Comments
Description
Transcript
シナリオ - IBM
シナリオ IBM ii シナリオ 目次 シナリオ. . . . . . . . . . . . . . . 1 シナリオ: プライマリー・サーバーおよびレプリカ・ サーバーの提供 . . . . . . . . . . . . . 1 バックアップおよびリストアの実践. . . . . . 2 バックアップおよびリストアのランタイム要件 . . 3 レプリカ・コンピューターのセットアップ . . . 4 重大なレプリカ・サーバー・アクティビティーの後 の応答 . . . . . . . . . . . . . . . 4 シナリオ: 第三者証明書の要求 . . . . . . . . 5 認証要求の作成 . . . . . . . . . . . . 6 証明書のインポート . . . . . . . . . . . 8 認証要求の問題 . . . . . . . . . . . . 11 シナリオ: IBM Security Key Lifecycle Manager 一括 複製のセットアップ . . . . . . . . . . . 12 複製構成ファイル . . . . . . . . . . . 12 サーバー間通信 . . . . . . . . . . . . 14 複製スケジュール . . . . . . . . . . . 複製監査レコード . . . . . . . . . . . 複製処理のセットアップ . . . . . . . . . 複製での問題および解決 . . . . . . . . . シナリオ: IBM Security Key Lifecycle Manager サー バーとクライアント装置の間の SSL ハンドシェーク のセットアップ . . . . . . . . . . . . . 自己署名 SSL/KMIP サーバー証明書の作成. . . サーバー証明書のエクスポート . . . . . . . クライアント通信証明書のインポート . . . . 14 15 15 19 20 21 21 22 特記事項 . . . . . . . . . . . . . . 23 商標 . . . . . . . . . . . . . . . . . 25 索引 . . . . . . . . . . . . . . . . 27 iii iv シナリオ シナリオ ビジネス目標を達成して問題を解決するための技術を適用する方法を、シナリオを 用いて示します。これらのシナリオでは、考察を分かりやすくするため、仮説のビ ジネス・シチュエーションについて説明します。 以下のシナリオでは、IBM Security Key Lifecycle Manager を使用して実行できる最 初の手順の一部、および高度なタスクの一部について検討します。これらのシナリ オの前提条件として、IBM Security Key Lifecycle Manager サーバーをインストール し、そのコンポーネントが稼働していることを確認します。 シナリオ: プライマリー・サーバーおよびレプリカ・サーバーの提供 装置が暗号化されている場合、鍵と証明書の継続的な可用性を確保するには、エン タープライズでプライマリーおよびレプリカの IBM Security Key Lifecycle Manager サーバーを構成します。次に、重要データを保護するバックアップおよびリスト ア・アクションを繰り返し行います。 Windows システムおよびその他のシステムでは、ワークロードに対応するために必 要なメモリー、速度、および空きディスク・スペースが両方のシステムに必要で す。 IBM Security Key Lifecycle Manager は、オペレーティング・システムおよびアプリ ケーションのディレクトリー構造とは関係のない方法でバックアップ・ファイルを 作成します。このバックアップ・ファイルを、バックアップ元とは異なるオペレー ティング・システムにリストアできます。 X www. www. X } WebSphere Application Server IBM Security Key Lifecycle Manager DB2 データベース 図 1. 1 次およびレプリカの IBM Security Key Lifecycle Manager サーバー レプリカ・サーバーを作成する前に、操作における要件を列記します。これには、 以下のものが含まれる場合があります。 v サイトに固有の災害時回復手順。この手順には、プライマリーおよびレプリカ IBM Security Key Lifecycle Manager サーバーが並行して使用可能になるようにす るため、特別なアクティビティーまたは定期的なアクティビティーが必要です。 サイトで、プライマリー IBM Security Key Lifecycle Manager サーバーのシミュ レートされた障害に対しレプリカからすぐに応答があることを示すため、定期的 な実演が必要な場合があります。 1 IBM Security Key Lifecycle Manager サーバーには、自動フェイルオーバー機能は ありません。 1 次サーバーに障害が発生した場合でも確実にレプリカ・サーバー を使用できるように、必要な装置制御を別途、設定する必要があります。 v インストール環境における、鍵および証明書が必要な IBM Security Key Lifecycle Manager サーバーおよび装置の初期インストールおよび構成。 IBM Security Key Lifecycle Manager サーバーとその前提条件を別のサーバーにイ ンストールして構成し、重要データをバックアップおよびリストアするスケジュ ールを設定することも選択できます。 v 組織が通常、鍵と証明書を変更する時間サイクル。 組織で鍵および証明書を毎月または四半期ごとに置き換える場合は、新しい鍵お よび証明書の使用サイクルの開始時に、鍵マテリアルおよびその他のデータがバ ックアップされるようにしてください。 v ユーザーが認証要求を作成し、その要求を認証局に送信するイベント。 サイトまたは認証局が要求するセキュア通信プロセスを使用します。実際の証明 書が返されるまでは、バックアップを実行して、認証要求に関連する鍵およびデ ータを保護してください。 v IBM Security Key Lifecycle Manager サーバーのアップグレードおよび関連するミ ドルウェアのフィックスパック。 アップグレードされた IBM Security Key Lifecycle Manager サーバーに、アップ グレードの直前に使用されていた鍵およびその他の重要データと同じものが含ま れるようにするため、バックアップを実行してください。 バックアップおよびリストアの実践 装置、鍵、および証明書の追加や変更などといった変更が発生した場合、IBM Security Key Lifecycle Manager の重要データをバックアップする必要があります。 IBM Security Key Lifecycle Manager には、構成ファイル、データベースなどのデー タのバックアップ・ファイルを作成するタスクが用意されています。このバックア ップ・ファイルを、バックアップ元とは異なるオペレーティング・システムにリス トアできます。 重要なデータを正しくバックアップしないと、暗号化データへアクセスする手段が すべて失われて回復不能な状態になる可能性があります。バックアップ・ファイル は暗号化しないでください。また、暗号化装置にはバックアップ・ファイルを保管 しないでください。 データのバックアップに失敗すると、後で鍵マネージャーに不 整合が生じて、ストレージ装置に潜在的なデータ損失が発生する場合があります。 以下のように実践します。 v プライマリー IBM Security Key Lifecycle Manager サーバーと、並行して実行さ れる 1 つ以上のレプリカ IBM Security Key Lifecycle Manager サーバーの両方を 保守します。プライマリー・サーバーに障害が発生した場合にストレージ装置が その鍵にアクセスできることを確認してください。 IBM Security Key Lifecycle Manager サーバーには、自動フェイルオーバー機能は ありません。 1 次サーバーに障害が発生した場合でも確実にレプリカ・サーバー を使用できるように、必要な装置制御を別途、設定する必要があります。 2 シナリオ v 装置、鍵、または証明書を追加または変更するたびにバックアップ・タスクを実 行します。IBM Security Key Lifecycle Manager バックアップ・ファイルをレプリ カ IBM Security Key Lifecycle Manager サーバーにリストアします。 v プライマリー・サーバーが常に使用可能である通常の稼働条件では、レプリカ・ コンピューター上の IBM Security Key Lifecycle Manager サーバーには変更を加 えません。障害イベントが発生し、プライマリー・サーバーがダウンしている間 にレプリカ・サーバー上で重大なアクティビティーが行われた場合は、レプリ カ・サーバーをバックアップしてバックアップ・ファイルをプライマリー・サー バーにリストアします。 v バックアップ・ファイルを作成するには、IBM Security Key Lifecycle Manager の バックアップおよびリストア・タスクのみを使用します。バックアップ・ファイ ルに含まれるデータをリストアするには、IBM Security Key Lifecycle Manager の みを使用します。その他の手動ステップを使用してファイルのバックアップまた はリストアを行わないでください。 v IBM Security Key Lifecycle Manager サーバーが実行されるコンピューターからと は別個の安全な場所にバックアップ・ファイルを保管します。プライマリー IBM Security Key Lifecycle Manager サーバー上のファイルが失われても、置き換えら れたサーバー上で機能を再作成できることを確認してください。これらのファイ ルは、地理的に離れた場所に置くことができます。 バックアップおよびリストアのランタイム要件 IBM Security Key Lifecycle Manager のバックアップ・ファイルでデータをバックア ップおよびリストアするには、いくつかのランタイム要件があります。 大規模な鍵を扱うバックアップおよびリストア・トランザクションを実行できるよ う、時間間隔を増やして、タイムアウトによる失敗を防止します。以下のファイル にある totalTranLifetimeTimeout 設定に、より大きな値を指定します。 WAS_HOME/profiles/KLMProfile/config/cells/ SKLMCell/nodes/SKLMNode/servers/server1/server.xml また、以下の条件を満たす必要があります。 v 鍵提供アクティビティーの停止が許可されている時間間隔中にタスクが発生する こと。 v バックアップ・タスクの場合、IBM Security Key Lifecycle Manager サーバーが通 常の操作可能状態で実行されていること。また、IBM Security Key Lifecycle Manager データベース・インスタンスが使用可能であること。 v リストア・タスクの場合、IBM Security Key Lifecycle Manager データベース・イ ンスタンスが IBM Security Key Lifecycle Manager データ・ソースからアクセス 可能であること。 リストア・タスクを開始する前に、バックアップ・ファイルの作成時に使用した パスワードを用意してください。リストアされるファイルは、データのバックア ップ元と同じ IBM Security Key Lifecycle Manager サーバーに書き込まれる必要 があります。あるいは、リストアされるファイルはレプリカ・コンピューターに 書き込まれる必要があります。 v tklm.backup.dir プロパティーに関連付けられているディレクトリーが存在する ことを確認してください。さらに、IBM Security Key Lifecycle Manager サーバー シナリオ 3 と DB2® サーバーが稼働するシステムおよび IBM Security Key Lifecycle Manager 管理者アカウント用として、これらのディレクトリーへの読み取りおよ び書き込み権限があることも確認してください。 レプリカ・コンピューターのセットアップ IBM Security Key Lifecycle Manager のレプリカ・コンピューターは、IBM Security Key Lifecycle Manager サーバーが通例実行されるプライマリー・コンピューターが 持つ以上の記憶容量および空きディスク・スペースを持つ必要があります。 このタスクについて IBM Security Key Lifecycle Manager インストール・プログラムを使用して、プライ マリー・コンピューターで実行したのと同じステップを繰り返します。 手順 1. IBM Security Key Lifecycle Manager サーバーが通例実行されるプライマリー・ コンピューターが持つ以上の記憶容量および空きディスク・スペースを持つコン ピューターを入手します。 2. IBM Security Key Lifecycle Manager サーバーが通例実行されるコンピューター のシステムに一致するよう、レプリカ・コンピューターにオペレーティング・シ ステムと修正をインストールして構成します。 3. IBM Security Key Lifecycle Manager の IBM Knowledge Center の『インストー ルと構成』セクションで説明しているインストール手順と検証手順を実行しま す。 次のタスク IBM Security Key Lifecycle Managerが通例実行されるプライマリー・コンピュータ ーをインストールおよび検証した後に、レプリカ・コンピューターを構成してテス トします。 プライマリー IBM Security Key Lifecycle Manager サーバーで作成する現在のバッ クアップ・ファイルをレプリカ・コンピューター上に正常にリストアできることを 確認します。 重大なレプリカ・サーバー・アクティビティーの後の応答 プライマリー IBM Security Key Lifecycle Manager サーバーがダウンしている間に レプリカ・サーバーで重大なアクティビティーが発生する場合があります。ネット ワーク・トラフィックが停止する告知保守間隔を選択してレプリカ・サーバーをバ ックアップし、バックアップ・ファイルをプライマリー・サーバーにリストアしま す。 このタスクについて レプリカ・サーバーが装置に鍵を提供する場合、アラートは発行されません。本当 にレプリカ・コンピューターをバックアップする必要があるかを確認してから、バ ックアップ・ファイルをプライマリー・サーバーにリストアしてください。例え ば、書き込み要求により鍵が装置に提供されるかどうかを判別できます。データベ ースを照会し、提供されたデータをリストするには、tklmServedDataList コマンド 4 シナリオ を使用します。これより重要性の低い情報は、装置からの読み取り要求のために、 監査ログで入手できる場合があります。 手順 1. ネットワーク・トラフィックが停止する告知時刻に、レプリカ・コンピューター をバックアップします。 2. レプリカ・コンピューターから IBM Security Key Lifecycle Manager サーバーが 通例実行されるプライマリー・コンピューターに、バックアップ・ファイルをリ ストアします。 次のタスク プライマリー IBM Security Key Lifecycle Manager サーバーがアクティブであり、 バックアップ・ファイルが正常にリストアされたことを確認します。 シナリオ: 第三者証明書の要求 IBM Security Key Lifecycle Manager では、認証局に送信できる PKCS #10 フォーマ ットの認証要求を生成できます。返される CA 証明書を使用して、暗号化対応デバ イス上、あるいは SSL 通信のデータを保護します。 1. 開始する前に、証明書の使用目的が SSL 認証であるか、あるいは 3592 磁気テ ープ・ドライブまたは DS8000 Turbo ドライブとのセキュア通信であるかを決定 します。 2. 次のビジネス・サイクルで予期される CA 証明書ごとに、認証要求を作成しま す。 生成される認証要求ファイルは、SKLM_HOME ディレクトリーにあります。例え ば、生成される認証要求は SKLM_HOME¥080419154137–sslcert001.csr などのフ ァイルになります。 認証要求ファイルは、エンコードされた base64 フォーマットであり、エディタ ーで読み取ることはできません。 認証要求ファイルには、以下のような base64 フォーマットの情報が含まれま す。 v バージョン番号。 v 要求側の X.500 名である所有者名。例えば X.500 名には、共通名 (cn)、組 織、およびサブジェクトを識別するその他の値が含まれます。 v 公開鍵データおよびアルゴリズムの固有 ID。RSA、ECDSA などのアルゴリズム を使用できます。 v ユーザーの秘密鍵により署名されるデータに対して生成されるシグニチャー。 鍵ストア・データベースには、認証要求のシグニチャーを生成するために使用さ れた秘密鍵が含まれます。 さらに、認証要求に関する情報がデータベースに格納されます。この情報には、 X.500 所有者名、開始日、有効期限、終了日、および証明書に通常指定されるそ の他の属性値 (認証要求の未処理状態など) が含まれます。値は、返された証明 書をインポートすると更新されます。 シナリオ 5 3. 証明書が返されるまで、認証要求を保護します。鍵ストア・データベース内の実 際の鍵または証明書を変更する場合、認証要求を作成して送信した後、鍵スト ア・データベースに対してバックアップ・タスクを実行することが重要です。 4. バックアップ・ファイルが所定の場所にあることを確認した後、サイトまたは認 証局が E メールまたは HTTPS の送信用に要求するセキュアな通信プロセスを 使用して、選択した認証局に認証要求を手動で送信します。 5. 前の認証要求に一致する、返された証明書をインポートします。 有効な要求を受信すると、認証局は DER または base64 エンコードされた証明 書を返します。その証明書には、認証要求で提供された公開鍵、および公開鍵が 有効であることとエンタープライズが信頼できる所有者であることとを示す認証 局のシグニチャーが含まれます。証明書所有者名は、認証要求で提供した X.500 所有者名です。 6. 新しい証明書を含む鍵ストア・データベースを再度バックアップします。 認証要求の作成 「証明書の作成」ダイアログ、tklmCertGenRequest コマンド、または Certificate Generate Request REST Service を使用して、認証要求を作成します。 このタスクについて 作業を開始する前に、認証局が発行する証明書を取得するためのサイト・ポリシー を決定します。 手順 1. 以下のように、適切なページまたはディレクトリーまでナビゲートします。 v グラフィカル・ユーザー・インターフェース: a. グラフィカル・ユーザー・インターフェースにログオンします。 b. 「ようこそ」ページの鍵および装置の管理セクションで、 3592 または DS8000 デバイス・グループを選択します。 c. 「進む」 > 「鍵および装置のガイド付き作成機能」をクリックします。 d. 別の方法として、3592 または DS8000 を右クリックし、「鍵および装置 のガイド付き作成機能」を選択します。 v コマンド行インターフェース WAS_HOME/bin ディレクトリーで、Jython を使用して wsadmin セッションを 開始します。SKLMAdmin ユーザー ID など、権限があるユーザー IDを使用 して wsadmin にログオンします。例えば Windows システムの場合は、 drive:¥Program Files (x86)¥IBM¥WebSphere¥AppServer¥bin ディレクトリー に移動して、以下のコマンドを入力します。 – Windows システム: wsadmin -username SKLMAdmin -password mypwd -lang jython – AIX または Linux などのシステム: ./wsadmin.sh -username SKLMAdmin -password mypwd -lang jython v REST インターフェース: – REST クライアントを開きます。 6 シナリオ 2. 証明書を要求します。 v グラフィカル・ユーザー・インターフェース: a. 「ステップ 1: 証明書の作成」ページで、「作成」をクリックします。 b. 「証明書の作成」ダイアログで、第三者機関の認証要求を選択します。 c. 必須パラメーターとオプション・パラメーターの値を指定します。 d. 「証明書の作成」をクリックします。 v コマンド行インターフェース tklmCertGenRequest と入力して、認証要求ファイルを作成します。以下に例 を示します。 – SSL 通信 print AdminTask.tklmCertGenRequest(’[-alias sklmSSLCertificate1 -cn sklm -ou sales -o myCompanyName -locality myLocation -country US -validity 999 -keyStoreName defaultKeyStore -fileName mySSLCertRequest1.crt -usage SSLSERVER]’) – 3592 磁気テープ・ドライブ print AdminTask.tklmCertGenRequest(’[-alias sklmCertificate1 -cn sklm -ou marketing -o CompanyName -locality myLocation -country US -validity 999 -keyStoreName defaultKeyStore -fileName myCertRequest1.crt -usage 3592]’) – DS8000 Turbo ドライブ print AdminTask.tklmCertGenRequest(’[-alias sklmCertificate3 -cn sklm -ou sales -o myCompanyName -locality myLocation -country US -validity 999 -keyStoreName defaultKeyStore -fileName myCertRequest3.crt -usage DS8000]’) v REST インターフェース: a. IBM Security Key Lifecycle Manager REST サービスにアクセスするための 固有のユーザー認証 ID を入手します。認証処理について詳しくは、REST サービスの認証処理を参照してください。 b. Certificate Generate Request REST Service を呼び出すために、HTTP POST 要求を送信します。ステップ a で入手したユーザー認証 ID を要求 メッセージと共に渡します。以下の例を参照してください。 – SSL 通信 POST https://localhost:9080/SKLM/rest/v1/certificates Content-Type: application/json Accept : application/json Authorization: SKLMAuth authId=139aeh34567m {"type":"certreq","alias":"sklmSSLCertificate1","cn":"sklm","ou": "sales","o": "myCompanyName","usage":"SSLSERVER","country":"US","validity":"999", "fileName": "mySSLCertRequest1.crt","algorithm":"ECDSA"} – 3592 磁気テープ・ドライブ POST https://localhost:9080/SKLM/rest/v1/certificates Content-Type: application/json Accept : application/json Authorization: SKLMAuth authId=139aeh34567m {"type":"certreq","alias":"sklmCertificate1","cn":"sklm","ou": "sales","o": "myCompanyName","usage":"3592","country":"US","validity":"999", "fileName": "myCertRequest1.crt","algorithm":"ECDSA"} シナリオ 7 – DS8000 Turbo ドライブ POST https://localhost:9080/SKLM/rest/v1/certificates Content-Type: application/json Accept : application/json Authorization: SKLMAuth authId=139aeh34567m {"type":"certreq","alias":"sklmCertificate3","cn":"sklm","ou": "sales","o": "myCompanyName","usage":"DS8000","country":"US","validity":"999", "fileName": "myCertRequest1.crt","algorithm":"ECDSA"} 3. 成功した場合は、インターフェースに応じて以下のようになります。 v グラフィカル・ユーザー・インターフェース: 証明書または認証要求が、「証明書」テーブルの項目として表示されます。 「ようこそ」ページに戻ります。「ようこそ」ページの「アクション項目」 に、「未処理の証明書」テーブルの項目としてその認証要求が表示されます。 v コマンド行インターフェース 完了メッセージによって正常な終了が示されます。 v REST インターフェース: 状況コード 200 OK は正常な終了を示しています。 次のタスク 組織が提供するセキュアな通信プロセスを使用して、認証局に認証要求を手動で送 信します。さらに、返される証明書をインポートするときに使用するため、認証要 求の別名の値を保持します。これは、認証要求と一致する必要があります。 証明書のインポート グラフィカル・ユーザー・インターフェースの「ようこそ」ページの「未処理の証 明書」リンク、tklmCertImport CLI コマンド、または Certificate Import REST Service を使用して、前に要求した証明書を認証局からインポートすることができ ます。 このタスクについて 開始する前に、返される証明書の別名が、前の認証要求の別名 (sklm cert1 など) と一致することを確認します。証明書ファイルを一時ディレクトリーに書き込みま す。 返される証明書をインポートするときに使用するため、元の認証要求の別名の値を 取得します。これは正しい別名を示す必要があります。 認証要求の X.500 所有者名を検索するには、証明書の X.500 所有者名に一致する かどうかを判別するために、tklmCertList コマンドまたは Certificate List REST Service を実行します。state 属性には値 pending を指定します。 証明書ファイルの所有者名を確認するため、以下の手順を実行できます。 v Windows システム: 8 シナリオ 証明書ファイルを直接開きます。Windows 固有のユーティリティーにより、証明 書の情報が読み取り可能なフォーマットで表示されます。 v その他のシステム: 新しい別名を使用して、証明書を IBM Security Key Lifecycle Manager にインポ ートします。その後、その別名を指定して tklmCertList コマンドまたは Certificate List REST Service を実行し、証明書の情報を表示します。 手順 1. 以下のように、適切なページまたはディレクトリーまでナビゲートします。 v グラフィカル・ユーザー・インターフェース: グラフィカル・ユーザー・インターフェースにログオンします。「ようこそ」 ページが表示されます。 v コマンド行インターフェース WAS_HOME/bin ディレクトリーで、Jython を使用して wsadmin セッションを 開始します。SKLMAdmin ユーザー ID など、権限があるユーザー IDを使用 して wsadmin にログオンします。例えば Windows システムの場合は、 drive:¥Program Files (x86)¥IBM¥WebSphere¥AppServer¥bin ディレクトリー に移動して、以下のコマンドを入力します。 – Windows システム: wsadmin -username SKLMAdmin -password mypwd -lang jython – AIX または Linux などのシステム: ./wsadmin.sh -username SKLMAdmin -password mypwd -lang jython v REST インターフェース: – REST クライアントを開きます。 2. 証明書をインポートします。 v グラフィカル・ユーザー・インターフェース: a. 「ようこそ」ページの「アクション項目」セクションにある「鍵グループ および証明書」領域で、「未処理の証明書があります (You have pending certificates)」をクリックします。 b. 「未処理の証明書」テーブルで該当する未処理の証明書を選択します。 c. 「インポート」をクリックします。 d. 「ファイル名およびロケーション」フィールドで、認証局によって返され た認証要求ファイルのパスとファイル名を入力します。 e. あるいは、「参照」をクリックして認証要求ファイルにナビゲートしま す。例えば、drive:¥Program Files (x86) ¥IBM¥WebSphere¥AppServer¥products¥sklm ディレクトリーにある未処理の 証明書を参照します。 f. 「インポート」をクリックします。 v コマンド行インターフェース tklmCertImport と入力して、証明書をインポートします。以下に例を示しま す。 シナリオ 9 – SSL 通信 print AdminTask.tklmCertImport (’[-fileName myTempPath¥¥mySSLCertRequest1.cer -alias sklmSSLCertificate1 -format base64 -keyStoreName defaultKeyStore -usage SSLSERVER]’) – 3592 磁気テープ・ドライブ print AdminTask.tklmCertImport ¥ (’[-fileName myTempPath¥¥myCertRequest2.cer -alias sklmCertificate2 -format base64 -keyStoreName defaultKeyStore -usage 3592]’) – DS8000 Turbo ドライブ print AdminTask.tklmCertImport (’[-fileName myTempPath¥¥myCertRequest3.cer -alias sklmCertificate3 -format base64 -keyStoreName defaultKeyStore -usage DS8000]’) v REST インターフェース a. IBM Security Key Lifecycle Manager REST サービスにアクセスするための 固有のユーザー認証 ID を入手します。認証処理について詳しくは、REST サービスの認証処理を参照してください。 b. Certificate Import REST Service を呼び出すために、HTTP POST 要求 を送信します。ステップ a で入手したユーザー認証 ID を要求メッセージ と共に渡します。以下の例を参照してください。 – SSL 通信 POST https://localhost:9080/SKLM/rest/v1/certificates/import Content-Type: application/json Accept : application/json Authorization: SKLMAuth authId=139aeh34567m {"fileName":"/mycertfilenam.base64","alias","sklmSSLCertificate1", "format":"base64", "usage":"SSLSERVER"} – 3592 磁気テープ・ドライブ POST https://localhost:9080/SKLM/rest/v1/certificates/import Content-Type: application/json Accept: application/json Authorization: SKLMAuth authId=139aeh34567m {"fileName":"/mycertfilenam.base64","alias","sklmSSLCertificate2", "format":"base64", "usage":"3592"} – DS8000 Turbo ドライブ POST https://localhost:9080/SKLM/rest/v1/certificates/import Content-Type: application/json Accept: application/json Authorization: SKLMAuth authId=139aeh34567m {"fileName":"/mycertfilenam.base64","alias","sklmSSLCertificate3", "format":"base64", "usage":"DS8000"} 3. 成功した場合は、インターフェースに応じて以下のようになります。 v グラフィカル・ユーザー・インターフェース: 未処理の証明書項目は、「ようこそ」ページの「未処理の証明書」テーブルか ら除去されます。インポート対象の証明書がもうない場合は、「未処理の証明 書」テーブルは、「ようこそ」ページの「アクション項目」セクションから除 去されます。 10 シナリオ v コマンド行インターフェース 完了メッセージによって正常な終了が示されます。 v REST インターフェース: 状況コード 200 OK は正常な終了を示しています。 次のタスク 証明書を保護するために、必ず鍵マテリアルをバックアップしてください。その 後、証明書を 1 つ以上の装置に関連付けることができます。 認証要求の問題 認証要求の作成、または返された証明書の使用可能化の際に発生する問題を解決す る必要があります。 v 認証要求を作成する前に、管理者は以下の問題を解決します。 – 問題: 認証要求ファイルに書き込むための許可がユーザーにない可能性があり ます。あるいは、空きディスク・スペースに余裕がないか、データベースが使 用不可である可能性があります。 解決策: 許可が正しいこと、空きディスク・スペースに余裕があること、およ びデータベース接続が使用可能であることを確認してください。そのようにな っていない場合は、適切に訂正してください。その後、操作を再試行してくだ さい。 – 問題: 共通名に値が指定されていません。 共通名 (cn) は、証明書の固有の ID の一部です。 例えば、cn の値は、証明書の所有者名で使用されます。こ の値は、インポートする証明書が元の証明書要求と一致するかどうかを識別す るために使用できます。 解決策: 証明書の共通名を指定します。その後、操作を再試行してください。 – 問題: 認証要求ファイルは存在します。 解決策: 認証要求で指定したファイル名が、既存の認証要求ファイル名に一致 しています。認証要求で別のファイル名を指定してください。例えば、 myUniqueRequest.crt を指定します。その後、操作を再試行してください。 v 返された CA 証明書をインポートする際、以下の問題を解決します。 – 問題: 認証局から返された証明書の所有者名が、元の認証要求の所有者名と一 致しません。 解決策: ファイル名または別名の指定を訂正してください。その後、インポー ト操作を再試行してください。 – 問題: 鍵と証明書の検証中にエラーが発生しました。認証局に送信した認証要 求と、返された証明書が一致しません。 解決策: この問題は内部処理エラーである可能性があります。監査ログ内に情 報が存在する場合は、それらをすべて収集して、IBM ソフトウェア・サポート に連絡してください。 – 問題: インポートする証明書の鍵が、元の認証要求の鍵と一致しません。 シナリオ 11 解決策: 返された証明書を、誤った認証要求に一致させようとしました。この 応答に対応する別名を使用して、証明書をインポートしてください。その後、 操作を再試行してください。 – 問題: 有効期限が 50 年より長い証明書をインポートするときに、以下のメッ セージが表示されます。 コマンド・ライン・インターフェースを使用する場合 CTGKM0002E Command failed: javax.management.MBeanException: RuntimeException thrown in RequiredModelMBean while trying to invoke operation importCertificate グラフィカル・ユーザー・インターフェースを使用する場合 Cannot import certificate to the keystore. javax.management.MBeanException: RuntimeException thrown in RequiredModelMBean while trying to invoke operation importCertificate 回避策: 証明書の有効期限を 50 より長くすることはできません。有効期限を 変更するには、SKLMConfig.properties ファイル内の maximum.keycert.expiration.period.in.years パラメーターの値を変更しま す。 シナリオ: IBM Security Key Lifecycle Manager 一括複製のセットアッ プ IBM Security Key Lifecycle Manager を使用して、鍵マテリアル、構成ファイル、お よびその他重要情報を 1 次マスター・サーバーから最大 20 個の 2 次クローン・ サーバーへ自動的に複製することができます。自動複製をすることにより、暗号化 装置での鍵と証明書の可用性が継続的なものとなります。 注: 自動複製処理は、新しい鍵が追加されたときにのみ実行されます。 データ複製によって IBM Security Key Lifecycle Manager 環境を、オペレーティン グ・システムおよびサーバーのディレクトリー構造とは関係のない方法で複数のサ ーバーに複製できます。 自動複製によって、IBM Security Key Lifecycle Manager の 1 次インスタンスが使 用不可になった場合に、バックアップ・システムが確実に使用可能となります。バ ックアップ・システムには、必要な鍵と関連データがすべて包含されています。以 下の複製タスクには、グラフィカル・ユーザー・インターフェース、CLI コマンド または REST インターフェースを使用することができます。 v 複製処理のスケジュール設定 v 複製のタスクの開始と停止 v 複製タスクの状況の確認 v 複製構成ファイルの機能の実行 複製構成ファイル IBM Security Key Lifecycle Manager 複製をスタンドアロン・タスクとして実行でき ます。新しい鍵が追加された際に自動複製処理を開始するために、有効な複製の構 成ファイルが使用可能でなければなりません。 12 シナリオ IBM Security Key Lifecycle Manager は、 <SKLM_HOME>¥config¥ReplicationSKLMConfig.properties 構成ファイルのプロパテ ィーを使用して複製処理を制御します。例えば、C:¥Program Files (x86) ¥IBM¥WebSphere¥AppServer¥products¥sklm¥config¥ReplicationSKLMConfig.properties です。IBM Security Key Lifecycle Manager グラフィカル・ユーザー・インターフェ ース、コマンド行インターフェース、または REST インターフェースを使用して複 製構成ファイルのプロパティーを変更できます。 各システムは以下のように分類できます。 v マスター - 複製元となる 1 次システム。 v クローン - コピー先となる 2 次システム。 マスター・システムの複製ファイルには、最大 20 個のクローンを指定できます。 各クローン・システムは、IP アドレスまたはホスト名とポート番号により識別され ます。IBM Security Key Lifecycle Manager 環境を、オペレーティング・システムお よびサーバーのディレクトリー構造とは関係のない方法で複数のクローン・サーバ ーに複製できます。 注: v スケジュールされた複製は、マスター・システムで新しいキーが追加されたとき にのみ実行されます。 v マスター・システムが 1 つのみとクローンが最大 20 個まで存在できます。複数 のマスターはサポートされません。 IBM Security Key Lifecycle Manager 複製プログラムを使用して自動バックアップ操 作のスケジュールを設定することもできます。一定の間隔でデータをバックアップ するようにプロパティーを構成する必要があるのは、マスター・サーバーに対して のみです。 マスター構成ファイルの例 replication.role=master replication.auditLogName=replication.log replication.MaxLogFileSize=1000 replication.MaxBackupNum=10 replication.MaxLogFileNum=5 replication.BackupDestDir=C¥:¥¥IBM¥WebSphere¥¥AppServer¥¥products¥¥sklm¥¥restore backup.ClientIP1=myhost1 backup.ClientPort1=2222 backup.EncryptionPassword=password backup.ReleaseKeysOnSuccessfulBackup=false backup.CheckFrequency=60 backup.TLSCertAlias=ssl_cert replication.MasterListenPort=1111 v master は、デフォルトの複製役割です。混乱を避けるために指定するようにして ください。 v 最低 1 つのクローンを、backup.ClientIPn と backup.ClientPortn パラメータ ーを使用して指定します。 v 指定したポートが使用可能であり、IBM Security Key Lifecycle Manager または他 のプロセスに現在使用されていないことを確認します。 v 最大で 20 個のクローン・システムを指定できます。 シナリオ 13 v backup.TLSCertAlias パラメーターには、マスター・システムとすべてのクロー ン・システムに存在する証明書を指定する必要があります。 v バックアップの暗号化と復号を行うパスワードを指定します。このパスワード は、IBM Security Key Lifecycle Manager がそれを最初に読み取った後に、複製構 成ファイル内で難読化されます。 クローン構成ファイルの例 replication.role=clone replication.MasterListenPort=1111 replication.BackupDestDir=C¥:¥¥IBM¥WebSphere¥¥AppServer¥¥products¥¥sklm¥¥restore replication.MaxLogFileSize=1000 replication.MaxBackupNum=3 replication.MaxLogFileNum=4 restore.ListenPort=2222 v クローン・システムでは、パラメーター値を replication.role=clone に指定し ます。 v restore.ListenPort パラメーターには、マスター・システムで backup.ClientIPn パラメーターに指定したポート番号を指定する必要がありま す。 使用可能なすべての複製構成パラメーターの完全な詳細については、IBM Security Key Lifecycle Manager 資料の参照情報のセクションを参照してください。 サーバー間通信 マスター・システムとクローン・システムの間のセキュア通信のために Transport Layer Security (TLS) プロトコルが使用されます。 既存の秘密鍵が、マスター・システムおよびそのすべてのクローン・システムの IBM Security Key Lifecycle Manager 鍵ストアで使用可能である必要があります。マ スター・システム上で、ReplicationSKLMConfig.properties 構成ファイルの backup.TLSCertAlias パラメーターにこの鍵の別名を設定する必要があります。マ スター・システムとクローン・システムの両方で同じ鍵が使用可能でない場合、シ ステム間の通信を開始して複製タスクを実行することはできません。グラフィカ ル・ユーザー・インターフェース、コマンド行インターフェース、または REST イ ンターフェースを使用して複製構成ファイルのプロパティーを変更できます。 複製スケジュール ReplicationSKLMConfig.properties ファイルのプロパティーを構成して、IBM Security Key Lifecycle Manager 自動複製処理のスケジュールを設定します。 グラフィカル・ユーザー・インターフェース、コマンド行インターフェース、また は REST インターフェースを使用して、複製処理のスケジュールを設定するための 複製構成ファイルのプロパティーを構成します。スケジュールされた複製は、マス ター・システムで新しいキーが追加されたときにのみ実行されます。IBM Security Key Lifecycle Manager 複製プログラムを使用して自動バックアップ操作のスケジュ ールを設定することもできます。一定の間隔でデータをバックアップするようにプ ロパティーを構成する必要があるのは、マスター・サーバーに対してのみです。 スケジュールを構成することにより、複製が必要かどうかを IBM Security Key Lifecycle Manager に定期的にチェックさせ、変更があった場合に処理を開始するこ 14 シナリオ とができます。必要な場合に複製を実行する時刻を指定することもできます。 backup.CheckFrequency パラメーターを構成して、IBM Security Key Lifecycle Manager がマスター・システムの更新をチェックする間隔を指定します。更新があ ると、複製が起動されます。値は時間単位で設定され、デフォルト値は 1 時間で す。 時刻を指定する場合は、backup.DailyStartReplicationBackupTime パラメーターを 構成します。時刻は 24 時間表示形式 (HH:MM) で指定する必要があります。複製 が実行されるのは、最後の複製以降にマスター・システムが変更されている場合の みです。 デフォルトでは、クローン・システムはマスター・システムからバックアップを受 信するとすぐにバックアップをリストアします。リストア時刻を指定するには、ク ローン・システムの複製構成ファイルに restore.DailyStartReplicationRestoreTime パラメーターを追加します。時刻は 24 時間表示形式 (HH:MM) で指定する必要があります。 「複製」 ページを使用することで、すべての定義済みクローンに対して臨時の複製 を強制実行したり、または特定の複製を強制実行したりできます。あるいは、以下 の CLI コマンドまたは REST インターフェースを使用することもできます。 v tklmReplicationNow v Replication Now REST Service 複製監査レコード IBM Security Key Lifecycle Manager 複製は、IBM Security Key Lifecycle Manager 監査ログ・ファイルに監査情報を記録します。 IBM Security Key Lifecycle Manager 複製プログラムには、複製固有の監査記録を独 自の個別監査ログ・ファイルに書き込む機能が用意されています。複製の監査ログ には、複製処理に関連するすべてのアクションが記録されます。デフォルトでは、 複製監査ログ・ファイルの場所は <SKLM_HOME>¥logs¥replication¥replication_audit.log です。 ReplicationSKLMConfig.properties ファイルの監査プロパティーを設定するには、 グラフィカル・ユーザー・インターフェース、コマンド行インターフェース、また は REST インターフェースを使用してください。構成ファイルで、監査ログ・ファ イルの場所、ログ・ファイル名、ログ・ファイル・サイズ、保持するログ・ファイ ルの最大数、または保持するバックアップ・ファイルの最大数などの監査プロパテ ィーを構成できます。 複製処理のセットアップ 複製処理を実行するための基本環境を IBM Security Key Lifecycle Manager にセッ トアップする必要があります。 このタスクについて このトピックでは、複製用の IBM Security Key Lifecycle Manager コマンド行イン ターフェースのコマンドおよび REST インターフェースを使用した複製処理のセッ トアップ方法について説明します。グラフィカル・ユーザー・インターフェースを シナリオ 15 使用した複製のセットアップについて詳しくは、クローン・サーバーおよびマスタ ー・サーバーの複製設定を参照してください。 手順 1. IBM Security Key Lifecycle Manager マスター・システムをセットアップしま す。 2. 鍵と装置を追加して、必要な鍵を提供できるようにします。 3. 複製を動作させるには、SSLSERVER 証明書を指定します。この証明書は、 GUI、CLI コマンド、または REST インターフェースを使用して作成すること ができます。以下にその例を示します。 グラフィカル・ユーザー・インターフェース: a. グラフィカル・ユーザー・インターフェースにログオンします。 b. 「拡張構成」 > 「サーバー証明書」をクリックします。 コマンド行インターフェース tklmCertCreate コマンドを 1 行で入力します。例えば、自己署名証明 書を作成するには、以下のように入力します。 print AdminTask.tklmCertCreate(’[('[-type selfsigned -alias sklmSSLCertificate -cn sklmssl -ou accounting -o myCompanyName -country US -keyStoreName defaultKeyStore -usage SSLSERVER -validity 999]') REST インターフェース 自己署名証明書を作成するには、Certificate Generate Request REST Service を使用します。REST クライアントを使用して、以下の HTTP 要求を送信します。 POST https://localhost: 9080/SKLM/rest/v1/certificates Content-Type: application/json Accept: application/json Authorization: SKLMAuth authId=139aeh34567m Accept-Language : en {"type":"selfsigned","alias":"sklmCertificate","cn":"sklm","ou":"sales", "o":"myCompanyName","usage":"3592","country":"US","validity":"999", " algorithm ": " RSA " } 4. マスター IBM Security Key Lifecycle Manager のバックアップを作成します。以 下にその例を示します。 グラフィカル・ユーザー・インターフェース: a. グラフィカル・ユーザー・インターフェースにログオンします。 b. 「バックアップおよびリストア」をクリックします。 コマンド行インターフェース 以下のように tklmBackupRun コマンドを入力します。 print AdminTask.tklmBackupRun (’[-backupDirectory C:¥¥wasbak1¥¥sklmbackup1 -password myBackupPwd]’) REST インターフェース バックアップを作成するには、Backup Run REST Service を使用しま す。 REST クライアントを使用して、以下の HTTP 要求を送信しま す。 POST https://localhost:9080/SKLM/rest/v1/ckms/backups Content-Type: application/json Accept: application/json 16 シナリオ Authorization: SKLMAuth authId=139aeh34567m Accept-Language : en {"backupDirectory":"/sklmbackup1","password":"myBackupPwd"} 5. ステップ 2 で作成したバックアップを、各 IBM Security Key Lifecycle Manager クローン・システムにコピーします。これらの各システムに、このバックアップ をリストアします。以下にその例を示します。 グラフィカル・ユーザー・インターフェース: a. グラフィカル・ユーザー・インターフェースにログオンします。 b. 「バックアップおよびリストア」をクリックします。 コマンド行インターフェース tklmBackupRestoreRun コマンドを 1 行で入力します。 print AdminTask.tklmBackupRunRestore (’[-backupFilePath /opt/sklmbackup/sklm_v2.5_20081012074433_backup.jar -password myBackupPwd]’) REST インターフェース バックアップをリストアするには、Backup Run Restore REST Service を使用します。REST クライアントを使用して、以下の HTTP 要求を送 信します。 POST https://localhost:9080/SKLM/rest/v1/ckms/restore Content-Type: application/json Accept: application/json Authorization: SKLMAuth authId=139aeh34567m Accept-Language : en {"backupFilePath":"/sklmbackup","password":"myBackupPwd"} 6. マスター・システム上に複製構成ファイル ReplicationSKLMConfig.properties を作成します。この構成ファイルはテキスト・ファイルである必要があり、IBM Security Key Lifecycle Manager プロパティー・ファイルと同じディレクトリー (例: C:¥Program Files (x86)¥IBM¥WebSphere¥AppServer¥products¥sklm¥config¥ ReplicationSKLMConfig.properties) に配置する必要があります。 以下の例は、複製タスクを開始するためにマスター上で必須となるフィールドを 示しています。以下の手順を実行する必要があります。 v 役割をマスターに設定する。 v ステップ 1 の証明書を指定し、少なくとも 1 つのクローン・サーバーとポー ト番号を指定する。 v マスターの listen ポートを定義し、パスワードを選択する。 backup.EncryptionPassword=mypassword backup.TLSCertAlias=sklmSSLCertificate backup.ClientIP1=myhostname backup.ClientPort1=2222 replication.MasterListenPort=1111 backup.EncryptionPassword プロパティーは、文字、数値、または特殊文字を含 めることができます。製品により、複製の初回実行時にこのプロパティーは難読 化されます。backup.TLSCertAlias プロパティーには、ステップ 1 で作成し た、クローンとの通信に使用される証明書と秘密鍵の別名を指定します。 replication.MasterListenPort プロパティーには、マスター・システムがクロ ーンからの特定の応答を listen するポートを指定します。backup.ClientIP1 プ ロパティーと backup.ClientPort1 プロパティーでクローンを定義します。 シナリオ 17 backup.ClientIP1 プロパティーには、ホスト名また IP アドレスのいずれかを 指定できます。backup.ClientPort1 プロパティーには、クライアントが listen しているポートを指定します。他のクローンを定義するには、backup.ClientIP* プロパティーと backup.ClientPort* プロパティーを指定する必要があります。 ここで、「*」は、最初のセットと同様 2 から 5 の数字です。 7. クローン・システム上に複製構成ファイル ReplicationSKLMConfig.properties を作成します。この構成ファイルはテキスト・ファイルである必要があり、IBM Security Key Lifecycle Manager プロパティー・ファイルと同じディレクトリー (例: C:¥Program Files (x86)¥IBM¥WebSphere¥AppServer¥products¥sklm¥config¥ ReplicationSKLMConfig.properties) に配置する必要があります。 以下の例は、複製タスクを開始するためにクローン上で必須となるフィールドを 示しています。以下の手順を実行する必要があります。 v 役割をクローンに設定する。 v マスターの listen ポートを定義する。 v リストアの listen ポートを定義する。このポートは、マスター上の対応する backup.ClientIP* パラメーターに指定されたポート番号と同じでなければな りません。 replication.role=clone backup.TLSCertAlias=sklmSSLCertificate replication.MasterListenPort=1111 restore.ListenPort=2222 クローンでは replication.role プロパティーが必須です。デフォルトでは、こ のプロパティーの値は master です。backup.TLSCertAlias プロパティーは、マ スターと同様にステップ 1 で作成した証明書に設定する必要があります。この プロパティーは、複製が後に延期された場合、またはリストア処理がマスターの 応答待機時間よりも長くかかる場合に、クローンの状況を送信するために使用さ れます。 replication.MasterListenPort プロパティーは、複製が後に延期された場合、 またはリストア処理がマスターの応答待機時間よりも長くかかる場合に、状況を 送信するポートを指定します。最後のプロパティー restore.ListenPort は、ク ローンがマスターからの複製要求を listen するポートです。 8. マスター・システムとクローン・システムで IBM Security Key Lifecycle Manager を再始動します。クローンおよびマスター・システムでは、 「tklmReplicationStatus CLI コマンドを使用して、複製タスクが実行されてい るようにします。」とのメッセージを確認できます。マスターおよびクローン・ システムでは、以下のメッセージを確認できます。 コマンド行インターフェース 以下の CLI コマンドを使用して、複製タスクが実行されているようにし ます。 print AdminTask.tklmReplicationStatus() 18 シナリオ マスター・システム 1.CTGKM2215I The Security Key Lifecycle Manager Replication task is UP. Role set to: MASTER CTGKM2218I The last completed replication took place at Thu Jun 19 14:50:59 WST 2015 CTGKM2217I The next scheduled replication is due at Fri Jun 20 17:03:36 WST 2015 クローン・システム CTGKM2215I The SKLM Replication task is UP. Role set to: CLONE CTGKM2220I No previous successful replications. CTGKM2221I No replication currently scheduled. REST インターフェース Replication Status REST Service を使用して、複製タスクが実行され ているようにします。REST クライアントを使用して、以下の HTTP 要 求を送信します。 GET https://localhost:9080/SKLM/rest/v1/replicate/status Content-Type: application/json Accept: application/json Authorization: SKLMAuth authId=139aeh34567m マスター・システム Status Code : 200 OK Content-Language: en [ {code:"CTGKM2215I", "status":"CTGKM2215I The Security Key Lifecycle Manager Replication task is UP. Role set to: MASTER"}, {code:"CTGKM2218I", "status":"CTGKM2218I The last completed replication took place at Thu Jun 19 14:50:59 WST 2015."} , {code:"CTGKM2217I", "status":"CTGKM2217I The next scheduled replication is due at Fri Jun 20 17:03:36 WST 2015." } ] クローン・システム Status Code : 200 OK [ { code:"CTGKM2215I", "status":"CTGKM2215I The Security Key Lifecycle Manager Replication task is UP. Role set to: CLONE"} , { code:"CTGKM2220I", "status":"CTGKM2220I No previous successful replications."} , { code:"CTGKM2217I", "status":"CTGKM2221I No replication currently scheduled." } ] 9. これで複製がセットアップされ、60 分ごとに複製が変更の有無をチェックしま す。この間隔を変更したり、毎日特定の時刻に複製が変更の有無をチェックする ようにセットアップしたりできます。また、tklmReplicationNow CLI コマンド または Replication Now REST Service を使用して、複製を即座に実行すること もできます。 複製での問題および解決 IBM Security Key Lifecycle Manager の複製タスクを実行する際に、クローンおよび マスターに発生し得る問題について考慮する必要があります。 シナリオ 19 不完全な複製 v backup.TLSCertAlias パラメーターに指定された SSL 証明書と秘密鍵が、マス ター・サーバーとクローン・サーバーの両方で使用可能であることを確認してく ださい。 v 複製通信用に指定されたポート番号が、現在他のソフトウェア製品によって使用 中でないことを確認してください。 v 複製構成ファイルに指定されたサーバー名または IP アドレスが正しいこと、ま たそれらがマスター・サーバーからアクセス可能であることを確認してくださ い。 v tklmReplicationStatus コマンドか Replication Status REST Service を実行し て、または IBM Security Key Lifecycle Manager ウェルカム・ページの 「複製」 セクションの状況で、各サーバーで複製タスクが実行中かどうかを確認してくだ さい。 v DB2 複製の場合、マスター・サーバーとクローン・サーバーの日時がほぼ同期さ れていることを確認してください。差異が大きいとリストアが失敗する場合があ ります。 v 複製構成ファイルを確認し、最低限の必須パラメーターが定義されており、それ らにタイプミスがないことを調べてください。 v 最大で 1 つのマスターと 20 個の関連付けられたクローンを定義します。少なく とも 1 つのクローンを定義する必要があります。 v 複製監査ファイルを調べて、複製の失敗に関する詳細を確認してください。 複製がスケジュールされた時間に実行されない v スケジュールされた複製が実行されるのは、新しい鍵マテリアルが作成された場 合のみです。 v マスター複製構成ファイルに、特定の複製時刻とチェック間隔の両方が指定され ている場合、その時刻がチェック間隔をオーバーライドします。 クローン・システムの複製 v クローン・システムは複製完了後に再始動します。 v クローン・サーバーの可用性の保守を行います。複製を実行する特定の時刻を、 restore.DailyStartReplicationRestoreTime パラメーターで指定できます。例え ば、バックアップ・ファイルの受信時刻に関係なく、リストアを午後 11 時に実 行するには、構成ファイルに以下のプロパティーを指定します。 restore.DailyStartReplicationRestoreTime=23:00 シナリオ: IBM Security Key Lifecycle Manager サーバーとクライアン ト装置の間の SSL ハンドシェークのセットアップ SSL ハンドシェークにより、IBM Security Key Lifecycle Manager サーバーおよび クライアント装置がセキュア通信用の接続を確立できます。IBM Security Key Lifecycle Manager には、SSL ハンドシェーク用にサーバーおよびクライアント装置 を構成するためのサーバー構成ウィザードが備わっています。 SSL/TLS ハンドシェークのためにウィザードで以下のステップを実行する必要があ ります。 20 シナリオ 1. 自己署名 SSL/KMIP サーバー証明書を作成する 2. ステップ 1 で作成した SSL/KMIP サーバー証明書を、クライアント装置で使用 するためにエンコードされた形式で証明書ファイルにエクスポートする。既存の 証明書もエクスポートできます。 3. クライアント通信証明書を IBM Security Key Lifecycle Manager サーバーにイン ポートする。 自己署名 SSL/KMIP サーバー証明書の作成 最初のアクティビティーとして、IBM Security Key Lifecycle Manager で使用する SSL/KMIP サーバー証明書を作成することができます。 手順 1. グラフィカル・ユーザー・インターフェースにログオンします。 2. 「構成パラメーターを確認するか、SSL サーバー証明書を作成してください。あ るいは、その両方を行ってください」リンクをクリックします。 IBM Security Key Lifecycle Manager をインストールした直後は、クライアント 装置との SSL/TLS ハンドシェーク用に IBM Security Key Lifecycle Manager を 構成するのに使用可能なオプションは「構成パラメーターを確認するか、SSL サ ーバー証明書を作成してください。あるいは、その両方を行ってください」のリ ンクのみです。このリンクは、以前に SSL サーバー証明書を作成した場合は表 示されません。 3. あるいは、「ようこそ」ページで、「構成」 > 「SSL/KMIP」 > 「サーバー構 成ウィザードの起動」をクリックします。 4. 「SSL/KMIP サーバー証明書の作成」をクリックします。 5. 「SSL/KMIP 証明書の追加」ダイアログで「自己署名証明書の作成」を選択しま す。 6. 必要に応じてパラメーターの値を指定します。 7. 「証明書の作成」をクリックします。 次のタスク 作成した IBM Security Key Lifecycle Manager SSL/KMIP サーバー証明書を、クラ イアント装置で使用するためにエンコードされた形式でファイルにエクスポートす ることが必要な場合があります。「証明書のエクスポート」リンクをクリックする か、「SSL/KMIP サーバー証明書のエクスポート」タブをクリックします。「既存 の証明書を使用」を選択することで、既存の SSL/KMIP サーバー証明書をエクスポ ートすることもできます。『サーバー証明書のエクスポート』を参照してくださ い。 サーバー証明書のエクスポート IBM Security Key Lifecycle Manager SSL/KMIP サーバー証明書を、クライアント装 置で使用するためにエンコードされた形式でファイルにエクスポートする必要があ ります。クライアント装置は、サーバーとのセキュア通信のためにこの証明書をイ ンポートします。 シナリオ 21 手順 1. グラフィカル・ユーザー・インターフェースにログオンします。 2. 「ようこそ」ページで、「構成」 > 「SSL/KMIP」 > 「サーバー構成ウィザー ドの起動」をクリックします。 3. 自己署名証明書を作成するには、「SSL/KMIP サーバー証明書の作成」をクリッ クします。詳しくは、 21 ページの『自己署名 SSL/KMIP サーバー証明書の作 成』のトピックを参照してください。 4. 「SSL/KMIP サーバー証明書のエクスポート」をクリックします。 5. 「証明書のエクスポート」ダイアログで、必要に応じてパラメーターの値を指定 します。例えば、証明書ファイルの形式に「BASE64」または「DER」を指定で きます。 注: パスを指定しないと、証明書は、IBM Security Key Lifecycle Manager がイ ンストールされているデフォルトのロケーションにエクスポートされます。 6. 「証明書のエクスポート」をクリックします。 次のタスク 次のステップに進んで、IBM Security Key Lifecycle Manager サーバーとクライアン ト装置の間のセキュア通信のためにクライアント装置の通信証明書をインポートで きます。「次のステップへジャンプ」リンクをクリックするか、「SSL/KMIP サー バー証明書のインポート」をクリックします。『クライアント通信証明書のインポ ート』を参照してください。 クライアント通信証明書のインポート クライアント装置とのセキュア通信のために、通信証明書を IBM Security Key Lifecycle Manager サーバーにインポートする必要があります。 手順 1. グラフィカル・ユーザー・インターフェースにログオンします。 2. 「ようこそ」ページで、「構成」 > 「SSL/KMIP」 > 「サーバー構成ウィザー ドの起動」をクリックします。 3. 自己署名証明書を作成するには、「SSL/KMIP サーバー証明書の作成」をクリッ クします。詳しくは、 21 ページの『自己署名 SSL/KMIP サーバー証明書の作 成』のトピックを参照してください。 4. 「SSL/KMIP サーバー証明書のエクスポート」をクリックして、IBM Security Key Lifecycle Manager SSL/KMIP サーバー証明書を、クライアント装置で使用 するためにエンコードされた形式でファイルにエクスポートします。詳細につい ては、 21 ページの『サーバー証明書のエクスポート』 を参照してください。 5. 「SSL/KMIP クライアント証明書のインポート」をクリックします。 6. 「証明書のインポート」ダイアログで、必要に応じてパラメーターの値を指定し ます。 7. 「インポート」をクリックします。 22 シナリオ 特記事項 本書は米国 IBM が提供する製品およびサービスについて作成したものです。本書 に記載の製品、サービス、または機能が日本においては提供されていない場合があ ります。日本で利用可能な製品、サービス、および機能については、日本 IBM の 営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに 言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能で あることを意味するものではありません。これらに代えて、IBM の知的所有権を侵 害することのない、機能的に同等の製品、プログラム、またはサービスを使用する ことができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評 価および検証は、お客様の責任で行っていただきます。 IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を 保有している場合があります。本書の提供は、お客様にこれらの特許権について実 施権を許諾することを意味するものではありません。実施権についてのお問い合わ せは、書面にて下記宛先にお送りください。 〒103-8510 東京都中央区日本橋箱崎町19番21号 日本アイ・ビー・エム株式会社 法務・知的財産 知的財産権ライセンス渉外 以下の保証は、国または地域の法律に沿わない場合は、適用されません。 IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状 態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を 含むすべての明示もしくは黙示の保証責任を負わないものとします。 国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場 合、強行規定の制限を受けるものとします。 この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的 に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随 時、この文書に記載されている製品またはプログラムに対して、改良または変更を 行うことがあります。 本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のた め記載しただけであり、決してそれらの Web サイトを推奨するものではありませ ん。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありませ ん。それらの Web サイトは、お客様の責任でご使用ください。 IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うこと のない、自ら適切と信ずる方法で、使用もしくは配布することができるものとしま す。 23 本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプロ グラム (本プログラムを含む) との間での情報交換、および (ii) 交換された情報の 相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする 方は、下記に連絡してください。 IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 U.S.A. 本プログラムに関する上記の情報は、適切な使用条件の下で使用することができま すが、有償の場合もあります。 本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、 IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれ と同等の条項に基づいて、IBM より提供されます。 この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定された ものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。 一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値 が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一 部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があ ります。お客様は、お客様の特定の環境に適したデータを確かめる必要がありま す。 IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公 に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っ ておりません。したがって、他社製品に関する実行性、互換性、またはその他の要 求については確証できません。 IBM 以外の製品の性能に関する質問は、それらの 製品の供給者にお願いします。 IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回 される場合があり、単に目標を示しているものです。 表示されている IBM の価格は IBM が小売り価格として提示しているもので、現行 価格であり、通知なしに変更されるものです。卸価格は、異なる場合があります。 本書はプランニング目的としてのみ記述されています。記述内容は製品が使用可能 になる前に変更になる場合があります。 本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。よ り具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品 などの名前が含まれている場合があります。これらの名称はすべて架空のものであ り、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎませ ん。 著作権使用許諾: 本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を 例示するサンプル・アプリケーション・プログラムがソース言語で掲載されていま す。お客様は、サンプル・プログラムが書かれているオペレーティング・プラット 24 シナリオ フォームのアプリケーション・プログラミング・インターフェースに準拠したアプ リケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式 においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することが できます。このサンプル・プログラムは、あらゆる条件下における完全なテストを 経ていません。従って IBM は、これらのサンプル・プログラムについて信頼性、 利便性もしくは機能性があることをほのめかしたり、保証することはできません。 お客様は、IBM のアプリケーション・プログラミング・インターフェースに準拠し たアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかな る形式においても、 IBM に対価を支払うことなくこれを複製し、改変し、配布す ることができます。 それぞれの複製物、サンプル・プログラムのいかなる部分、またはすべての派生的 創作物にも、次のように、著作権表示を入れていただく必要があります。 © (お客様の会社名) (西暦年). このコードの一部は、IBM Corp. のサンプル・プロ グラムから取られています。 © Copyright IBM Corp. _年を入れる_.All rights reserved. この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示さ れない場合があります。 商標 IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。他の製品名およびサービス名等は、それ ぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リスト については、http://www.ibm.com/legal/copytrade.shtml をご覧ください。 Adobe、PostScript は、Adobe Systems Incorporated の米国およびその他の国におけ る登録商標または商標です。 IT Infrastructure Library は AXELOS Limited の登録商標です。 インテル、Intel、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Centrino、Intel Centrino ロゴ、Celeron、Xeon、Intel SpeedStep、Itanium、および Pentium は、Intel Corporation または子会社の米国およびその他の国における商標または登録商標で す。 Linux は、Linus Torvalds の米国およびその他の国における登録商標です。 Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation の米国およびその他の国における商標です。 ITIL は AXELOS Limited の登録商標です。 UNIX は The Open Group の米国およびその他の国における登録商標です。 特記事項 25 Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社 の米国およびその他の国における商標または登録商標です。 Cell Broadband Engine は、Sony Computer Entertainment, Inc.の米国およびその他の 国における商標であり、同社の許諾を受けて使用しています。 Linear Tape-Open、LTO、LTO ロゴ、Ultrium および Ultrium ロゴは、HP、IBM Corp. および Quantum の米国およびその他の国における商標です。 26 シナリオ 索引 日本語, 数字, 英字, 特殊文字の 順に配列されています。なお, 濁 音と半濁音は清音と同等に扱われ ています。 シナリオ (続き) プライマリー・コンピューターおよび レプリカ・コンピューター (続き) 初期インストール 1 バックアップおよびリストア 非自動のフェイルオーバー 並行実行 [ア行] 証明書 22 ウィザード 21 シナリオ 一括複製 IBM Security Key Lifecycle tklm.backup.dir プロパティー 12 20 3 tklm.db2.backup.dir プロパティー バックアップ・タスク アクセス可能なデータベース 3 3 実行 3 非自動のフェイルオーバー、プライマリ ー・コンピューターおよびレプリカ・コ 14 ンピューター 2 複製処理 複製構成ファイル 並行実行するレプリカ 2 レプリカからリストア、条件 5 [タ行] 第三者証明書 ディレクトリー・ロケーション 秘密鍵、要求 5 要求 手動送信 5 データベースの情報 5 base64 フォーマット 5 DER または base64 5 15 SSL サーバー証明書 15 プライマリー・コンピューター base64 22 DER 22 要求、手動送信 5 base64 フォーマット 5 認証要求 返された証明書 8 作成 6 別名、一致 8 未処理の証明書テーブル 6 問題、解決策 11 Certificate Generate Request REST Service 6 Certificate Import REST Service 8 Certificate List REST Service 8 tklmCertGenRequest コマンド 6 tklmCertImport コマンド 8 tklmCertList コマンド 8 複製、自動 12 複製監査ログ・レコード 15 複製構成ファイル 13, 14 複製スケジュール 14 複製の監査 15 複製の考慮事項 20 プライマリー・コンピューターおよび レプリカ・コンピューター 災害時回復 1 3 IBM Security Key Lifecycle Manager 14 エクスポート 22 証明書のインポート 22 証明書のエクスポート 第三者証明書 5 返された 5 2 3 リストア・タスク 3 レプリカ・コンピューター Transport Layer Security 証明書 インポート 22 監査ファイル 15 サーバー間通信 14 データベース、情報の要求 5 ディレクトリー・ロケーション 秘密鍵 (private key) 5 バックアップ・タスク 13 例、マスター構成ファイル 13 2 次クローン・サーバー 12 TLS 2 2 レプリカ・コンピューター ランタイム要件 Manager 1 SSL ハンドシェーク サーバー、クライアント装置 [サ行] 手動ステップ、回避 2 バックアップ・ファイル、保護 プライマリー・コンピューターおよび 2 例、クローン構成ファイル 証明書, 既存 21 バックアップおよびリストア プライマリーにバックアップ 2 問題の解決 20 リストア時間 14 インポート 証明書, 作成 エクスポート 証明書 22 2 [ハ行] 5 4 プライマリー・コンピューターおよびレプ リカ・コンピューター シナリオ 1, 2 初期インストール 1 非自動のフェイルオーバー 2 並行実行 2 IBM Security Key Lifecycle Manager のアップグレード 1 保留 証明書テーブル、認証要求 6 認証要求、tklmCertList コマンド 8 [ナ行] 認証要求 返された証明書 8 作成 6 別名、一致 8 未処理の証明書テーブル 6 問題、解決策 11 Certificate Import REST Service 8 Certificate List REST Service 8 tklmCertImport コマンド 8 tklmCertList コマンド 8 [マ行] 問題、認証要求の解決 11 [ラ行] リストア・タスク アクセス可能なデータベース 3 パスワード要件 3 プライマリー・コンピューター 3 レプリカ・コンピューター アクティビティー 4 27 レプリカ・コンピューター (続き) オフサイト・ロケーション 監査ログ 4 セットアップ 2 4 バックアップ 条件 4 プライマリー T Certificate Generate Request REST tklmCertGenRequest コマンド、認証要求 Service、認証要求 6 Certificate Import REST Service、返された 6 tklmCertImport コマンド、返された証明書 証明書 8 8 tklmCertList コマンド、未処理の認証要求 2 バックアップおよびリストア 2 バックアップ時のシナリオ 1 プライマリーにリストア 4 要件、プライマリーと同一 レプリカ・コンピューター、セットアップ 8 tklmServedDataList コマンド、レプリカ・ I IBM Security Key Lifecycle Manager 1 Served Data List REST Service 4 tklmServedDataList コマンド 4 4 C シナリオ 1 S リストア SSL ハンドシェーク シナリオ 4 tklm.db2.backup.dir、バックアップおよび クライアント装置 サーバー 20 28 コンピューター tklm.backup.dir、バックアップおよびリス トア 3 20 3