サーバー証明書とクライアント証明書
InfoPrint Manager サーバーとInfoPrint Managerクライアントの間のトラフィックを暗号化するには、デジタル証明書が必要です。各デジタル証明書には、キー(プライベート部分)と証明書(パブリック部分)の2つの部分があります。キーは常に秘密にしておかないと、通信の安全を維持できません。
次のことが可能です。
- 個人的に証明書を生成できます。
- 世界的に知られているサードパーティーの認証局(CA)から証明書を購入できます。
最初のケースでは、CA認証局証明書を生成する必要があります。CAキーファイルは、生成した証明書(サーバーおよびクライアント用)に署名します。CA証明書は、生成した証明書を認証します。CA証明書(パブリック部分)は、InfoPrint Manager サーバー とクライアントが受信した証明書を検証するために利用可能である必要があります。
2番目のケースでは、Mozilla組織が管理するCAのコレクションであるMozilla CA Certificate Storeを使用して証明書が検証されます。rawファイルは、https://hg.mozilla.org/mozilla-central/raw-file/tip/security/nss/lib/ckfw/builtins/certdata.txtです。
通常、certdata.txtに含まれる証明書は398日で有効期限が切れます。Mozilla組織が管理するCAのコレクションを更新するには、以下の手順に従います。
perlとcurlがインストールされ、インターネットにアクセスできるコンピューターで、InfoPrint Managerを実行しているコンピューターまたはInfoPrint Managerクライアントコンピューターからmk-ca-bundle.plをコピーします。mk-ca-bundle.plスクリプトは<install path>\binディレクトリーにあります。- 注意:
- また、
mk-ca-bundle.plスクリプトをhttps://raw.githubusercontent.com/curl/curl/master/scripts/mk-ca-bundle.plからダウンロードできます。 curlを、https://curl.se/download.htmlからダウンロードできます。perlおよびcurlがPATHで使用されていることを確認します。
- また、
- コンソールを開き、ディレクトリーを
mk-ca-bundle.plスクリプトの場所に変更します。 - 以下のコマンドを実行します。
perl mk-ca-bundle.pl -s SHA256 -t -p \ SERVER_AUTH,CLIENT_AUTH,CRL_SIGN:TRUSTED_DELEGATOR
certdata.txtの名前をca-cert.pemに変更します。ca-cert.pemを、InfoPrint Managerを実行しているすべてのコンピューターと、InfoPrint Managerクライアントを実行しているすべてのコンピューターにコピーします。Windowsの場合、場所はC:\Windows\ipmです。AIXおよびLinuxの場合、場所は/etc/ipmです。ca-certファイルがコピーされている各コンピューターを再起動します。
サーバー証明書は、X509v3 Extended Key Usage(EKU)が、Server Authentication(TLS Web Server Authentication)に設定されている必要があります。X509v3 Key Usageは、Digital SignatureとKey Enciphermentである必要があります。
相互認証(クライアントがサーバー証明書を検証し、サーバーがクライアント証明書を検証する)を使用するには、サーバーマシン上にサーバー証明書とクライアント証明書の両方が必要です。pdserverを起動する前に、サーバー側とクライアント側(特にInfoPrint Manager を起動するユーザー)を設定してください。InfoPrint Managerを実行するユーザーを含め、すべてのクライアント(pdserverマシンまたは別のマシン)は、独自のクライアント証明書とそれに対応するipmssl.cfgファイルを持つ必要があります。
クライアント証明書は、X509v3 Extended Key Usage(EKU)が、Server Authentication(TLS Web Client Authentication)に設定されている必要があります。X509v3 Key Usageは、デジタル署名である必要があります。
- 重要:
- Mutual Authenticationが有効になっている場合は、世界的に知られたサードパーティーCAを使用しないでください。たとえば、Verisign証明書を「既知のCA」として使用すると、Verisignが署名した証明書を持つすべてのユーザーが認証されます。おそらく、このような状況は望まない場合が多いはずです。独自のCA証明書、サーバー証明書、クライアント証明書などを生成します。
デジタル証明書のSubjectフィールドは、DNSからの完全なコンピューター名(ipmsrv.example.comなど)に設定するか、DNSドメインのワイルドカード(*.example.com など)に設定してください。
X509v3 Subject Alternative Name(SAN)には、そのコンピューターの他の名前またはエイリアス(使用可能な場合)、およびコンピュータ名に関連付けられたIPアドレスが含まれている必要があります。証明書のフィールドは次のようになります。
DNS:alt1.example.com, DNS:alt2.example.com, IP:10.0.0.1, IP:fc00::1、ここで、ホスト名には「DNS」、およびIPアドレスには「IP」のプレフィックスが付きます。
SSL/TLS証明書の有効期限が切れるまでの残り日数が31日未満になると、InfoPrint Managerが警告を表示します。エラーログに、次のようなメッセージが発行されます。「5010-907 The SSL/TLS certificate for InfoPrint Manager expires on May 21 10:33:41 2029 GMT」。中断を回避するためには、証明書の更新を検討してください。
InfoPrint Manager サーバーでSSL/TLSが有効になっているかどうかを確認するには、エラーログファイルで、InfoPrint Manager サーバーの開始後に「5010-908InfoPrint Manager started with SSL/TLS enabled.」というメッセージを確認してください
暗号化を無効にした場合、InfoPrint Manager サーバーは以前のバージョンのクライアントやサーバー(TLS暗号化を理解していない)からの接続を受信します。InfoPrint Manager サーバーで暗号化が有効になると、そのようなクライアントやサーバーはシステムと通信できなくなります。暗号化が有効になっているInfoPrint Manager サーバーまたは TLS 暗号化を使用することを知っているInfoPrint Managerクライアントのみが、システムとの通信に成功します。