InfoPrint Manager for AIX クライアント用にトランスポートレイヤーセキュリティー暗号化を有効にする

通常、世界的に知られているサードパーティーCAからのサーバー証明書を使用する場合、クライアント側では何も設定する必要はありません。

カスタムCA証明書を使用している場合、またはMutual Authenticationを使用する場合は、サーバーと通信できるようにInfoPrint Managerクライアントを設定する必要があります。クライアント構成ファイルは、次の2つの場所に格納できます。

  • ユーザー構成ディレクトリー:

    AIX/Linux/MacOSの場合:~/.ipm

    Windowsの場合:%APPDATA%\Ricoh\InfoPrint Manager\ssl

  • 管理者によって強制された構成ディレクトリー:

    AIX / Linux / MacOS : /etc/ipm

    Windowsの場合:%windir%\ipm

管理者が強制する設定ファイルは、すべてのユーザーに対して読み取り可能でなければなりませんが、書き込み可能ではあってはいけません。構成ファイルの管理者バージョンで検出されたディレクティブは、後のファイルで構成されているかどうかにかかわわず、ユーザーバージョンの構成ファイルの同じディレクティブを上書きします。デフォルトのSSL暗号化動作を変更するには、2つのクライアント構成ファイルのうち少なくとも1つが存在する必要があります。証明書ファイルとキーが設定ファイルと同じディレクトリーにある場合、フルパスはオプションです。それ以外の場合は、フルパスを指定する必要があります。

InfoPrint ManagerクライアントのTLS暗号化を有効にするには、以下の操作を行います。

  1. 提供されたサンプル構成ファイルipmssl.cfgを、/usr/lpp/pd/cfg-samples/ssl/client ディレクトリーから、クライアント構成ファイルの任意の場所にコピーします(ユーザーまたは管理者)。
  2. カスタムCAを使用している場合は、CA証明書ファイル(パブリック部)をInfoPrint Managerクライアントにコピーします。
  3. サーバーがMutual Authenticationを使用している場合は、クライアント証明書とキーをInfoPrint Managerクライアントを実行しているマシンにコピーします。証明書キーが安全であること、およびInfoPrint Managerクライアントを実行しているユーザーに対してのみ読み取りが可能であることを確認します。
  4. 証明書失効リスト(CRL)がある場合は、CRLファイルをInfoPrint Managerクライアントにコピーします。
  5. テキストエディターを使用してipmssl.cfgファイルを編集します。

    クライアント証明書のキーファイルとサーバー証明書が1つのファイルに結合されている場合は、CertFileキーワードのみを設定し、KeyFileをコメントする必要があります。証明書ファイルとキーが設定ファイルと同じディレクトリーにある場合、フルパスはオプションです。それ以外の場合は、フルパスを指定する必要があります。

    コメントを解除し、次のキーワードの値を変更します(使用可能な場合)。

    1. オプション:InfoPrint ManagerサーバーがMutual Authenticationを使用している場合、CertFileキーワードのコメントを解除し、クライアント証明書ファイルのファイル名を指定します。
    2. オプション:InfoPrint ManagerサーバーがMutual Authenticationを使用している場合、KeyFileキーワードのコメントを解除し、クライアント証明書キーのファイル名を指定します。
    3. オプション:カスタムCAを使用している場合、CAFileキーワードのコメントを解除し、CA証明書のファイル名を指定します。
    4. オプション:CRL証明書のファイルがある場合、CrlFileキーワードのコメントを解除し、CRL証明書のファイル名を指定します。

    最後の2つのオプションキーワードは、通常、TLSハンドシェイク中にエラーが発生した場合に使用されます。

    • CertValidationIgnoreHostNameは、DNSのサーバーのホスト名が、TLSハンドシェイク中にサーバーが提示する証明書で設定された値と異なる場合に役立ちます(SubjectフィールドおよびX509v3 Subject Alternative Name(SAN)フィールド)。このキーワードを1に設定すると、ホスト名の検証は行われません。次の表は、証明書のSubjectフィールドにワイルドカードが含まれている場合の検証方法を示しています。
      ホスト名 証明書のSubjectまたは証明書のSubject Alternative Name 検証
      host.example.com host.example.com OK
      host.example.com *.example.com OK
      host.subdomain.example.com *.subdomain.example.com OK
      host.example.com host.another-example.com 失敗
      host.subdomain.example.com host.another-subdomain.example.com 失敗
      host.example.com host*.example.com 失敗
      host.example.com *host.example.com 失敗
      host.subdomain.example.com host*.subdomain.example.com 失敗
      host.subdomain.example.com *host.subdomain.example.com 失敗
      注意: 有効にするには、証明書のホスト名に2つ以上のドットが含まれている必要があります。
    • IgnoreCertificateErrorsは、サーバー証明書に関連するエラー(証明書のSubjectフィールドまたはSANフィールドの無効な値、証明書の有効期限切れなど)を無視します。

  6. コンピューターを再起動します。

ipmssl.cfg構成ファイルの例:

#
# IPM SSL/TLS configuration file (client)
#

#############################################################################
#
# Empty lines and whitespace-only lines are ignored, as are lines whose
# first non-whitespace character is a semicolon (;) or a hash (#). This
# file uses hashes to denote commentary and semicolons for options you
# might want to configure.
# Every comment applies to the following section or option. The defaults
# refer to IPM's built-in values, not anything set in this file.
#
# Uncomment the lines where you want to do a change and enter the desired
# value. Option names are case-sensitive.
#
# Any directive found in administrator version of the configuration file
# overwrites the same directive in user version of the configuration file
# regardless of what is configured in the later file or not.
#
# If a full path is required but only a file name is provided
# (i.e., no '/' or '\' in file name), the lookup for the file is 
# done only in the directory where this configuration file 
# is located. Apply to: CAFile, CrlFile, CertFile, KeyFile.
#
# IMPORTANT: If you make changes to this file, make sure that 
#                    you restart all the InfoPrint Manager processes. 
#                    On Windows operating system, make sure that you 
#                    also restart Print Spooler service.
#
#############################################################################

#
# Path to a file containing one or more Certificate Authority (CA).
# Required if _server_ certificate is not signed by a globally known CA.
# Default: <empty>
#
;CAFile =

#
# Path to a file containing one or more Certificate Revocation List (CRL).
# Default: <empty>
#
;CrlFile =

#
# Path to unencrypted PEM Certificate (CRT) file.
# Default: <not set>, required only if the remote server require mutual
# authentication.
#
;CertFile =

#
# If the key is not combined with the certificate, this directive
# specifies the path to Certificate Private Key (KEY) file.
# Default: <not set>, required only if the remote server requires mutual
# authentication.
#
;KeyFile =

#
# When enabled, it prevents comparing _server_ name with the name in
# certificate subject. It also applies to Subject Alternative Name (SAN).
# Ignored if IgnoreCertificateErrors is enabled.
# (0 = disabled, 1 = enabled).
# Default: 0
#
;CertValidationIgnoreHostName = 0

#
# Ignore any errors related to certificate validation (0 = disabled, 1 =
# enabled).
# Default: 0
#
;IgnoreCertificateErrors = 0

上位層のトピック: InfoPrint Manager for AIX サーバー用にトランスポートレイヤーセキュリティー暗号化を有効にする