)
組織名を入力してください。
[Unknown]: fujitsu (注2)
都市名または地域名を入力してください。
[Unknown]: yokohama (注2)
州名または地方名を入力してください。
[Unknown]: kanagawa (注2)
この単位に該当する 2 文字の国番号を入力してください。
[Unknown]: jp (注2)
CN=hanako fujitsu, OU=interstage, O=fujitsu, L=yokohama, ST=kanagawa, C=jp でよろしいですか?
[no]: yes (注3)
<porbkey> の鍵パスワードを入力してください。
(キーストアのパスワードと同じ場合は RETURN を押してください): (注4)
keytool -certreq -alias porbkey -file C:\sslenv\myCertRequest -keystore "%PORB_HOME%"\etc\keystore
キーストアのパスワードを入力してください: (注1)
<porbkey> の鍵パスワードを入力してください。 (注4)
注1) キーストアのパスワード(6文字以上)を入力します。なお、ここで指定したパスワードはキーストアの管理で必要とな
るため、忘れないようにしてください。
注2) 表示に従い、作成者名、組織単位名、組織名、都市名などを入力します。
注3) 注2で入力した情報が正しい場合は、「yes」を入力します。
注4) 鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します(省略時は、キーストアのパス
ワードと同一)。なお、ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
例
証明書申請情報をファイル「/home/ssluser/myCertRequest」に出力します。
keytool -genkeypair -alias porbkey -keyalg RSA -keysize 2048 -keystore $PORB_HOME/etc/keystore -validity 365
キーストアのパスワードを入力してください: (注1)
姓名を入力してください。
[Unknown]: hanako fujitsu (注2)
組織単位名を入力してください。
[Unknown]: interstage (注2)
組織名を入力してください。
[Unknown]: fujitsu (注2)
都市名または地域名を入力してください。
[Unknown]: yokohama (注2)
州名または地方名を入力してください。
[Unknown]: kanagawa (注2)
この単位に該当する 2 文字の国番号を入力してください。
[Unknown]: jp (注2)
- 257 -
CN=hanako fujitsu, OU=interstage, O=fujitsu, L=yokohama, ST=kanagawa, C=jp でよろしいですか?
[no]: yes (注3)
<porbkey> の鍵パスワードを入力してください。
(キーストアのパスワードと同じ場合は RETURN を押してください): (注4)
keytool -certreq -alias porbkey -file /home/ssluser/myCertRequest -keystore $PORB_HOME/etc/keystore
キーストアのパスワードを入力してください: (注1)
<porbkey> の鍵パスワードを入力してください。 (注4)
注1) キーストアのパスワード(6文字以上)を入力します。なお、ここで指定したパスワードはキーストアの管理で必要とな
るため、忘れないようにしてください。
注2) 表示に従い、作成者名、組織単位名、組織名、都市名などを入力します。
注3) 注2で入力した情報が正しい場合は、「yes」を入力します。
注4) 鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します(省略時は、キーストアのパス
ワードと同一)。なお、ここで指定したパスワードはキーストアの管理で必要となるため、忘れないようにしてください。
証明書の発行依頼
証明書取得申請書を認証局(証明書発行局)へ送付し、クライアント証明書の発行を依頼します。依頼方法は、各認証局
(証明書発行局)での方法に従ってください。
なお、認証局(証明書発行局)はCORBAサーバと同一のものを使用してください。
証明書の取得
認証局(証明書発行局)により署名された証明書を取得します。取得方法は、各認証局(証明書発行局)での方法に従っ
てください。
クライアント証明書の登録
認証局(証明書発行局)から送付されたクライアント証明書をキーストアに登録します。
注意
・ クライアント証明書を発行している認証局が、中間認証局の証明書(中間CA証明書)を用意している場合には、クラ
イアント証明書の登録の前に、認証局の証明書(発行局証明書)の他に、中間認証局の証明書(中間CA証明書)を
登録しておく必要があります。
登録には、keytoolコマンドの-importcertオプションを使用します。
・ 認証局として、CORBAサーバと別の認証局を使用している場合は、クライアント証明書の登録の前に、Portable-ORB
クライアントで取得した認証局の証明書(発行局証明書)を登録しておく必要があります。
・ 証明書を登録する際は、ルートとなる証明書(発行局証明書)から順に登録してください。
クライアント証明書は、keytoolコマンドの-importcertオプションを使用して、証明書取得申請書を取得する際に使用した
別名(alias)を指定して登録します。
例
PKCS#7形式のクライアント証明書「C:\sslenv\porbcert.p7c」を登録(別名はporbkey)します。
- 258 -
keytool -importcert -alias porbkey -file C:\sslenv\porbcert.p7c -keystore "%PORB_HOME%"\etc\keystore
キーストアのパスワードを入力してください: (注1)
<porbkey>の鍵パスワードを入力してください。 (注2)
証明書応答がキーストアにインストールされました。
注1) キーストアのパスワード(6文字以上)を入力します。ここで指定したパスワードはキーストアの管理で必要となるため、
忘れないようにしてください。
注2) 鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します。ここで指定したパスワードは
キーストアの管理で必要となるため、忘れないようにしてください。
例
PKCS#7形式のクライアント証明書「/home/ssluser/porbcert.p7c」を登録(別名はporbkey)します。
keytool -importcert -alias porbkey -file /home/ssluser/porbcert.p7c -keystore $PORB_HOME/etc/keystore
キーストアのパスワードを入力してください: (注1)
<porbkey>の鍵パスワードを入力してください。 (注2)
証明書応答がキーストアにインストールされました。
注1) キーストアのパスワード(6文字以上)を入力します。ここで指定したパスワードはキーストアの管理で必要となるため、
忘れないようにしてください。
注2) 鍵のペア(公開鍵および関連する非公開鍵)のパスワード(6文字以上)を入力します。ここで指定したパスワードは
キーストアの管理で必要となるため、忘れないようにしてください。
注意
Portable-ORBクライアントでSSLを使用する場合、認証局(証明書発行局)としてCORBAサーバと同一のものを使用しま
す。このため、通常、認証局の証明書(発行局証明書)はすでに登録済みになっています。
Portable-ORBクライアントの認証局(証明書発行局)としてCORBAサーバと同一のものが使用されなかった場合は、以下
のメッセージ(認証局の証明書(発行局証明書)が未登録である場合に出力されるメッセージ)が出力されることがありま
す。この場合の対処について説明します。
PKCS#7形式のクライアント証明書を登録する場合
応答したトップレベルの証明書:
所有者: CN=Infoca, O=Fujitsu, C=jp
実行者: CN=Infoca, O=Fujitsu, C=jp
シリアル番号: 4c
有効日: Thu Oct 25 18:09:30 JST 2001 有効期限: Wed Oct 25 18:09:30 JST 2006
証明書のフィンガープリント:
MD5: 05:9F:5F:43:81:58:94:6A:93:F7:E9:2C:2E:6A:5C:42
SHA1: 38:FD:54:C9:46:8F:49:D5:32:4D:FD:DD:F9:EE:99:C2:30:49:F5:D5
...は信頼されていません。応答をインストールしますか? [no]:
ユーザの対処
本メッセージに対して、「yes」を入力します。
「証明書応答がキーストアにインストールされました。」と表示され、クライアント証明書がキーストア内に登録されます。
また、CORBAサーバ側の環境設定を見直してください。CORBAサーバ側にPortable-ORBクライアントで取得した認証
局の証明書(発行局証明書)が登録されていない場合は、登録してください。
- 259 -
DER(バイナリ)形式またはBase64エンコード形式のクライアント証明書を登録する場合
keytool エラー: java.lang.Exception: 応答から連鎖を確立できませんでした。
ユーザの対処
Portable-ORBクライアントで取得した認証局の証明書(発行局証明書)を登録した後、クライアント証明書を登録してくだ
さい(認証局が中間認証局の証明書を用意している場合は、認証局の証明書(発行局証明書)の他に、中間認証局の証
明書(中間CA証明書)の登録も必要となります)。
また、CORBAサーバ側の環境設定を見直してください。CORBAサーバ側にPortable-ORBクライアントで取得した認証
局の証明書(発行局証明書)が登録されていない場合は、登録してください。
16.2.3 Portable-ORBの設定
Portable-ORBクライアントを使用して、CORBAアプリケーション連携でSSL通信を行うには、Portable-ORBにSSL環境
(キーストアの位置、パスワード等)を設定する必要があります。
設定には、あらかじめPortable-ORBの動作環境ファイル(config)に登録しておく方法と、アプリケーション起動時にORB.init()
のパラメタとして指定する方法の2とおりの方法があります。
これらを自由に組み合わせてSSL環境を構築することができます。
注意
Portable-ORBの動作環境ファイルへの登録とORB.init()のパラメタの両方を指定した場合は、パラメタ設定が優先されま
す。
Portable-ORBの動作環境ファイル(config)への登録
Portable-ORBの動作環境ファイル(config)への登録には、porbeditenvコマンドを使用します。
porbeditenvコマンドによるセキュリティの設定を使用して、キーストアの格納位置、キーストアパスワード、非公開鍵の別
名、非公開鍵パスワードを設定します。
例
Portable-ORBの動作環境ファイル(config)を編集します。
java -classpath "%PORB_HOME%"\bin\porbeditenv.jar;"%CLASSPATH%" porbeditenv
例
Portable-ORBの動作環境ファイル(config)を編集します。
java -classpath $CLASSPATH:$PORB_HOME/bin/porbeditenv.jar porbeditenv
- 260 -
設定内容の詳細については、「リファレンスマニュアル(コマンド編)」の「porbeditenv」を参照してください。
アプリケーション起動時にパラメタとして指定
アプリケーション起動時のパラメタに、キーストアの格納位置、キーストアパスワード、非公開鍵の別名、非公開鍵パスワー
ドを指定します。Javaアプレット以外のアプリケーションの場合、およびJavaアプレットの場合について以下に示します。
Javaアプレット以外のアプリケーションの場合
アプリケーション起動時に、パラメタまたはプロパティデータとして指定します。
Javaアプレットの場合
プロパティデータとして指定します。
HTMLファイルの<param>タグを使用して、パラメタを指定することはできません。
パラメタと意味
パラメタ名
意味
ORB_FJ_PO
RB_SSLPath
証明書の取得、登録時に作成したキーストアをフルパスで設定します。
キーストアの格納位置(注)は、porbeditenvコマンドまたは本パラメタのいずれかで
設定しておく必要があります。
以下のような設定が可能です。
例) C:\Interstage\PORB\etc\keystore(パス形式の場合)
http://host.domain/porb/etc/keystore(URI形式の場合)
file://C:/Interstage/PORB/etc/keystore(URI形式の場合)
ORB_FJ_PO
RB_SSLStore
pass
証明書の取得、登録時に作成したキーストアのパスワードを設定します。
キーストアパスワードは、porbeditenvコマンドまたは本パラメタのいずれかで設定
しておく必要があります。
ORB_FJ_PO
RB_SSLKeya
lias
クライアント証明書の取得、登録時に作成した鍵のペア(公開鍵および関連する
非公開鍵)の別名を設定します。
クライアント証明書なしでの運用を行う場合は、設定する必要はありません。
クライアント認証を行う場合、非公開鍵の別名は、porbeditenvコマンドまたは本パ
ラメタのいずれかで設定しておく必要があります。
ORB_FJ_PO
RB_SSLKeyp
ass
クライアント証明書の取得、登録時に作成した鍵のペア(公開鍵および関連する
非公開鍵)のパスワードを設定します。
クライアント証明書なしでの運用を行う場合は、設定する必要はありません。
クライアント認証を行う場合、非公開鍵パスワードは、porbeditenvコマンドまたは
本パラメタのいずれかで設定しておく必要があります。
注) キーストアの格納位置
・ Javaアプレット以外のアプリケーションの場合
クライアント側の任意のディレクトリ(C:\Interstage\PORB\etcの配下など)にキーストアを作成して使用します。このキー
ストアは、ファイルシステムのパス形式で指定します。
例) C:\Interstage\PORB\etc\keystore
・ Javaアプレットの場合
クライアント側の任意のディレクトリ(C:\Interstage\PORB\etcの配下など)に作成して使用します。このキーストアは、
ファイルシステムのパス形式で指定します。
例) C:\Interstage\PORB\etc\keystore
また、キーストアをクライアント側の任意のディレクトリに作成した後、Webサーバ上(PORB環境ディレクトリの配下)に
複写して使用することもできます。このキーストアの格納位置は、URI形式で指定します。
- 261 -
例) http://host.domain/porb/etc/keystore
file://C:/Interstage/PORB/etc/keystore
なお、キーストアはサーバ、クライアントのいずれに置くことも可能ですが、OS種別によりキーストアを同一ディレクトリに格
納できない場合があります。この場合、キーストアをWebサーバ上(PORB環境ディレクトリの配下)に複写して使用するか、
またはクライアントごとのSSL環境をパラメタとして指定するようにしてください。
例
Javaアプレット以外のアプリケーションで指定する場合
java Sample -ORB_FJ_PORB_SSLPath C:\Interstage\PORB\etc\keystore
-ORB_FJ_PORB_SSLStorepass storepass -ORB_FJ_PORB_SSLKeyalias porbkey
-ORB_FJ_PORB_SSLKeypass keypass
public class Sample
{
public static void main( String[] args ) {
org.omg.CORBA.ORB Orb;
Orb = org.omg.CORBA.ORB.init(args, null);
:
:
}
}
例
Javaアプレットで指定する場合
public class Sample
{
public void init () {
props = new java.util.Properties();
props.put(ORB_FJ_PORB_SSLPath,"C:\Interstage\PORB\etc\keystore");
props.put(ORB_FJ_PORB_SSLStorepass,"storepass");
props.put(ORB_FJ_PORB_SSLKeyalias,"porbkey");
props.put(ORB_FJ_PORB_SSLKeypass,"keypass");
try{
Orb = org.omg.CORBA.ORB.init( this, props ); // for Applet
:
:
}
catch
:
:
}
}
注意
運用時には、ユーザが入力したパスワードをプロパティに設定することでパスワードを保護してください。
- 262 -
第17章 Interstage ディレクトリサービスでSSLを利用する
方法
Interstage ディレクトリサービスは、SSLを利用した暗号化通信を行うことができます。
本章では、Interstage ディレクトリサービスにおけるSSL通信について説明します。
SSL通信の対象
Interstage ディレクトリサービスでは、以下の通信経路をSSL通信の対象とすることができます。
通信経路
コマンドとの通信
SSL通信の対象
以下のコマンドとリポジトリ間の通信を暗号化することができま
す。
・ ldapsearchコマンド
・ ldapmodifyコマンド
・ ldapdeleteコマンド
アプリケーションとの通信
クライアントアプリケーションとリポジトリ間の通信を暗号化する
ことができます。
レプリケーション運用時の通信
レプリケーション運用時のリポジトリ(マスタ)とリポジトリ(スレー
ブ)間の通信を暗号化することができます。
注意
エントリ管理ツールおよびエントリ管理コマンド(irepmodifyent)を使用する場合は、通信経路をSSL通信の対象とすること
はできないため、リポジトリと同一マシン内で実行するなど、セキュリティを十分配慮した環境で運用してください。
クライアント認証について
クライアント認証を行うと、特定の認証局が発行した証明書を提示したSSLクライアントに対してのみSSLサーバへのアク
セスを許すことができ、ユーザのなりすましを防ぐことができます。
SSL連携の環境構築
Interstage ディレクトリサービスのクライアント・サーバ間でSSLを使用した暗号化通信を行う場合、SSL環境をクライアント
に登録し、SSL通信を行うサーバに対してSSL情報を設定する必要があります。
標準データベースを使用したレプリケーション運用時にマスタ・スレーブ間でSSL通信を行うためには、マスタ・スレーブ
ともに証明書管理環境の作成、および証明書の登録を行う必要があります。
環境設定の手順は、「ディレクトリサービス運用ガイド」の「SSL通信環境の構築」を参照してください。
- 263 -
付録A セキュリティ動向
本章では、セキュリティ動向と、本製品における実装と推奨について説明します。
なお、製品出荷時の情報であるため、状況が変化している場合もあります。
暗号アルゴリズム
暗号アルゴリズムの安全性に対する研究や、マシン性能の向上によって、以前は安全とされていた暗号が、現在では安
全とは言えなくなってきています。
2003年に総務省と経済産業省から「電子政府推奨暗号リスト」が公表されており、現時点における、暗号アルゴリズムを
選択するときの指針となっています。
電子政府推奨暗号リストから外されている暗号アルゴリズムには、以下があります。
・ MD5アルゴリズム
・ RC2暗号アルゴリズム
・ DES暗号アルゴリズム
電子政府推奨暗号リストにおいて、条件付きで掲載されている暗号アルゴリズムには、以下があります。
・ RSAES-PKCS1-v1_5アルゴリズム(いわゆる「RSA暗号アルゴリズム」)
・ SHA-1アルゴリズム
・ 128-bit RC4暗号アルゴリズム
・ 3-key Triple DES暗号アルゴリズム
現在ではまだ一般的に利用されている暗号アルゴリズムであるため、当面の継続利用が認められたものです。他の推奨
暗号アルゴリズムが利用できる場合には、それらの利用が推奨されています。
上記と、通信相手の製品が実装している暗号アルゴリズムを考慮し、適切な暗号アルゴリズムを選択するようにしてくださ
い。
SSLプロトコルバージョン
SSL2.0にはプロトコルにセキュリティ上の問題があることが分かっているため、SSL3.0やTLS1.0への移行が推奨されてい
ます。しかし、他社製品やWebブラウザとの通信を可能にする必要があるため、引き続きSSL2.0での通信を許す設定に
してあるサービスもあります。
サービスと、そのサービスの通信相手の製品で利用できるSSLプロトコルのバージョンを確認し、可能であればSSL2.0で
の通信を受け付けない設定に変更することを推奨します。
証明書の信頼性
証明書の信頼性は、信頼できる認証局に発行されることによって保証されます。そのため、認証局では、CPS(Certification
Practice Statement)を策定し、認証局の運営方針や責任範囲を明らかにすることで、認証局としての信頼性を維持してい
ます。証明書に署名するために使用する秘密鍵は、外部への持ち出しができないような(耐タンパー性の)機器を用いて
厳重に管理するのが一般的です。さらに、証明書を発行する際に申請者の身元確認などの審査を行うことにより、認証
局の信頼性を維持しています。
証明書を使用する製品やWebブラウザなどには、このような信頼できる認証局の証明書があらかじめ組み込まれていま
す。本製品においては、日本ベリサイン株式会社、日本認証サービス株式会社、サイバートラスト株式会社、およびGMO
グローバルサイン株式会社の認証局証明書を組み込んでいます。
しかし、本製品がInterstage管理コンソールのSSL暗号化通信用に生成した証明書や、scsmakeenvコマンドで生成したテ
スト用証明書は、認証局の厳密な運用に基づいて発行された証明書ではありません。証明書の信頼性や利用責任は、
- 264 -
その証明書の利用者や受けとった人の判断に委ねられます。そのため、運用時には、信頼できる認証局から発行された
証明書を利用することを推奨します。
認証局の証明書は、あらかじめ証明書のフィンガープリント(拇印)などを確認し、Interstage証明書環境や証明書/鍵管理
環境やキーストアに登録したうえで利用することを推奨します。通信時に認証局の証明書が送付されてきた場合につい
ても、同様に確認し登録したうえで利用してください。
利用している証明書の信頼性が低いと、証明書を利用した暗号・署名の信頼性も低下します。システムを安全に運用す
るために、信頼できる認証局から証明書を入手して利用するようにしてください。
- 265 -
付録B Interstage組み込み証明書一覧
本バージョンの本製品に組み込まれている証明書の一覧を表に示します。
証明書環境に証明書の登録を行う場合、以下のように実施してください。
・ 証明書の一覧に必要な証明書がある場合
使用する証明書環境に応じて、それぞれ以下のように証明書を登録してください。
- Interstage証明書環境を使用する場合
-cオプションを指定して、scsmakeenvコマンドを実行してください。
- SMEEコマンドで構築した証明書/鍵管理環境を使用する場合
-rcオプションを指定して、cmsetenvコマンドを実行してください。
scsmakeenv、およびcmsetenvコマンドの詳細については、「リファレンスマニュアル(コマンド編)」の「SSL環境設定コ
マンド」を参照してください。
・ 証明書の一覧に必要な証明書がない場合
本バージョンの本製品に組み込まれていない証明書が必要な場合は、各認証局のサイトを確認し、指示された手順
に従って認証局証明書や中間CA証明書を入手してください。その後、使用する証明書環境に応じて、それぞれ以
下のように証明書を登録してください。
- Interstage証明書環境を使用する場合
scsenterコマンドを実行してください。
- SMEEコマンドで構築した証明書/鍵管理環境を使用する場合
-caオプションを指定してcmentcertコマンドを実行してください。
scsenter、およびcmsetenvコマンドの詳細については、「リファレンスマニュアル(コマンド編)」の「SSL環境設定コマン
ド」を参照してください。
日本ベリサイン株式会社
発行先
有効期限
Class 3 Public Primary Certification Authority
2028/8/2 8:59:59
Verisign Class 3 Public Primary Certification
Authority - G5
2036/7/17 8:59:59
Verisign Trust Network
(Class 3 Public Primary Certification
Authority - G2)
2028/8/2 8:59:59
VeriSign Class 3 Public Primary Certification
Authority - G3
2036/7/17 8:59:59
VeriSign Universal Root Certification
Authority
2037/12/2 8:59:59
日本認証サービス株式会社
発行先
有効期限
SecureSign RootCA1
2020/9/15 23:59:59
SecureSign RootCA11
2029/4/8 13:56:47
サイバートラスト株式会社
- 266 -
発行先
有効期限
Baltimore CyberTrust Root
2025/5/13 8:59:00
GTE Cybertrust Global Root
2018/8/14 8:59:00
GMOグローバルサイン株式会社
発行先
有効期限
GlobalSign Root CA
2028/1/28 21:00:00
GlobalSign
2021/12/15 17:00:00
(OU=GlobalSign Root CA - R2)
GlobalSign
2029/03/18 19:00:00
(OU=GlobalSign Root CA - R3)
- 267 -
索 引
[数字]
2種類のSMEEについて........................................................182
HTTPトンネリングの起動方法...............................................149
HTTPトンネリングを使用したHTTPデータ通信....................143
HTTPプロキシサーバ使用時の設定.....................................152
[A]
Alias........................................................................................207
Allow........................................................................................88
AuthLDAPAttribute.................................................................88
AuthLDAPbasedn.....................................................................89
AuthLDAPBindDN..................................................................90
AuthLDAPBindPassword.........................................................91
AuthLDAPCertPath..................................................................91
AuthLDAPEnabled...................................................................92
AuthLDAPHost........................................................................93
AuthLDAPPort.........................................................................94
AuthLDAPSecure.....................................................................94
AuthLDAPSecureVersion........................................................95
AuthLDAPSlotPath..................................................................96
AuthLDAPTknLbl....................................................................97
AuthLDAPTknPwd..................................................................97
AuthName.................................................................................98
AuthType..................................................................................99
AuthUserFile............................................................................99
[I]
IJServer(Webアプリケーションのみ運用)でのHTTPトンネリング
の使用方法............................................................................154
IJServerの運用に関する対策..................................................49
Interstage HTTP Server............................................................57
Interstage HTTP Server 2.2......................................................60
Interstage HTTP Server 2.2でSSLを利用する方法...............238
Interstage HTTP Server運用に関する対策.............................41
Interstage HTTP ServerでSSLを利用する方法.....................198
Interstage HTTP Serverの環境設定...............................198,201
Interstage HTTP Serverの認証とアクセス制御の設定............62
Interstage JMSにおける環境設定.........................................249
Interstage JMSに関する対策...................................................53
Interstage Webサービスにおける環境設定...........................249
Interstage管理コンソール...........................................................3
Interstage管理コンソールに関する対策..................................41
Interstage管理コンソールの動作モデル...................................3
Interstage組み込み証明書一覧............................................266
Interstage資源のセキュリティ強化...........................................39
Interstage証明書環境のSSL通信..........................................198
Interstage証明書環境のアクセス権限の設定.......................162
Interstage証明書環境の構築...................................164,172,198
Interstage証明書環境の構築と利用......................................159
Interstage シングル・サインオン............................................6,56
構成モデル................................................................................6
Interstage ディレクトリサービス............................................28,56
Interstage ディレクトリサービスでSSLを利用する方法..........263
Interstage ディレクトリサービスのアクセス制御の設定..........114
Interstage ディレクトリサービスの運用に関する対策..............47
Interstage ディレクトリサービスの機能と保護対象資源...........29
Interstage ディレクトリサービスの動作モデル..........................28
Interstageの認証とアクセス制御機能......................................56
IPアクセスコントロール........................................................58,64
[C]
configファイルの編集......................................................244,246
CORBAクライアントの環境設定............................................245
CORBAサーバの環境設定...................................................241
CORBAサービスでSSLを利用する方法...............................239
CORBAサービスに関する対策...............................................44
CORBAサービスのSSL連携.................................................240
CORBAサービスへの秘密鍵/証明書の設定................242,245
CSR(証明書取得申請書)の作成..........................................164
CSRによるInterstage証明書環境の構築方法.......................164
CustomLog.............................................................................208
[D]
Deny........................................................................................100
Directory.................................................................................100
DirectoryIndex........................................................................101
DocumentRoot........................................................................210
DoS攻撃.....................................................................................9
[J]
J2EEアプリケーション...............................................................14
J2EEアプリケーション運用時に使用する機能........................15
J2EEアプリケーションクライアントでのHTTPトンネリングの使用
方法........................................................................................154
J2EEアプリケーションの動作モデル.......................................14
J2EE互換に関する対策...........................................................49
J2EEでSSLを利用する方法..................................................248
J2EEのHTTPトンネリング.......................................................154
Java EEに関する対策..............................................................48
JavaアプレットでのHTTPトンネリングの使用方法.................155
[E]
EJBサービスにおける環境設定............................................249
EJBサービスに関する対策......................................................51
EJBの保護対象資源................................................................51
ErrorLog.................................................................................211
[G]
Group...............................................................................102,212
[L]
Listen......................................................................................213
LoadModule.....................................................................102,214
Location..................................................................................103
LogFormat..............................................................................214
[H]
htpasswd...................................................................................62
HTTP-IIOPゲートウェイ.........................................................145
HTTPゲートウェイ環境...........................................................144
HTTPトンネリング...................................................................144
HTTPトンネリングの環境設定...............................................144
- 268 -
[O]
odsetSSL.................................................................................241
OD_impl_inst.........................................................................241
OD_or_adm............................................................................241
OLTPアプリケーションの動作モデル......................................24
OLTP機能................................................................................24
Order.......................................................................................103
[T]
Timeout...................................................................................236
[U]
User..................................................................................113,236
[V]
VirtualHost.............................................................................237
[P]
PKCS#12データ、証明書、CRLの登録................................172
PKCS#12によるInterstage証明書環境の構築方法..............171
Portable-ORBでSSLを利用する方法....................................252
Portable-ORBに関する対策....................................................45
Portable-ORBのSSL連携.......................................................252
Portable-ORBの環境設定.....................................................253
Portable-ORBの設定.............................................................260
[W]
Webサーバの環境設定.........................................................145
Webブラウザに表示するメッセージ.........................................13
[あ]
アクセス制御の設計...............................................................114
アクセス制御の設定.................................................................32
アクセス制御リスト定義の評価...............................................122
ファイル形式...........................................................................115
アクセス制御リスト定義ファイルの編集.................................116
アクセス制御リストの定義.......................................................115
アクセス制御リストの登録.......................................................124
アクセスログ............................................................................127
アプリケーションインタフェース詳細......................................140
アプリケーションの問題............................................................10
アプリケーションプログラミング................................................13
イベントサービスにおける環境設定......................................246
イベントサービスに関する対策................................................46
運用資源へのアクセス権限の設定.........................................10
オブジェクトリファレンス作成時のSSL情報付加の指定.......244
オンライン照合....................................................................59,70
[R]
Redirect...................................................................................104
Require....................................................................................105
RewriteCond...........................................................................106
RewriteEngine........................................................................107
RewriteRule............................................................................108
[S]
ScriptAlias..............................................................................217
ServerAdmin...........................................................................218
ServerName............................................................................218
ServerRoot..............................................................................219
Servletサービスにおける環境設定........................................248
Servletサービスに関する対策.................................................50
SetEnvIf..................................................................................220
SMEEコマンドで構築する証明書/鍵管理環境のSSL通信..200
SMEEコマンドによる証明書/鍵管理環境の構築と利用.......181
SSL...........................................................................................61
SSL 2.0...................................................................................243
SSL 3.0...................................................................................243
SSLCertExpand...............................................................111,221
SSLCertExpire........................................................................222
SSLCertName.........................................................................223
SSLCipherSuite......................................................................224
SSLClCACertName................................................................226
SSLEnvDir..............................................................................227
SSLExec.................................................................................228
SSLHandshakeTimeout..........................................................229
SSLLIBMultiSession..............................................................229
SSLMaxSession......................................................................230
SSLNotifyVers................................................................112,230
SSLSlotDir..............................................................................231
SSLTokenLabel......................................................................232
SSLUserPINFile.....................................................................233
SSLVerifyClient.....................................................................233
SSLVersion.............................................................................234
SSL通信機能による暗号化.....................................................53
SSL通信の環境設定...............................................................73
SSLによる暗号化通信...........................................................157
[か]
各サービスの環境設定..........................................................175
考えられる脅威.....................................................................7,30
環境定義ファイルの設定....................................................67,78
環境の構築方法....................................................................161
関連ディレクティブ............................................................87,206
脅威と対策...............................................................................30
脅威への対策..............................................5,16,21,27,35,38,52
共通の対策..............................................................................39
業務構成管理機能..................................................................36
業務構成管理機能の動作モデル...........................................36
業務構成管理に関する対策...................................................48
業務サーバの運用・管理.........................................................12
業務サーバ、または認証サーバをDMZに配置する場合の脅威7
クライアントCA証明書の登録................................................193
クライアント証明書の運用......................................................193
クライアント証明書の取得......................................................193
クライアント証明書の登録......................................................256
クライアント認証........................................................................66
クライアント認証(証明書認証).................................................59
クライアントの環境設定..........................................................147
クライアントの問題....................................................................10
構成モデル..............................................................................33
コンポーネントトランザクションサービス...................................60
[さ]
サーバ資源の削除、書き換え、暴露.........................................9
資源に対して考えうる脅威..........................5,16,20,26,35,37,52
- 269 -
証明書・CRLの登録...............................................................168
証明書/鍵管理環境で使用できるSSLライブラリについて....182
証明書/鍵管理環境について................................................182
証明書/鍵管理環境の移行方法...........................................194
証明書/鍵管理環境の管理...................................................196
証明書/鍵管理環境の構築...................................................200
証明書/鍵管理環境の構築方法...........................................186
証明書/鍵管理環境の作成...................................................187
証明書とCRLの登録..............................................................190
証明書と秘密鍵について......................................................160
証明書の管理........................................................................178
証明書の発行依頼................................................................168
証明書の利用設定................................................................175
証明書を利用するための設定..............................................175
セキュリティ監査証跡機能.....................................................127
セキュリティ侵害の脅威.............................................................2
セキュリティ対策..................................................................10,39
セキュリティ動向.....................................................................264
その他の情報漏洩の脅威.......................................................10
保護すべき資源...........................................4,14,18,24,29,34,37
保護対象機能........................................................4,19,24,34,37
保護対象資源..............................................4,15,19,25,35,37,51
[ま]
マルチサーバ管理...................................................................33
マルチサーバ管理に関する対策............................................47
[や]
ユーザID・パスワードの解読への対策......................................5
ユーザID・パスワードの搾取への対策......................................5
ユーザID・パスワードの解読への対策....................................36
ユーザID・パスワードの搾取への対策....................................36
ユーザPINの登録..................................................................201
ユーザアカウントについての注意...........................................39
ユーザ認証...............................................................................62
ユーザ認証(基本認証)............................................................57
ユーザを限定した運用..................................................21,32,52
[ら]
離席による脅威..........................................................................9
リソースが提供するセキュリティ機能の利用............................23
利用者認証..............................................................................60
利用者のなりすまし....................................................................9
ログインログ............................................................................133
ログインログの運用................................................................139
[た]
通信データの暗号化...............................................................31
通信内容の書き換え、暴露.......................................................9
通信内容の保護......................................................................11
定期的なデータバックアップの実施........................................32
定期的なバックアップ.........................................................23,52
ディレクトリサーバの環境設定.................................................71
データの破壊への対策......................................................17,28
データベース連携サービス.....................................................18
データベース連携サービスの動作モデル..............................18
[な]
認証基盤構築ファイル、業務システム構築ファイルの保護...10
認証局の証明書(発行局証明書)のWebブラウザへの登録.192
認証局の証明書(発行局証明書)の登録..............................253
認証局の証明書のWebブラウザへの登録(Interstage HTTP
ServerでSSLを利用する場合のみ).......................................177
認証サーバの確認...................................................................12
認証サーバのなりすまし............................................................9
認証の有効期間の管理...........................................................12
[は]
パスワードアタックへの対策.....................................................11
パスワードの暗号化.................................................................31
パスワードの解読への対策................................................17,27
パスワードの搾取への対策................................................17,27
パスワードの定期的な変更......................................................31
バックアップについて...............................................................39
パッチの適用について............................................................13
秘密鍵の作成と証明書の取得..............................................189
ファイアウォールとプロキシサーバ........................................142
ファイル自体の破壊への対策...............................6,17,28,36,38
ファイルに記録されている情報の書き換えへの対策6,17,27,36,38
ファイルに記録されている情報の搾取への対策..6,17,28,36,38
ファイルに対するアクセス権の設定........................................32
プロキシ連携..........................................................................156
プロキシ連携機能(Interstage Webサービス).........................156
プロキシ連携機能(Java EE の Webサービス機能)...............156
- 270 -