InfoPrint Manager for Linuxクライアント用にトランスポートレイヤーセキュリティー暗号化を有効にする

通常、世界的に知られているサードパーティーCAからのサーバー証明書を使用する場合、クライアント側では何も設定する必要はありません。

カスタムCA証明書を使用している場合、または[相互認証]を使用する場合は、サーバーと通信できるようにInfoPrint Managerクライアントを設定する必要があります。クライアント構成ファイルは、次の2つの場所に格納できます。

  • ユーザー構成ディレクトリー:

    AIX/Linux/MacOSの場合:~/.ipm

    Windowsの場合:%APPDATA%\Ricoh\InfoPrint Manager\ssl

  • 管理者によって強制された構成ディレクトリー:

    AIX/Linux/MacOSの場合:/etc/ipm

    Windowsの場合:%windir%\ipm

管理者が強制する設定ファイルは、すべてのユーザーに対して読み取り可能でなければなりませんが、書き込み可能ではあってはいけません。管理者バージョンの構成ファイルに存在するディレクティブは、後のファイルの構成に関係なく、ユーザーバージョンの構成ファイルに存在する同じディレクティブを上書きします。デフォルトのSSL暗号化動作を変更するには、2つのクライアント構成ファイルのうち少なくとも1つが存在する必要があります。証明書ファイルとキーが設定ファイルと同じディレクトリーにある場合、フルパスはオプションです。それ以外の場合は、フルパスを指定する必要があります。

InfoPrint ManagerクライアントのTLS暗号化を有効にするには、以下の操作を行います。

  1. 提供されたサンプル構成ファイルipmssl.cfgを、/usr/lpp/pd/cfg-samples/ssl/clientディレクトリーから、クライアント構成ファイルの任意の場所にコピーします(ユーザーまたは管理者)。
  2. カスタムCAを使用している場合は、CA証明書ファイル(パブリック部)をInfoPrint Managerクライアントにコピーします。
  3. サーバーが[相互認証]を使用している場合は、クライアント証明書とキーをInfoPrint Managerクライアントを実行しているマシンにコピーします。証明書キーが安全であること、およびInfoPrint Managerクライアントを実行しているユーザーに対してのみ読み取りが可能であることを確認します。
  4. 証明書失効リスト(CRL)がある場合は、CRLファイルをInfoPrint Managerクライアントにコピーします。
  5. テキストエディターを使用してipmssl.cfgファイルを編集します。

    クライアント証明書のキーファイルとサーバー証明書が1つのファイルに結合されている場合は、CertFileキーワードのみを設定し、KeyFileをコメントする必要があります。証明書ファイルとキーが設定ファイルと同じディレクトリーにある場合、フルパスはオプションです。それ以外の場合は、フルパスを指定する必要があります。

    コメントを解除し、次のキーワードの値を変更します(使用可能な場合)。

    1. オプション:InfoPrint Manager サーバーが[相互認証]を使用している場合、CertFileキーワードのコメントを解除し、クライアント証明書ファイルのファイル名を指定します。
    2. オプション:InfoPrint Manager サーバーが[相互認証]を使用している場合、KeyFileキーワードのコメントを解除し、クライアント証明書キーのファイル名を指定します。
    3. オプション:カスタムCAを使用している場合、CAFileキーワードのコメントを解除し、CA証明書のファイル名を指定します。
    4. オプション:CRL証明書のファイルがある場合、CrlFileキーワードのコメントを解除し、CRL証明書のファイル名を指定します。

    最後の2つのオプションキーワードは、通常、TLSハンドシェイク中にエラーが発生した場合に使用されます。

    • CertValidationIgnoreHostNameは、DNSのサーバーのホスト名が、TLSハンドシェイク中にサーバーが提示する証明書で設定された値と異なる場合に役立ちます(SubjectフィールドおよびX509v3 Subject Alternative Name(SAN)フィールド)。このキーワードを1に設定すると、ホスト名の検証は行われません。次の表は、証明書の [Subject] フィールドにワイルドカードが含まれている場合の検証方法を示しています。
      ホスト名 証明書のSubjectまたは証明書のSubject Alternative Name 検証
      host.example.com host.example.com OK
      host.example.com *.example.com OK
      host.subdomain.example.com *.subdomain.example.com OK
      host.example.com host.another-example.com 失敗
      host.subdomain.example.com host.another-subdomain.example.com 失敗
      host.example.com host*.example.com 失敗
      host.example.com *host.example.com 失敗
      host.subdomain.example.com host*.subdomain.example.com 失敗
      host.subdomain.example.com *host.subdomain.example.com 失敗
      注意: 有効にするには、証明書のホスト名に2つ以上のドットが含まれている必要があります。
    • IgnoreCertificateErrorsは、サーバー証明書に関連するエラー(証明書のSubjectフィールドまたはSANフィールドの無効な値、証明書の有効期限切れなど)を無視します。

  6. コンピューターを再起動します。

サンプルipmssl.cfg構成ファイル:

#
# IPM SSL/TLS configuration file (client)
#

#############################################################################
#
# Empty lines and whitespace-only lines are ignored, as are lines whose
# first non-whitespace character is a semicolon (;) or a hash (#). This
# file uses hashes to denote commentary and semicolons for options you
# might want to configure.
# Every comment applies to the following section or option. The defaults
# refer to IPM's built-in values, not anything set in this file.
#
# Uncomment the lines where you want to do a change and enter the desired
# value. Option names are case-sensitive.
#
# Any directive found in administrator version of the configuration file
# overwrites the same directive in user version of the configuration file
# regardless of what is configured in the later file or not.
#
# If a full path is required but only a file name is provided
# (i.e., no '/' or '\' in file name), the lookup for the file is 
# done only in the directory where this configuration file 
# is located. Apply to: CAFile, CrlFile, CertFile, KeyFile.
#
# IMPORTANT: If you make changes to this file, make sure that 
#                    you restart all the InfoPrint Manager processes. 
#                    On Windows operating system, make sure that you 
#                    also restart Print Spooler service.
#
#############################################################################

#
# Path to a file containing one or more Certificate Authority (CA).
# Required if _server_ certificate is not signed by a globally known CA.
# Default: <empty>
#
;CAFile =

#
# Path to a file containing one or more Certificate Revocation List (CRL).
# Default: <empty>
#
;CrlFile =

#
# Path to unencrypted PEM Certificate (CRT) file.
# Default: <not set>, required only if the remote server require mutual
# authentication.
#
;CertFile =

#
# If the key is not combined with the certificate, this directive
# specifies the path to Certificate Private Key (KEY) file.
# Default: <not set>, required only if the remote server requires mutual
# authentication.
#
;KeyFile =

#
# When enabled, it prevents comparing _server_ name with the name in
# certificate subject. It also applies to Subject Alternative Name (SAN).
# Ignored if IgnoreCertificateErrors is enabled.
# (0 = disabled, 1 = enabled).
# Default: 0
#
;CertValidationIgnoreHostName = 0

#
# Ignore any errors related to certificate validation (0 = disabled, 1 =
# enabled).
# Default: 0
#
;IgnoreCertificateErrors = 0

上位層のトピック: InfoPrint Manager for Linuxサーバー用にトランスポートレイヤーセキュリティー暗号化を有効にする