|
|
|
CA Directory r12 SP2 以降、それぞれの DSA はその固有の SSL と TLS 認証、暗号化および復号化を処理します。 SSLD はインストールされません。
DSA の外部 SSLD で証明書認証を提供していた SSL 機能は、それぞれの DSA に統合されています。
新しい設定に古い SSL 設定を自動的に移行するには、CA Directory を最新のバージョンにアップグレードします。
製品全体をアップグレードせずに、SSL 設定を移行できます。 以下の手順で、これを行う方法について説明します。
次の手順に従ってください:
set ssl = {
cert-dir = CertificationDirectory
ca-file = CertificateAuthorityFile
};
注: port、debug、threads コマンドは今後必要ありません。
注: DXHOME/config/ssld/default.dxc にデフォルト SSL 設定があります。
暗号を設定しない場合、DSA はデフォルトの暗号を使用します。 使用可能な暗号は、コンソール コマンド get ciphers を使用して、確認できます。 現在サポートされている暗号のリストについては、「SSL 用の暗号化形式」セクションを参照してください。 暗号の詳細については、OpenSSL サイトを参照してください。
source "../ssld/dsaname.dxc";
例:古いスタイルの SSLD 設定と新しい set ssl コマンドの比較
以下の例では、SSL 機能を設定する 2 つの方法を比較しています。
コマンド ssld start test は、以下のパラメータを表示します。
port 2112 certfiles /opt/CA/Directory/dxserver/samples/ssl/certs ca /opt/CA/Directory/dxserver/samples/ssl/certs/gary_michael.pem debug 3 threads 0 protocol TLS cipher ALL:!EXPORT40:!ADH FIPS 140-2 enabled hsm_pin 2345 hsm_lib /opt/CA/Directory/dxserver/bin/tlsclient hsm_slot 1
これらのパラメータを使用して、以下の set ssl コマンドを作成します。
set ssl = {
cert-dir = "/opt/CA/Directory/dxserver/samples/ssl/certs"
ca-file = "/opt/CA/Directory/dxserver/samples/ssl/certs/gary_michael.pem"
cipher = "ALL:!EXPORT40:!ADH"
protocol = tls
fips = true
pin = 2345
lib = "/opt/CA/Directory/dxserver/bin/tlsclient"
slot = 1
};
注: port、debug、threads コマンドは今後必要ありません。
例: 新しい Democorp DSA 用の SSL の設定
この例は、サンプル Democorp DSA 用の SSL をセットアップする方法を示しています。
システム上に存在する DSA ごとに PEM 証明書を自動的に作成して、trusted.pem ファイルにルート CA 署名証明書を追加するには、以下のコマンドを使用します。
dxcertgen certs
set ssl = {
cert-dir = "config/ssld/personalities"
ca-file = "config/ssld/trusted.pem"
};
# access controls clear access; source "../access/default.dxc"; # ssl source "../ssld/Democorp.dxc"; # replication agreements (rarely used) # source "../replication/";
stop democorp ... start democorp ...
現在は、SSL 接続を使用して、Democorp DSA にバインドできます。
| Copyright © 2012 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |