InfoPrint Manager for AIX サーバー用にトランスポートレイヤーセキュリティー暗号化を有効にする

InfoPrint Manager サーバーのTLS暗号化を有効にするには、以下の操作を行います。

1. 提供されたサンプル構成ファイル ipmssl.cfgを、/usr/lpp/pd/cfg-samples/ssl/server ディレクトリーから/var/pddir/default_cell/ssl ディレクトリーにコピーします。
2. カスタムCAを使用している場合は、CA証明書ファイル（パブリック部）をInfoPrint Manager サーバーにコピーします。
3. サーバー証明書とキーをInfoPrint Manager サーバーにコピーします。証明書キーが安全な場所に格納されていること、およびInfoPrint Manager サーバーを実行するユーザーに対してのみ読み取りが可能であることを確認します。
4. 証明書失効リスト（CRL）がある場合は、CRLファイルをInfoPrint Manager サーバーにコピーします。
5. テキストエディターを使用してipmssl.cfgファイルを編集します。EnableTLS、CertFile、KeyFileというキーワードを設定する必要があります。サーバー証明書のキーファイルとサーバー証明書が1つのファイルに結合されている場合は、CertFileキーワードのみを設定し、KeyFileをコメントのままにする必要があります。証明書ファイルとキーが設定ファイルと同じディレクトリーにある場合、フルパスはオプションです。それ以外の場合は、フルパスを指定する必要があります。

   コメントを解除し、次のキーワードの値を変更します（使用可能な場合）。

   1. コメントを解除し、EnableTLSを1に設定します。
   2. CertFileキーワードのコメントを解除し、サーバー証明書ファイルのファイル名を指定します。
   3. KeyFileキーワードのコメントを解除し、サーバー証明書キーのファイル名を指定します。
   4. オプション：カスタムCAを使用している場合、CAFileキーワードのコメントを解除し、CA証明書のファイル名を指定します。
   5. オプション：CRL証明書のファイルがある場合、CrlFileキーワードのコメントを解除し、CRL証明書のファイル名を指定します。
   6. オプション:Mutual Authenticationの使用を予定している場合、コメントを解除し、MutualAuthenticationRequired1に設定します。

      最後の2つのオプションキーワードは、通常、TLSハンドシェイク中にエラーが発生した場合に使用されます。

      • CertValidationIgnoreHostNameは、DNSのクライアントのホスト名が、TLSハンドシェイク中にクライアントが提示する証明書で設定された値と異なる場合に役立ちます（SubjectフィールドおよびX509v3 Subject Alternative Name（SAN）フィールド）。このキーワードを「1」に設定すると、ホスト名の検証は行われません。

        次の表は、証明書のSubjectフィールドにワイルドカードが含まれている場合の検証方法を示しています。

        ホスト名	証明書のSubjectまたは証明書のSubject Alternative Name	検証
        host.example.com	host.example.com	OK
        host.example.com	*.example.com	OK
        host.subdomain.example.com	*.subdomain.example.com	OK
        host.example.com	host.another-example.com	失敗
        host.subdomain.example.com	host.another-subdomain.example.com	失敗
        host.example.com	host*.example.com	失敗
        host.example.com	*host.example.com	失敗
        host.subdomain.example.com	host*.subdomain.example.com	失敗
        host.subdomain.example.com	*host.subdomain.example.com	失敗

        注意: 有効にするには、証明書のホスト名に2つ以上のドットが含まれている必要があります。
      • IgnoreCertificateErrorsは、クライアント証明書に関連するエラー（証明書のSubjectフィールドまたはSANフィールドの無効な値、証明書の有効期限切れ、クライアントが証明書を送信しないなど）を無視します。

6. コンピューターを再起動するか、実行されているすべてのInfoPrint Managerコンポーネント（通知、SAP、LPD、DPF、IPP、LDAP、MVSDダウンロード、Webサーバー）およびすべてのInfoPrint Manager サーバーを再起動します。

   ipmssl.cfg構成ファイルの例:

   #
   # IPM SSL/TLS configuration file (server)
   #
   
   #############################################################################
   #
   # Empty lines and whitespace-only lines are ignored, as are lines whose
   # first non-whitespace character is a semicolon (;) or a hash (#).
   # This file use hashes to denote commentary and semicolons for options
   # you may wish to configure.
   # Every comment applies to the following section or option. The defaults
   # refer to IPM's built-in values, not anything set in this file.
   #
   # Uncomment the lines where you want to do a change and enter the
   # desired value. Option names are case-sensitive.
   #
   # If a full path is required but only a file name is provided
   # (i.e., no '/' or '\' in file name), the lookup for the file is 
   # done only in the directory where this configuration file 
   # is located. Apply to: CAFile, CrlFile, CertFile, KeyFile.
   #
   # IMPORTANT: If you make changes to this file, make sure that 
   #                    you restart all the InfoPrint Manager processes. 
   #                    On Windows operating system, make sure that you 
   #                    also restart Print Spooler service.
   #
   #############################################################################
   
   #
   # Enable/disable encryption (0 = disabled, 1 = enabled).
   # Default: 0
   #
   ;EnableTLS = 0
   #
   # Path to a file containing one or more Certificate Authority (CA).
   # Required if mutual authentication is enabled and _client_ certificate is
   # not signed by a globally known CA. See also MutualAuthenticationRequired.
   # Default:  <empty>
   #
   ;CAFile =
   
   #
   # Path to a file containing one or more Certificate Revocation List (CRL).
   # Default:  <empty>
   #
   ;CertFile =
   #
   # If the key is not combined with the certificate this directive will
   # specify the path to Certificate Private Key (KEY) file.
   # Default: <not set>, required.
   #
   ;KeyFile =
   #
   # Enable/Disable mutual authentication (0 = disabled, 1 = enabled).
   # Default: 0
   #
   # Note that you should NOT use a globally known CA when mutual authentication
   # is enabled. i.e., using a Verisign certificate as a "known CA" means that
   # ANYONE who has a certificate signed by them will be authenticated.
   # This is most likely not what you want. Generate your own CA certificate,
   # client keys and certificates, etc.
   #
   ;MutualAuthenticationRequired = 0
   
   #
   # When enabled will prevent comparing client name with the name in
   # certificate subject. Also apply to Subject Alternative Name (SAN).
   # Ignored if MutualAuthenticationRequired is not enabled.
   # Ignored if IgnoreCertificateErrors is enabled.
   # (0 = disabled, 1 = enabled).
   # Default: 0
   #
   ;CertValidationIgnoreHostName = 0
   
   #
   # Ignore any errors related to certificate validation (0 = disabled,
   # 1 = enabled).
   # Default: 0
   #
   ;IgnoreCertificateErrors = 0