サーバー証明書とクライアント証明書

InfoPrint ManagerサーバーとInfoPrint Managerクライアント間のトラフィックを暗号化するには、デジタル証明書が必要です。各デジタル証明書には、キー(プライベート部分)と証明書(パブリック部分)の2つの部分があります。キーは常に秘密にしておかないと、通信の安全を維持できません。

重要: InfoPrint Managerは、PEM形式の暗号化されていない証明書キーのみをサポートします。

次のことが可能です。

  1. 個人的に証明書を生成できます。
  2. 世界的に知られているサードパーティの認証局(CA)から証明書を購入できます。

最初のケースでは、CA認証局証明書を生成する必要があります。CAキーファイルは、生成した証明書(サーバーおよびクライアント用)に署名します。CA証明書は、生成した証明書を認証します。CA証明書(パブリック部分)は、受信した証明書を検証するためInfoPrint Managerサーバーおよびクライアントで利用可能である必要があります。

2番目のケースでは、Mozilla組織が管理するCAのコレクションであるMozilla CA Certificate Storeを使用して証明書が検証されます。rawファイルは、https://hg.mozilla.org/mozilla-central/raw-file/tip/security/nss/lib/ckfw/builtins/certdata.txtです。

注意: certdata.txtファイルは、OpenSSLでの使用に適した形式で、InfoPrint Managerとともに配布されます。

通常、certdata.txtに含まれる証明書は398日で有効期限が切れます。Mozilla組織が管理するCAのコレクションを更新するには、以下の手順に従います。

  1. perlcurlがインストールされ、インターネットアクセスが行われているコンピューターでは、InfoPrint Manager を実行しているコンピューターから、またはInfoPrint Managerクライアントコンピューターから、 mk-ca-bundle.pl をコピーします。mk-ca-bundle.pl スクリプトは <install path>\bin ディレクトリにあります。
  2. コンソールを開き、ディレクトリーを mk-ca-bundle.pl スクリプトの場所に変更します。
  3. 以下のコマンドを実行します。 
    perl mk-ca-bundle.pl -s SHA256 -t -p SERVER_AUTH,CLIENT_AUTH,CRL_SIGN:TRUSTED_DELEGATOR
  4. certdata.txt の名前を ca-cert.pem に変更します。
  5. InfoPrint Managerを実行している全てのコンピューター、および全てのInfoPrint Managerクライアントコンピュータへ、ca-cert.pem をコピーします。Windowsの場合、場所は C:\Windows\ipm です。AIX、Linux、MacOSの場合、場所は /etc/ipm です。
  6. ca-cert ファイルがコピーされている各コンピューターを再起動します。

サーバー証明書は、X509v3 Extended Key Usage(EKU)が、Server Authentication(TLS Web Server Authentication)に設定されている必要があります。X509v3 Key Usageは、Digital SignatureとKey Enciphermentである必要があります。

Mutual Authenticationを使用するには(クライアントがサーバー証明書を検証し、サーバーもクライアント証明書を検証します)、クライアント証明書が必要です。

クライアント証明書は、X509v3 Extended Key Usage(EKU)が、Server Authentication(TLS Web Client Authentication)に設定されている必要があります。X509v3 Key Usageは、デジタル署名である必要があります。

Mutual Authenticationが必要な場合は、サーバー証明書は、X509v3 Extended Key Usage(EKU)をServer Authentication(TLS Web Server Authentication)およびClient Authentication(TLS Web Client Authentication)に設定する必要があります。

重要: Mutual Authenticationが有効になっている場合は、世界的に知られたサードパーティーCAを使用しないでください。たとえば、Verisign証明書を「既知のCA」として使用すると、Verisignが署名した証明書を持つすべてのユーザーが認証されます。おそらく、このような状況は望まない場合が多いはずです。独自のCA証明書、サーバー証明書、クライアント証明書などを生成します。

デジタル証明書のSubjectフィールドは、DNSからの完全なコンピューター名(ipmsrv.example.comなど)に設定するか、DNSドメインのワイルドカード(*.example.com など)に設定してください。

注意: ワイルドカードの一部は使用できません。

X509v3 Subject Alternative Name(SAN)には、そのコンピューターの他の名前またはエイリアス(使用可能な場合)、およびコンピュータ名に関連付けられたIPアドレスが含まれている必要があります。証明書のフィールドは次のようになります。 DNS:alt1.example.com, DNS:alt2.example.com, IP:10.0.0.1, IP:fc00::1、ここで、ホスト名には「DNS」、およびIPアドレスには「IP」のプレフィックスが付きます。

SSL/TLS証明書の有効期限が切れるまでの残り日数が31日未満になると、InfoPrint Managerが警告を表示します。エラーログに、次のようなメッセージが発行されます。「5010-907 The SSL/TLS certificate for InfoPrint Manager expires on May 21 10:33:41 2029 GMT」中断を回避するためには、証明書の更新を検討する必要があります。

InfoPrint ManagerサーバーでSSL/TLSが有効かどうかを確認するため、InfoPrint Managerサーバー起動後、エラーログファイルに次のメッセージがあるか確認します。「5010-908 InfoPrint Manager started with SSL/TLS enabled.」

暗号化が無効になっている場合、InfoPrint Managerサーバーは、以前のバージョンのクライアントおよびサーバー(TLS暗号化を認識しない)からの接続を受け入れます。InfoPrint Managerサーバーで暗号化を有効にすると、そのようなクライアントまたはサーバーはシステムと通信できなくなります。暗号化が有効になっているInfoPrint Managerサーバー、またはTLS暗号化の使用がわかっているInfoPrint Managerクライアントのみが、システムと正常に通信します。

上位層のトピック: InfoPrint Manager for Linux 用のトランスポートレイヤーセキュリティー暗号化を管理する