Sun ONE Application Server 7 ã‡»ã‡�ã…¥ã…ªã…ƒã‡£ç®¡ç’ƒè•–ã‡¬ã‡¤ã…›

Similar documents

Sun Microsystems, Inc Network Circle Santa Clara, CA U.S.A. Copyright 2003 Sun Microsystems, Inc. All rights reserved. このソフトウェアは SUN MICRO

PowerPoint プレゼンテーション

ファイルサーバー(NFS) 構築ガイド

CSV_Backup_Guide

目次 1. 積算内訳書に関する留意事項 1 ページ 2. 積算内訳書のダウンロード 3 ページ 3. 積算内訳書の作成 (Excel 2003の場合 ) 6 ページ 4. 積算内訳書の作成 (Excel 2007の場合 ) 13

ユーザーマニュアル

端末型払い出しの場合接続構成図フレッツグループから払出されたIPアドレス /32 NTT 西日本地域 IP 網フレッツグループフレッツグループから払出されたIPアドレス /

参加表明書・企画提案書様式

PowerPoint プレゼンテーション

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

目次 1. はじめに 3 2. システム要件 4 3. HDD Password Tool のインストール 5 Windows の場合 5 Mac の場合 8 4. HDD Password Tool の使い方 HDD Password Tool を起動する

ていることからそれに先行する形で下請業者についても対策を講じることとしました本県としましてはそれまでの間に未加入の建設業者に加入していただきますよう 28 年 4 月から実施することとしました問 6 公共工事の

iStorage ソフトウェア VMware vSphere Web Client Plug-in インストールガイド

変更履歴日付 Document ver. 変更箇所変更内容 2015/3/ 新規追加 2015/9/24 誤字修正 2016/2/ 動作環境最新のものへ変更全体オペレーターの表記を削除 2016/5/

WebAlertクイックマニュアル

GRIDY SFA カスタム項目操作ガイド用本書はに必要な操作を解説しておりますは GRIDY SFA ののことです GRIDY SFA へ申し込み最初に登録を行った方がそのままとなりますカスタム項目はの方のみ操作可

KINGSOFT Office 2016 動作環境対応日本語版版共通利用上記動作以上以上空容量以上他接続環境推奨必要 2

ーがサーバーにファイルをアップロードしたりファイルを電子メールで送信したために) 利用できるようになった場合手動で転送されたこれらのファイルにアクセスするユーザーまたはデバイスに CAL は必要ありません以下の例では特定の製品について説

1 書誌作成機能 (NACSIS-CAT)の軽量化合理化電子情報資源への適切な対応のための資源 ( 人的資源,システム資源, 経費を含む) の確保のために, 書誌作成と書誌管理作業の軽量化を図

PowerPoint プレゼンテーション

ユーザーガイド

・モニター広告運営事業仕様書

第２回　制度設計専門会合事務局提出資料

1 本店の申請において代理人を立てない場合電子証明書の利用者は代表者で取得してください 6 電子証明書の利用者は誰にすればよいのですか? 2 本店の申請で代理人を立てるまたは支店の申請

01_07_01 データのインポート_エクスポート_1

あいち電子調達共同システム

Microsoft PowerPoint 資料６　技術基準.ppt [互換モード]

<IE の設定について> 従来版をすでにご利用の方の場合互換表示設定がある状態になっていると思われますので必ず解除の設定を行ってください従来版では IE の 10 以上では互換表示設定が必要でした

サイボウズリモートサービスユーザーマニュアル

Server と Lync Server の使用が含まれますユーザーはこれらの製品とともに使用するのに必要な Windows Server CAL と Exchange および/または Lync Server の適切な CAL を取得する必要がありま

CENTNET 導入の手引き変更履歴 No. 変更日変更番号変更枚数備考 /07/ 版発行 - システムリプレースにより全面刷新 //07/ 版発行 3 誤字等の修正 /

エントリーシステム利用承諾書

戦略担当者のための

管理者ガイド

一般競争入札について

接続試験実施要領【障害者総合支援法（平成２７年４月報酬改定）対応】

(3) その他市長が必要と認める書類 ( 補助金の交付決定 ) 第 6 条市長は前条の申請書を受理したときは速やかにその内容を審査し補助金を交付すべきものと認めたときは規則第 7 条に規定す

Microsoft Word - FBE3A91F.doc

メール受信画面のレイアウトを変更することができますここでは初期設定のレイアウトで表示されているボタンやマークについて解説しますメール一覧画面には受信したメールが一覧表示されますメール受信タブをクリックすると受信箱フ

目次目次... 本書の見かた... 2 商標について... 2 オープンソースライセンス公開... 2 はじめに... 3 概要... 3 使用環境について... 4 対応している OS およびアプリケーション... 4 ネットワーク設定... 4 Googl

Microsoft Word - TechSmith Deployment Tool Documentation.docx

マネジメントシステム認証規則目次 1 章総則 1.1 一般 2 章マネジメントシステムの登録 2.1 一般 2.2 登録原簿 2.3 登録証書 2.4 登録マークの使用及び認証の引用 2.5 登録維持 2.6 登録継続 2.7

<4D F736F F D B382F182AC82F18A4F88D B A82B D836A B5F8F898AFA90DD92E85F E646F E302E646F6378>

検討検討の進め方検討状況簡易収支の世帯からサンプリング世帯名作成事務の廃止 4 5 必要な世帯数の確保が可能か簡易収支を実施している民間事業者との連絡等に伴う事務の複雑

目次機能概要配信管理 1. メールの配信履歴と予約を確認する

<4D F736F F D204D46834E A6D92E8905C8D905F93B193FC819593FA8E9F95D C5292E646F63>

医療費自己負担額支払明細書入力シート - 目次 - < 第 1 章 > 共通事項説明医療費自己負担額支払明細書入力シート目次 1.1 本システムの注意点入力項目について基本情

Office365 ProPlus 利用方法について

Microsoft PowerPoint - 報告書(概要).ppt

大田市固定資産台帳整備業務（プロポーザル審査要項）

Visio-XPSP2_Mpro.vsd

( 注変更申請で対象となる項目と郵送書類についての詳細は下表を参照してください東京電子自治体共同運営電子調達サービス 6. 変更申請物品買入れ等変更申請項目及び郵送書類等一

サービス説明書 - STP 10000TLEE-JP-10 / STP 10000TLEE-JP-11 / STP 20000TLEE-JP-11 / STP 25000TL-JP-30

e-Gov電子申請システムを利用した

Microsoft Word - 参考資料：SCC_IPsec_win8__リモート設定手順書_

Microsoft Corporation のガイドラインに従って画面写真を使用しています Microsoft Windows Windows Vista は米国 Microsoft Corporation の米国及びその他の国における登録商標又は

- 1 - 総控負傷疾病療養産産女性責帰べ由試 ~ 8 契約契約完了ほ契約超締結専門的知識技術験専門的知識高大臣専門的知識高専門的知識締結契約満歳締結契約契約係始

第1章　財務諸表

<4D F736F F F696E74202D B B83678E9197BF2E B93C782DD8EE682E890EA97705D>

<4D F736F F F696E74202D208E9197BF322D31208C9A90DD B835E CC8A C982C282A282C4>

確定給付企業年金　ＤＢパッケージプランのご提案

<4D F736F F D C689D789B582B581698AAE90AC92CA926D816A2E646F63>

入札参加者は入札の執行完了に至るまではいつでも入札を辞退することができこれを理由として以降の指名等において不利益な取扱いを受けることはない 12 入札保証金免除 13 契約保証金免除 14 入

POWER EGG V2.01　ユーザーズマニュアル　ファイル管理編

Taro-2220（修正）.jtd

1 林地台帳整備マニュアル( 案 )について林地台帳整備マニュアル( 案 )の構成構成記載内容第 1 章はじめに本マニュアルの目的記載内容について説明しています第 2 章第 3 章第 4 章第 5 章第 6 章林地

Microsoft Word - FrontMatter.doc

Server と Skype for Business Server の使用が含まれますユーザーはこれらの製品とともに使用するのに必要な Windows Server CAL と Exchange および/または Skype for Business Server の

この章では電子入札システムをご利用いただくための事前準備について説明します事前準備として ID 初期パスワードの確認初期パスワード初期見積用暗証番号の変更 IC カード登録またはICカード更新を行っ

<4D F736F F D2095CA8E A90DA91B18C9F93A289F1939A8F D8288B3816A5F E646F63>

<4D F736F F D203193FA8AD45F95CA8E86325F89898F4B315F94F093EF8AA98D AD97DF914F82CC8FEE95F182CC8EFB8F C28E8B89BB2E646F63>

<4D F736F F D20819C B78AFA95DB91538C7689E68DEC90AC289

2007 Microsoft Corporation. All rights reserved. 本書に記載した情報は本書各項目に関する発行日現在の Microsoft の見解を表明するものです Microsoft は絶えず変化する

<4D F736F F D208ED089EF95DB8CAF89C193FC8FF38BB CC8EC091D492B28DB88C8B89CA82C982C282A282C42E646F63>

<4D F736F F D20342E92868D E293608E718E918CB982CC8AC7979D82C98AD682B782E98C6F89DF915B92752E646F6378>

< 目次 > 8. 雇用保険高年齢雇用継続給付 27 ( 育児休業給付介護休業給付 ) 8.1 高年齢雇用継続給付画面のマイナンバー設定高年齢雇用継続給付の電子申請高

モバイル充電安全認証の概要 MCPC (モバイルコンピューティング推進コンソーシアム )は業界の枠を越えてモバイルコンピューティングを普及促進することを目的とし 1997 年に発した任意団体ですこのたび MCPCはスマートフォ

<4D F736F F D208DE3905F8D8291AC8B5A8CA48A948EAE89EF8ED0208BC696B18BA492CA8E64976C8F BD90AC E378C8E89FC92F994C5816A>

平成 27 年 11 月 ~ 平成 28 年 4 月に公開の対象となった専門協議等における各専門委員等の寄附金契約金等の受取状況審査 ( 別紙 ) 専門協議等の件数専門委員数 500 万円超の受

( 別紙 ) 以下法とあるのは改正法第 5 条の規定による改正後の健康保険法を指す ( 施行期日は平成 28 年 4 月 1 日 ) 1. 標準報酬月額の等級区分の追加について問 1 法改正により追加

通知カードと個人番号カードの違い 2 通知カード ( 紙 )/H27.10 個人番号カード (ICカード)/H28.1 様式 (おもて) (うら) 作成交付主な記載事項全国 ( 外国人含む)に郵送で配布希望者に交

続に基づく一般競争 ( 指名競争 ) 参加資格の再認定を受けていること ) c) 会社更生法に基づき更生手続開始の申立てがなされている者又は民事再生法に基づき再生手続開始の申立てがなさ

疑わしい取引の参考事例

Taro-契約条項（全部）

(Microsoft PowerPoint \213\306\213\226\211\302\215X\220V\220\340\226\276\211\357\201i3\201j)

のとする (1) 防犯カメラを購入し設置 ( 新設又は増設に限る ) すること (2) 設置する防犯カメラは新設又は既設の録画機と接続することただし録画機能付防犯カメラは

本書は電子証明書に関する資料となりますます本書でサービスにログインした後は改めて各サービスのマニュアルのご参照をお願いいたし重要動作環境によりマニュアルの記載内容と差異が発生する場合がございます

目次ログイン方法... 3 基本画面構成... 4 メールサービス... 5 メールサービス画面構成... 5 アカウント詳細 / 設定... 6 高機能フィルター... 7 ユーザーフィルター設定... 8 新規フィルターの追加... 8 My ホ

タイトルを１～２行で入力（長文の場合はフォントサイズを縮小）

Office 10 パッケージ版「リンク集」

目次目次... 1 本書の見かた... 2 商標について... 2 オープンソースライセンス公開... 2 はじめに... 3 概要... 3 使用環境について... 4 対応している OS およびアプリケーション... 4 ネットワーク設定... 4 Goo

Transcription:

セキュリティ管理者ガイド Sun ONE Application Server Version 7 816-6482-10 2002 年 9 月

Copyright 2002 Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S.A. All rights reserved. このソフトウェアは SUN MICROSYSTEMS, INC. の機密情報と企業秘密を含んでいます SUN MICROSYSTEMS, INC. の書面による許諾を受けることなくこのソフトウェアを使用開示複製することは禁じられています U.S. Government Rights - Commercial software. Government users are subject to the Sun Microsystems, Inc. standard standard license agreement and applicable provisions of the FAR and its supplements. Use is subject to license terms. この配布には第三者が開発したソフトウェアが含まれている可能性があります Sun Sun Microsystems Sun のロゴマーク Java および Sun ONE のロゴマークは米国およびその他の国における米国 Sun Microsystems, Inc. ( 以下米国 Sun Microsystems 社とします ) の商標もしくは登録商標です UNIX は X/Open Company, Ltd が独占的にライセンスしている米国およびその他の国における登録商標ですこの製品は米国の輸出規制に関する法規の適用および管理下にありまた米国以外の国の輸出および輸入規制に関する法規の制限を受ける場合があります核ミサイル生物化学兵器もしくは原子力船に関連した使用またはかかる使用者への提供は直接的にも間接的にも禁止されていますこのソフトウェアを米国の輸出禁止国へ輸出または再輸出することおよび米国輸出制限対象リスト ( 輸出が禁止されている個人リスト特別に指定された国籍者リストを含む ) に指定された法人または団体に輸出または再輸出することは一切禁止されています

目次本書について................................................................... 9 対象読者..................................................................... 10 マニュアルの使用法............................................................ 10 マニュアルの構成.............................................................. 12 マニュアルの表記規則........................................................... 13 一般的な表記規則............................................................ 13 ディレクトリ名の表記規則..................................................... 14 製品サポート.................................................................. 15 第 1 章 Sun ONE Application Server のセキュリティについて......................... 17 アプリケーションサーバーのセキュリティ.......................................... 18 証明書の管理............................................................... 18 SSL/TLS 暗号化............................................................. 18 認証....................................................................... 19 監査....................................................................... 19 HTTP サーバーのセキュリティ機能................................................ 20 HTTP サーバーのユーザー - グループ認証........................................ 20 HTTP サーバーのホスト - IP 認証............................................... 20 HTTP サーバーの SSL クライアント認証......................................... 21 HTTP サーバーのアクセス制御................................................. 21 Netscape API (NSAPI)........................................................ 22 J2EE アプリケーションのセキュリティ機能......................................... 22 宣言によるセキュリティ...................................................... 22 プログラムによるセキュリティ................................................. 23 ユーザー認証............................................................... 23 レルムの管理............................................................... 23 シングルサインオン.......................................................... 23 リソース認証............................................................... 23 3

プラグイン対応認証.......................................................... 24 安全を考慮した運用............................................................ 24 サーバーのセキュリティに関連するファイル......................................... 25 init.conf ファイル............................................................ 25 dbswitch.conf ファイル........................................................ 26 server.xml ファイル.......................................................... 26 obj.conf ファイル............................................................ 27 password.conf ファイル....................................................... 27 certmap.conf ファイル........................................................ 28 ACL ファイル............................................................... 28 htaccess ファイル........................................................... 29 キーファイル............................................................... 29 server.policy ファイル........................................................ 29 第 2 章一般的なセキュリティ対策................................................ 31 一般的なセキュリティについて................................................... 31 物理アクセスの制限............................................................ 32 ファイアウォールの使用......................................................... 33 シングルファイアウォール..................................................... 33 ダブルファイアウォール - DMZ 設定............................................. 34 トリプルファイアウォール - DMZ とデータベース保護.............................. 35 管理アクセスの制限............................................................ 36 パスワードの管理.............................................................. 36 解読されにくいパスワードの作成............................................... 37 スーパーユーザーのパスワードの管理............................................ 37 パスワードまたは PIN の変更.................................................. 39 password.conf ファイルの使用................................................. 40 サーバーでの別アプリケーション実行の制限......................................... 41 保護されていないサーバーのセキュリティ.......................................... 42 第 3 章証明書の管理........................................................... 43 証明書と認証について........................................................... 43 信頼データベースの実装......................................................... 44 信頼データベースの作成...................................................... 45 信頼データベースのパスワードの変更............................................ 46 証明書の実装.................................................................. 47 必要な CA 情報.............................................................. 47 証明書の要求............................................................... 48 証明書のインストール........................................................ 51 内蔵のルート証明書モジュールの使用.............................................. 55 証明書の管理.................................................................. 56 CRL と CKL の管理............................................................. 57 4 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

CRL または CKL のインストール................................................ 57 CRL または CKL の削除....................................................... 59 第 4 章 SSL/TLS 暗号化の管理................................................... 61 暗号化について................................................................ 62 SSL プロトコルと TLS プロトコル.............................................. 62 公開鍵と秘密鍵.............................................................. 63 設定手順................................................................... 63 LDAP との SSL 通信の有効化..................................................... 64 セキュリティの有効化........................................................... 65 HTTP リスナー作成時のセキュリティの有効化..................................... 65 HTTP リスナー編集時のセキュリティの有効化..................................... 68 SSL と TLS の有効化........................................................... 69 グローバルなセキュリティ設定................................................... 71 SSL 設定ファイル指令........................................................ 71 SSLCacheEntries.......................................................... 71 SSLClientAuthDataLimit..................................................... 72 SSLClientAuthTimeout...................................................... 72 SSLSessionTimeout........................................................ 72 SSL3SessionTimeout....................................................... 72 SSL 指令の値の設定.......................................................... 72 外部暗号化モジュールの使用..................................................... 74 PKCS11 モジュールのインストール............................................. 75 外部の証明書を使ったサーバーの起動............................................ 75 FIPS-140 標準の有効化....................................................... 77 厳密な暗号化方式の設定......................................................... 78 クライアントによる SSL ファイルのキャッシングの防止............................... 81 第 5 章 HTTP サーバーアクセス制御の管理......................................... 83 HTTP サーバーのアクセス制御について............................................ 84 HTTP サーバーのユーザー - グループ認証........................................ 84 基本認証................................................................. 85 SSL 認証................................................................ 86 ダイジェスト認証......................................................... 87 ホスト - IP 認証............................................................. 89 アクセス制御リスト (ACL) ファイル............................................. 89 クライアント認証............................................................ 90 ダイジェスト認証の実装......................................................... 91 ダイジェスト認証プラグインの実装............................................. 91 UNIX 環境でのダイジェスト認証............................................. 91 Windows 環境でのダイジェスト認証.......................................... 92 DES アルゴリズムの使用に関する Sun ONE Directory Server の設定................... 93 5

ホスト - IP 認証の実装.......................................................... 94 ACL ファイルの操作............................................................ 94 ACL ファイルの構文.......................................................... 95 タイプステートメント........................................................ 96 認証ステートメント.......................................................... 97 承認ステートメント.......................................................... 98 承認ステートメントの階層.................................................. 98 属性式.................................................................. 99 演算子................................................................. 100 ACL ファイルの例.......................................................... 101 ACL 式のカスタマイズ....................................................... 103 クライアント認証の設定........................................................ 104 管理サーバーのクライアント認証の設定......................................... 104 サーバーインスタンスのクライアント認証の設定.................................. 106 certmap.conf ファイルの操作.................................................. 108 デフォルトプロパティ..................................................... 109 カスタムプロパティの作成................................................. 111 マッピングの例.......................................................... 111 ACL/ACE の設定.............................................................. 113 許可または拒否の設定....................................................... 113 ユーザー - グループ認証の設定................................................ 113 アクセスを許可するホストの指定.............................................. 115 アクセス権限の設定......................................................... 116 obj.conf ファイル内の ACL ファイルの参照......................................... 117 ACL ユーザーキャッシュの設定.................................................. 117 ACLCacheLifetime........................................................ 117 ACLUserCacheSize....................................................... 118 ACLGroupCacheSize...................................................... 118 サーバーインスタンスのアクセス制御の設定........................................ 118 サーバー内の領域へのアクセスの制限............................................. 124 サーバー全体へのアクセスの制限.............................................. 125 ディレクトリ ( パス ) に対するアクセスの制限.................................... 126 URI ( パス ) に対するアクセスの制限............................................ 127 ファイルタイプによるアクセスの制限........................................... 128 時間帯によるアクセスの制限.................................................. 129 セキュリティによるアクセスの制限............................................ 130 アクセス制御の無効化.......................................................... 131 アクセス拒否時の応答.......................................................... 132 仮想サーバーのアクセス制御.................................................... 132 仮想サーバーからデータベースへのアクセス..................................... 133 dbswitch.conf ファイルの使用............................................... 134 認証データベースの新規作成............................................... 134 ユーザーインタフェースによるデータベースの指定............................. 135 6 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

仮想サーバー用のアクセス制御リストの編集..................................... 135 htaccess ファイルの使用....................................................... 136 ユーザーインタフェースによる htaccess の有効化................................. 137 init.conf による htaccess の有効化.............................................. 139 htaccess-register の使用...................................................... 140 サポートしている htaccess 指令............................................... 141 索引........................................................................ 147 7

8 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

本書についてこのマニュアルでは Sun TM Open Network Environment (ONE) Application Server 7 のセキュリティを設定管理する方法について説明します注このマニュアルで説明するすべての内容が J2EE アプリケーションにあてはまるわけではありません一部の内容は HTTP サーバーの機能だけに適用されます安全な J2EE アプリケーションの開発については J2EE の仕様書および Sun ONE Application Server 開発者ガイドを参照してくださいこの節には次のトピックがあります対象読者マニュアルの使用法マニュアルの構成マニュアルの表記規則製品サポート 9

対象読者対象読者このマニュアルは次のようなサーバーの企業セキュリティメカニズムの実装と管理について十分な知識のある企業内の情報技術管理者を対象としています認証承認署名暗号化監査マニュアルの使用法このマニュアルは PDF 形式または HTML 形式でも入手できます次のサイトを参照してください http://docs.iplanet.com/docs/manuals/ias.html 次の表は Sun ONE Application Server のマニュアルに記述されているタスクと概念を示しています左側の列にタスクと概念右側の列に参照するマニュアルを示します Sun ONE Application Server マニュアルの概要情報の内容ソフトウェアおよびマニュアルの最新情報サポート対象のプラットフォームと環境アプリケーションサーバーの紹介新機能評価用バージョンのインストールアーキテクチャの概要など Sun ONE Application Server とそのコンポーネント ( サンプルアプリケーション管理インタフェース Sun ONE Message Queue など ) のインストール Sun ONE Application Server 7 の Java オープンスタンダードモデルに準拠した J2EE アプリケーションの作成方法と実装方法アプリケーション設計開発ツールセキュリティアセンブリ配置デバッグライフサイクルモジュールの作成に関する情報など参照するマニュアルリリースノート Sun ONE Application Server 7 プラットフォーム入門ガイドインストールガイド開発者ガイド 10 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

マニュアルの使用法 Sun ONE Application Server マニュアルの概要 ( 続き ) 情報の内容 Sun ONE Application Server 7 の Web アプリケーション向け Java オープンスタンダードモデルに準拠した J2EE アプリケーションの作成方法と実装方法 Web アプリケーションプログラミングの概念とタスクの説明サンプルコード実装のヒント関連資料の紹介など Sun ONE Application Server 7 の Enterprise JavaBean 向け Java オープンスタンダードモデルに準拠した J2EE アプリケーションの作成方法と実装方法 EJB プログラミングの概念とタスクの説明サンプルコード実装のヒント関連資料の紹介など Web サービス RMI-IIOP Sun ONE Application Server 7 上の J2EE アプリケーションにアクセスするその他のクライアントの作成方法 JDBC JNDI JTS JMS JavaMial リソースコネクタなどの J2EE 機能カスタム NSAPI プラグインの作成方法次の管理タスクの実行管理インタフェースとコマンド行インタフェースの使用サーバーの作業環境の構成管理ドメインの使用サーバーインスタンスの使用サーバーの稼動状況の監視およびログ記録 Web サーバープラグインの構成 Java Messaging Service の構成 J2EE 機能の使用 CORBA ベースのクライアント機能の構成データベース接続性の構成トランザクション管理の構成 Web コンテナの構成アプリケーションの配置仮想サーバーの管理サーバー構成ファイルの編集参照するマニュアル Web アプリケーション開発者ガイド Enterprise JavaBeans 開発者ガイド Developer's Guide to Clients Developer's Guide to J2EE Features and Services NSAPI Developer's Guide 管理者ガイド管理者用構成ファイルリファレンス本書について 11

マニュアルの構成 Sun ONE Application Server マニュアルの概要 ( 続き ) 情報の内容 Sun ONE Application Server 7 運用環境のセキュリティの設定および管理セキュリティに関する一般情報証明書 SSL/TLS による暗号化など HTTP サーバーベースのセキュリティについても解説 Sun ONE Application Server 7 で利用する J2EE CA コネクタのサービスプロバイダ実装の設定と管理管理ツール DTD についての情報およびサンプル XML ファイルを提供 Netscape Application Server バージョン 2.1 から新しい Sun ONE Application Server 7 プログラミングモデルへのアプリケーションの移行 Sun ONE Application Server に付属するオンラインバンクアプリケーションの移行サンプルなど Sun ONE Message Queue の使用参照するマニュアルセキュリティ管理者ガイド J2EE CA Service Provider Implementation Administrator's Guide サーバーアプリケーションの移行および再配備次のサイトに用意されている Sun ONE Message Queue のマニュアルを参照 http://docs.sun.com マニュアルの構成このマニュアルは次のような内容で構成されています 17 ページの Sun ONE Application Server のセキュリティについて 31 ページの一般的なセキュリティ対策 43 ページの証明書の管理 61 ページの SSL/TLS 暗号化の管理 83 ページの HTTP サーバーアクセス制御の管理 12 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

マニュアルの表記規則マニュアルの表記規則ここではこのマニュアル全体に適用される表記規則について説明します一般的な表記規則ディレクトリ名の表記規則一般的な表記規則このマニュアルに適用される一般的な表記規則は次のとおりですファイルとディレクトリのパスは UNIX の形式で表記します ( ディレクトリ名を / 記号で区切って表記 ) Windows バージョンではディレクトリパスについては UNIX と同じですがディレクトリの区切り記号には / 記号ではなく \ 記号を使用します URL は次のように表記されます http://server.domain/path/file.html これらの URL で server はアプリケーションを実行するサーバー名で domain はユーザのインターネットドメイン名 path はサーバー上のディレクトリの構造 file は個別のファイル名を示します URL の斜体文字の部分は可変部分ですこのマニュアルではフォントについて次の規則を採用していますモノスペースフォントはサンプルコードコードの一覧表示 API および言語要素 ( 関数名クラス名など ) ファイル名パス名ディレクトリ名および HTML タグに使います斜体文字はコード変数に使いますまた斜体文字は変数および可変部分およびリテラルに使われる文字にも使います太字は段落の先頭文字またはリテラルに使われる文字の強調に使いますこのマニュアルではほとんどのプラットフォームのインストールルートディレクトリは install_dir として表記されます例外については 14 ページのディレクトリ名の表記規則を参照してくださいほとんどのプラットフォームのデフォルトの install_dir は次のとおりです Solaris 8 のパッケージベースでない評価 (Evaluation) バージョン user's home directory/sun/appserver7 Solaris にバンドルでない評価用以外のバージョン本書について 13

マニュアルの表記規則 /opt/sunwappserver7 Windows のすべてのインストール C:\Sun\AppServer7 上記プラットフォームでは default_config_dir と install_config_dir は install_dir と同じ意味ですこれ以外の説明と例外については 14 ページのディレクトリ名の表記規則を参照してくださいこのマニュアルではインスタンスルートディレクトリは instance_dir と表記されますこれは実際には次のディレクトリを示しています default_config_dir/domains/domain/instance このマニュアルを通じて特に明記のない限り UNIX 固有の表記は Linux オペレーティングシステムにも適用されますディレクトリ名の表記規則 Solaris 8 および 9 のパッケージに含まれる製品のインストールおよび Solaris 9 のバンドル版のインストールではアプリケーションサーバーのファイルは通常は複数のルートディレクトリに分散して保存されますここではこれらのディレクトリについて説明します Solaris 9 のバンドル版のインストールではデフォルトのインストールディレクトリは次のように表記されます install_dir は /usr/appserver/ を示しますこのディレクトリにはインストールイメージの静的な要素が保存されますユーティリティ実行可能ファイルおよびアプリケーションサーバーを構成するライブラリはすべてここに保存されます default_config_dir は /var/appserver/domains を示しますこのディレクトリは作成したドメインのデフォルトの保存場所です install_config_dir は /etc/appserver/config を示しますこのディレクトリにはライセンスやそのインストール用に設定した管理ドメインのマスターリストなどインストール全体に適用される設定情報が保存されます Solaris 8 および 9 のパッケージベースの評価用以外のアンバンドルのインストールではデフォルトのインストールディレクトリは次のように表記されます install_dir は /opt/sunwappserver7 を示しますこのディレクトリにはインストールイメージの静的な要素が保存されますユーティリティ実行可能ファイルおよびアプリケーションサーバーを構成するライブラリはすべてここに保存されます 14 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

製品サポート default_config_dir は /var/opt/sunwappserver7/domains を示しますこのディレクトリは作成したドメインのデフォルトの保存場所です install_config_dir は /etc/opt/sunwappserver7/config を示しますこのディレクトリにはライセンスやそのインストール用に設定した管理ドメインのマスターリストなどインストール全体に適用される設定情報が保存されます注 Forte for Java 4.0 は名称が変更されましたこのマニュアルでは Sun ONE Studio 4 と表記されます製品サポートご使用のシステムに問題が発生した場合は次のいずれかの方法でカスタマサポートにお問い合わせください次のオンラインサポート Web サイトをご利用ください http://www.sun.com/supportraining/ 保守契約を結んでいるお客様の場合は専用ダイヤルをご利用ください事前に次の情報を準備してくださいテクニカルサポートスタッフが問題解決のお手伝いする上でこの情報が役立ちます問題が発生した箇所や動作への影響など問題の具体的な説明マシン機種 OS バージョンおよび問題の原因と思われるパッチやそのほかのソフトウェアなどの製品バージョン問題を再現するための具体的な手順の説明エラーログやコアダンプ本書について 15

製品サポート 16 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

第 1 章 Sun ONE Application Server のセキュリティについてこの章ではセキュリティの基本的な概念と Sun TM ONE Application Server 7 環境に適用されるセキュリティ機能の概要について説明します注このマニュアルで説明するすべての内容が J2EE アプリケーションにあてはまるわけではありません一部の内容は HTTP サーバーだけに適用されます安全な J2EE アプリケーションの開発については J2EE の仕様書および Sun ONE Application Server 開発者ガイドを参照してくださいこの節には次のトピックがありますアプリケーションサーバーのセキュリティ HTTP サーバーのセキュリティ機能 J2EE アプリケーションのセキュリティ機能安全を考慮した運用サーバーのセキュリティに関連するファイル 17

アプリケーションサーバーのセキュリティアプリケーションサーバーのセキュリティサーバーのセキュリティに責任を負う管理者は Sun ONE Application Server を保護し未承認のアクセス ( 意図的なものであるかどうかにかかわらず ) 損傷盗難誤表示からデータを守ることが重要ですこのためにはデジタル証明書暗号化承認監査などのセキュリティツールを使用しセキュリティを考慮することが必要です Sun ONE Application Server 環境でセキュリティ管理に必要な事項には次のものがあります証明書の管理 SSL/TLS 暗号化認証監査証明書の管理証明書は個人や企業などのエンティティの名前を指定するデジタルデータでそのエンティティが所属する証明書に含まれる公開鍵を証明しますクライアントとサーバーの両方が証明書を持つことができます Sun ONE Application Server 環境で証明書が機能するしくみについては 43 ページの証明書の管理を参照してください SSL/TLS 暗号化暗号化は意図した受信者以外が認識できないように情報を変換するプロセスで復号化は暗号化された情報を認識可能な状態に戻すプロセスです符号化方式は暗号化と復号化に使用される暗号化アルゴリズム ( 関数 ) です Sun ONE Application Server がサポートしている SSL (Secure Sockets Layer) プロトコルと TLS (Transport Layer Security) プロトコルにはさまざまな符号化方式が用意されています安全度は符号化方式によって異なりますサポートされている暗号化プロトコルは SSL 3.0 と TLS 1.0 です暗号化については 61 ページの SSL/TLS 暗号化の管理を参照してください 18 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

アプリケーションサーバーのセキュリティ認証認証は呼び出し側とサービスプロバイダが特定のユーザーまたはシステムとして対話していることを相互に証明するメカニズムです証明が双方向の場合はこれを特別に相互認証と呼びますたとえばユーザーが Web ブラウザ上でユーザー名とパスワードを入力しアクティブなデータベースドメインに保存されているパーマネントプロファイルとその証明書が一致したときにユーザーが認証されますそれ以降のセッションではユーザーはこの認証済みのセキュリティ ID に関連付けられますサーバー認証とはクライアントがサーバーにより認証されることですつまり特定のネットワークアドレスにあるサーバーに対して責任を持つとされている組織を識別して証明します仮想サーバー認証ではシステム上の仮想サーバーごとに異なる証明書データベースを持たせることができます各仮想サーバーデータベースには複数の証明書を格納できます仮想サーバー上でも各インスタンスに複数の異なる証明書を持たせることができます監査監査はエラーやセキュリティ違反などの重大なイベントが発生した場合にそれを後から調べることができるようにイベントを記録するメソッドですすべての認証イベントは Sun ONE Application Server のログに記録されます完全なアクセスログには Sun ONE Application Server で行われるすべてのアクセスイベントが連続して記録されますログについては Sun ONE Application Server 管理者ガイドを参照してください第 1 章 Sun ONE Application Server のセキュリティについて 19

HTTP サーバーのセキュリティ機能 HTTP サーバーのセキュリティ機能注 HTTP サーバーの機能として紹介される機能は HTTP サーバーとしての Sun ONE Application Server だけに適用され J2EE アプリケーションとしては適用されませんただし J2EE アプリケーションにも同様の機能が用意されていることがあります HTTP サーバーの主なセキュリティ機能は次のとおりです HTTP サーバーのユーザー - グループ認証 HTTP サーバーのホスト - IP 認証 HTTP サーバーの SSL クライアント認証 HTTP サーバーのアクセス制御 Netscape API (NSAPI) HTTP サーバーのユーザー - グループ認証ユーザー - グループ認証ではアクセスを許可する前にユーザーがユーザー自身を認証する必要がありますこの認証はユーザーが入力する名前とパスワードおよびクライアント証明書またはダイジェスト認証プラグインを使って行われます Sun ONE Application Server がサポートしているユーザー - グループ認証には基本デフォルト SSL ダイジェストカスタムがあります HTTP サーバーのユーザー - グループ認証については 84 ページの HTTP サーバーのユーザー - グループ認証および 94 ページのホスト - IP 認証の実装を参照してください J2EE アプリケーションのユーザー - グループ認証については Sun ONE Application Server 開発者ガイドを参照してください HTTP サーバーのホスト - IP 認証ホスト - IP 認証は管理サーバーまたは Web サイト上のファイルやディレクトリへのアクセスを特定のコンピュータを使うクライアントだけに制限するメソッドでホスト - IP アクセス制御とも呼ばれます HTTP サーバーのホスト - IP 認証については 94 ページのホスト - IP 認証の実装を参照してください 20 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

HTTP サーバーのセキュリティ機能 HTTP サーバーの SSL クライアント認証クライアント認証はクライアントの証明書を認証するプロセスで証明書の署名を暗号を使って検証し証明書チェーンが信頼できる CA のリストに載っている CA からのものであることを確認しますクライアントに複数の証明書を持たせることもできますこれは 1 人の人が数種類の ID を所有しているのと同じことです HTTP サーバーのクライアント認証については 104 ページのクライアント認証の設定を参照してください注 J2EE でも SSL クライアント認証を利用できます詳細は Sun ONE Application Server 開発者ガイドを参照してください HTTP サーバーのアクセス制御 ACE ( アクセス制御エントリ ) という階層構造の規則を作成することで個人グループまたは特定のサーバーやアプリケーションなどのエンティティからのアクセスを許可したり拒否したりすることができますそれぞれの ACE はサーバーがその階層の次の ACE を調べるかどうかを指定します作成した ACE のセットを ACL ( アクセス制御リスト ) と呼びます次のように HTTP サーバーへのアクセス制限には多数のオプションがありますサーバー全体へのアクセスの制限ディレクトリ ( パス ) に対するアクセスの制限 URI ( パス ) に対するアクセスの制限ファイルタイプによるアクセスの制限時間帯によるアクセスの制限セキュリティによるアクセスの制限 HTTP サーバーのアクセス制御については 83 ページの HTTP サーバーアクセス制御の管理を参照してください第 1 章 Sun ONE Application Server のセキュリティについて 21

J2EE アプリケーションのセキュリティ機能 Netscape API (NSAPI) NSAPI は HTTP に特化した多数のユーティリティ機能を提供する C 言語 API です NSAPI では要求の処理やその他のサーバーアクティビティで使われる SAF (Server Application Function) 機能をプラグインとして提供することができます詳細は Sun ONE Application Server Developer s Guide to NASPI を参照してください J2EE アプリケーションのセキュリティ機能 J2EE アプリケーションの認証と承認の要件は J2EE 仕様に定義されておりここでも簡単に紹介します注 J2EE アプリケーションのセキュリティを開発するときは J2EE の仕様書と Sun ONE Application Server 開発者ガイドに記載されているセキュリティメカニズムを使用してください Sun ONE Application Server 環境でサポートしている J2EE セキュリティ機能は次のとおりです宣言によるセキュリティプログラムによるセキュリティユーザー認証レルムの管理シングルサインオンリソース認証プラグイン対応認証宣言によるセキュリティ宣言によるセキュリティでは認証はコンテナによって処理されます現在のセキュリティコンテキストに関連づけられた主体が要求される処理へのアクセスを許可されているかどうかを決定するときに配備記述子が参照されます機密性または整合性のトランスポート保証要件を Web アプリケーションが指定することもありますこれは該当リソースに必要な SSL に変換されます 22 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

J2EE アプリケーションのセキュリティ機能詳細は Sun ONE Application Server 開発者ガイドを参照してくださいプログラムによるセキュリティプログラムによるセキュリティでは認証はアプリケーションコードによって直接処理されますこのコードは開発者が記述します詳細は Sun ONE Application Server 開発者ガイドを参照してくださいユーザー認証 Web クライアントアプリケーションコンテナを実行する J2EE アプリケーションクライアント Sun ONE Application Server コンテナを使用しない外部の RMI/IIOP クライアントという 3 つの呼び出し側認証パスがありますフォーム認証がサポートされています詳細は Sun ONE Application Server 開発者ガイドを参照してくださいレルムの管理管理インタフェースではサーバーに特定のレルムを追加編集削除することができます Sun ONE Application Server のレルムには file ldap certificate および solaris があります詳細は Sun ONE Application Server 開発者ガイドを参照してくださいシングルサインオンシングルサインオンの場合 1 つの仮想サーバーインスタンスで複数の J2EE アプリケーションがユーザーの認証を共有できます詳細は Sun ONE Application Server 開発者ガイドを参照してくださいリソース認証 Sun ONE Application Server は外部リソースの認証をサポートしていますこの認証では別の認証も必要になることがあります詳細は Sun ONE Application Server 開発者ガイドを参照してください第 1 章 Sun ONE Application Server のセキュリティについて 23

安全を考慮した運用プラグイン対応認証プラグイン認証では J2EE アプリケーションは J2SE プラットフォームから JAAS (Java Authentication and Authorization Service) を利用できます開発者は独自の認証メカニズムをプラグインできます詳細は Sun ONE Application Server 開発者ガイドを参照してください安全を考慮した運用 Sun ONE Application Server のリソースを保護する上で注意すべき点は数多くあります認証や暗号化などのメカニズムが関係するものもありますが単にセキュリティを意識した運用と常識に基づくものがその多くを占めます次の作業にはセキュリティ上の考慮が必要です Sun ONE Application Server への物理的なアクセスの制限ファイアウォールの設定管理機能へのアクセスの制限パスワードの管理サーバーでのほかのアプリケーションの実行制限保護されているサーバーと保護されていないサーバーの設定それぞれのトピックについては 31 ページの一般的なセキュリティ対策で説明します 24 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

サーバーのセキュリティに関連するファイルサーバーのセキュリティに関連するファイル多くの Sun ONE Application Server 設定ファイルがサーバーのセキュリティパラメータの定義に使用されますセキュリティ関連タスクに使用される主なファイルは次のとおりです各ファイルについて簡単に説明します init.conf ファイル dbswitch.conf ファイル server.xml ファイル password.conf ファイル certmap.conf ファイル ACL ファイル htaccess ファイルキーファイル server.policy ファイル Sun ONE Application Server 設定ファイルの詳細については Sun ONE Application Server 管理者用設定ファイルリファレンスを参照してください init.conf ファイル init.conf ファイルにはサーバーのインストール先パスパフォーマンス調整オプションプラグイン共有オブジェクトの場所など低レベルのサーバー設定情報が記録されていますこのファイルは起動ファイルです Sun ONE Application Server を起動するとこのファイルの内容が参照されサーバーインスタンスの動作と設定に影響するグローバル変数が設定されますセキュリティ関連タスクには次のものがあります保護されていないサーバーを安全にする chroot コマンドを使うには init.conf に含まれるすべてのパスを絶対パスとして記録し obj.conf に含まれるパスを chroot ディレクトリに関連づけた相対パスとして記録する必要があるガイドラインについては 42 ページの保護されていないサーバーのセキュリティを参照 SSL が有効なサーバーをインストールするとグローバルセキュリティパラメータ用の SSL 指令エントリが init.conf ファイルに作成される詳細については 71 ページのグローバルなセキュリティ設定を参照 init.conf ファイルで指令を設定することで ACL ユーザーキャッシュを制御できる詳細については 117 ページの ACL ユーザーキャッシュの設定を参照第 1 章 Sun ONE Application Server のセキュリティについて 25

サーバーのセキュリティに関連するファイルサーバーが htaccess ファイルを使用するように手動で設定するにはサーバーの init.conf ファイルを修正してプラグインをロード初期化有効化する必要がある詳細については 139 ページの init.conf による htaccess の有効化を参照 dbswitch.conf ファイル注この項は HTTP サーバーのコンテンツだけに適用されます dbswitch.conf ファイルは Sun ONE Application Server が使用する LDAP ディレクトリを指定しますこれはサーバーの起動時にだけ読み込まれますユーザー認証データベースを dbswitch.conf ファイルにグローバルに定義できます詳細については 133 ページの仮想サーバーからデータベースへのアクセスを参照 server.xml ファイル server.xml ファイルは Sun ONE Application Server の中心的な設定ファイルですセキュリティ関連タスクには次のものがあります HTTP リスナー (SSL 符号化方式証明書などを含む ) 仮想サーバーアクセス制御リストなどの設定を処理するまたこれらのエンティティ間の関係を処理するセキュリティドメインのリストおよびプロバイダクラスとレルムに固有なプロパティの設定データを含むセキュリティドメイン ( レルム ) については Sun ONE Application Server 開発者ガイドを参照 server.xml ファイルの ssl 要素には仮想サーバーの SSL プロパティがサーバーごとに記録されている詳細については 71 ページのグローバルなセキュリティ設定を参照 server.xml を手動で編集することで外部サーバー証明書により Sun ONE Application Server を起動できる詳細については 75 ページの外部の証明書を使ったサーバーの起動を参照 server.xml ファイルの詳細については Sun ONE Application Server 管理者用設定ファイルリファレンスを参照してください 26 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

サーバーのセキュリティに関連するファイル obj.conf ファイル注この項は HTTP サーバーのコンテンツだけに適用されます obj.conf ファイルにはクライアントからの要求を Sun ONE Application Server が処理する方法を指示するための指令が指定されていますセキュリティ関連タスクには次のものがあります HTTP サーバー認証では obj.conf ファイルに指定した方式が使われる方式が obj.conf ファイルに指定されていない場合は基本認証となる詳細は 84 ページの HTTP サーバーのユーザー - グループ認証を参照 ACL を指定するまたは独立した ACL ファイルを作成するとそれを obj.conf ファイルで参照することができる方法については 117 ページの obj.conf ファイル内の ACL ファイルの参照を参照 NSAPI 要求処理のパス設定を処理する ( 各仮想サーバーに専用の obj.conf ファイルを持たせることができる ) 詳細については Sun ONE Application Server Developer s Guide to NASPI を参照 password.conf ファイル SSL が設定された場合 SSL/TTS が有効な Sun ONE Application Server を自動で再起動できるように信頼データベースのパスワードを password.conf ファイルに記録できます注システムを充分にセキュリティ保護してこのファイルとキーデータベースが危険にさらされないようにする必要がありますこのような保護については 32 ページの物理アクセスの制限で説明します password.conf ファイルの詳細については 40 ページの password.conf ファイルの使用および Sun ONE Application Server 管理者用設定ファイルリファレンスを参照してください第 1 章 Sun ONE Application Server のセキュリティについて 27

サーバーのセキュリティに関連するファイル certmap.conf ファイル注この項は HTTP サーバーのコンテンツだけに適用されます certmap.conf ファイルは名前で指定された証明書を issuredn で指定された LDAP エントリにどのようにマッピングするかを指定します certmap.conf ファイルには次のような情報が記録されますサーバーが LDAP ツリーのどこから検索を開始するか LDAP ディレクトリからエントリを検索する場合 Sun ONE Application Server が検索条件として使用する証明書属性サーバーがほかの検証プロセスに進むかどうか詳細については 108 ページの certmap.conf ファイルの操作を参照してください ACL ファイル ACL ( アクセス制御リスト ) は Sun ONE Application Server に格納されているリソースにアクセスできるユーザーの ID リストを記録したテキストファイルです注このマニュアルで説明するアクセス制御の方式は J2EE アプリケーションの開発では利用できませんこれらの方式特に ACL によってアプリケーションの動作が不安定になったり J2EE モデルとの整合性を保てなくなったりすることがありますアプリケーションを開発するときは J2EE の仕様書と Sun ONE Application Server 開発者ガイドに記載されているセキュリティメカニズムを使用してくださいデフォルトの設定では Sun ONE Application Server はサーバーにアクセスするすべてのリストをまとめた 1 つの ACL ファイルを使用します複数の ACL ファイルを作成し obj.conf ファイルでそれを参照することもできます ACL ファイルの処理については 83 ページの HTTP サーバーアクセス制御の管理を参照してください詳細は Sun ONE Application Server Developer s Guide to NASPI を参照してください 28 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

サーバーのセキュリティに関連するファイル htaccess ファイル注この項は HTTP サーバーのコンテンツだけに適用されます htaccess ファイルは設定オプションのサブセットを格納した動的な設定ファイルです Sun ONE Application Server の標準のアクセス制御と htaccess ファイルを組み合わせて使用できます標準のアクセス制御は常に htaccess によるアクセス制御の前に適用されます htaccess ファイルの処理については 136 ページの htaccess ファイルの使用を参照してくださいキーファイルキーファイルには file レルムのユーザーリストが含まれます (J2EE アプリケーションだけに適用 ) すべてのサーバーインスタンスには空のデフォルトキーファイルがありますユーザーの追加は管理インタフェースまたはコマンド行インタフェースから行いますデフォルトでは file レルムは常にこのファイル (keyfile) を使うように設定されますこのファイルの名前と保存されている場所は server.xml ファイルで file レルムのプロパティを編集することで変更できます詳細は Sun ONE Application Server 開発者ガイドを参照してください server.policy ファイル server.policy ファイルにはインスタンスで実行されるすべての Java コードに適用される J2SE ポリシーの設定が記録されます詳細は Sun ONE Application Server 開発者ガイドを参照してください第 1 章 Sun ONE Application Server のセキュリティについて 29

サーバーのセキュリティに関連するファイル 30 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

第 2 章一般的なセキュリティ対策認証暗号化 ACL ファイルなどのセキュリティメカニズムや J2EE の認証承認メカニズムを利用するほかに数多くの手順を手動で実行して Sun ONE Application Server をより安全にすることができますこの章には次のトピックがあります一般的なセキュリティについて物理アクセスの制限ファイアウォールの使用管理アクセスの制限パスワードの管理サーバーでの別アプリケーション実行の制限保護されていないサーバーのセキュリティ一般的なセキュリティについてネットワークはさまざまな方法でサーバーやサーバー上の情報にアクセスを試みる外部および内部の攻撃者による侵入の危険にさらされています Sun ONE Application Server はサーバーとクライアントの間に安全な接続を提供しますしかしクライアント側に移った情報のセキュリティを制御したりサーバーマシン自体やそのディレクトリとファイルに対するアクセスを制御したりすることはできませんこの限界を意識することは避ける必要のある状況を理解する上で役立ちますたとえば SSL 接続でクレジットカードの番号を入手した場合この番号はサーバーマシン上の安全なファイルに記録されるのか SSL 接続が終了した後でこの番号はどのような状態に置かれるのか管理者は SSL を介してクライアントが送信した情報の安全に責任があります 31

物理アクセスの制限物理アクセスの制限サーバーをアクセスから物理的に保護する簡単なセキュリティ対策は見過ごされがちですサーバーマシンは適切な権限のある者だけに入室が許されるキーのかかった部屋に設置しますこれによりサーバーマシン自体への侵入を防ぐことができますルートパスワード - マシンの管理 ( ルート ) パスワードを保護することは重要であるその他すべてのパスワードと同様に特にルートパスワードの場合は推測の難しいパスワードを選ぶ必要があるアプリケーションサーバーの設定 - Sun ONE Application Server の一部の設定ファイル (server.xml 各種の J2EE アプリケーション記述子 XML ファイル password.conf など ) には実行時にアプリケーションサーバーからの認証を必要とする多数の外部リソースのパスワード (JDBC データベースや SSL データベースのパスワードなど ) が通常のテキストとして記録されているこれらの設定ファイルをすべて慎重に保護する必要があるデフォルトでは /application ディレクトリと /config ディレクトリのすべての設定ファイルはインスタンスの所有者だけが読み込めるパスワードデータを保護するにはこれらデフォルトのアクセス制限による上記ディレクトリの保護が重要となるバックアップテープ - サーバー上のデータを保護する場合と同様にバックアップテープも慎重に保護する必要がある注一部の設定ファイルにはパスワードが通常のテキストとして記録されるため Sun ONE Application Server ファイルシステムのバックアップをとるとこれらのパスワードもバックアップに残されますバックアップ媒体にアクセスできる者がこのパスワードを入手し悪用する可能性がありますポート - マシンで使用していないポートは無効にするルーターまたはファイアウォールの設定を利用して最低限必要なポート以外への侵入接続を防止するつまりシェルを取得するにはすでに制限された環境に配置されているサーバーマシンを物理的に使用せざるをえなくするオペレーティングシステムのセキュリティ強化 - インターネット経由でアクセスが可能な本稼働環境のシステムではこれを要件として考慮する必要があるオペレーティングシステムのセキュリティ強化はプラットフォームごとに異なるためこのマニュアルでは詳細を説明できないプラットフォームベンダーへの確認が必要となるたとえば Solaris の JASS Toolkit は次のサイトで確認できる http://wwws.sun.com/software/security/jass/ 32 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

ファイアウォールの使用 Sun ONE Application Server はサーバーマシン自体に物理的にアクセスできる者がサーバーチャンネルを悪用しないことを前提としていますサーバーマシンへのアクセスを適切な権限を持ち悪意のないユーザーに限定するために可能な限りの対策をとることが重要ですファイアウォールの使用この節ではファイアウォールの一般的な設定と正しく機能させるためのパラメータ設定について説明しますこれは Sun ONE Application Server に関連する一般的な情報です詳細についてはファイアウォールベンダーのマニュアルを参照してくださいこの節では次のトピックについて説明しますシングルファイアウォールダブルファイアウォール - DMZ 設定トリプルファイアウォール - DMZ とデータベース保護シングルファイアウォール最も単純で最も一般的なファイアウォールの設定では Sun ONE Application Server とインターネットブラウザの間に 1 つのファイアウォールを設置します Web コンテナへのアクセスに合わせて HTTP ポート ( デフォルトは 80) または HTTPS ポート ( デフォルトは 443) あるいはその両方に HTTP 接続できるようにファイアウォールを設定する必要があります注インターネットから Enterprise JavaBean に直接 RMI/IIOP アクセスができるようにするには IIOP/RMI リスナーポート ( デフォルトは 3700) も開く必要がありますただしセキュリティリスクの可能性があるためこのような設定を行わないことを強くお勧めしますシングルファイアウォールの利点はその単純さにあります最大の欠点は防衛ラインが 1 つに限定されることですファイアウォールを通過して侵入された場合プライベートネットワークに接続している個々のマシンのセキュリティだけが防御の頼りとなります次の表はファイアウォールが適切に機能するように設定が必要なプロトコルとポートを示しています左の列は使用するプロトコル中央の列はポート右の列は通信の種類をそれぞれ示しています第 2 章一般的なセキュリティ対策 33

ファイアウォールの使用ダブルファイアウォール構成のプロトコルとポートプロトコルファイアウォールポート通信の種類 TCP/IP 外部 80 ( デフォルト ) HTTP 要求 TCP/IP 外部 443 HTTPS 要求これらのポートについては Sun ONE Application Server 管理者ガイドおよび管理インタフェースのオンラインヘルプを参照してくださいダブルファイアウォール - DMZ 設定 DMZ ( 非武装ゾーン ) 設定とも呼ばれる 2 つのファイアウォールによる設定はプライベートネットワークへのアクセスをパートナー企業や顧客に限定する方法として多くの企業で一般的に使用され始めています 2 段階による保護および各ファイアウォールと DMZ 内でのアクティビティのアクティブな監視によって内部ネットワークに侵入しようとしてもほとんどが検知されますそのためシングルファイアウォールによる設定よりも高いセキュリティが保証されますダブルファイアウォールでは次の要素の設定を行いますインターネットブラウザと DMZ 内のルーティング Web サーバーまたはルーティングアプリケーションサーバーとの間に設置される外部ファイアウォール DMZ 内のルーティングサーバーと保護された Sun ONE Application Server の間に設置される内部ファイアウォール第 2 のファイアウォールの奥の Sun ONE Application Server に要求を送信するプロキシプラグインダブルファイアウォールの設定では外部ファイアウォールは HTTP と HTTPS のトランザクションを通過させるように設定する必要があります内部ファイアウォールは HTTP サーバープラグインとファイアウォールの奥の Sun ONE Application Server との通信が可能になるように設定する必要があります次の表はファイアウォールが適切に機能するように設定する必要のあるプロトコルとポートを示しています左の列は使用するプロトコル次の列はプロトコルとポートに適用されるファイアウォール 3 番目の列はポート右の列は通信の種類をそれぞれ示しています 34 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

ファイアウォールの使用シングルファイアウォール構成のプロトコルとポートプロトコルファイアウォールデフォルトポート通信の種類 TCP/IP 外部 80 ルーティングサーバーへの HTTP 要求 TCP/IP 外部 443 ルーティングサーバーへの HTTPS 要求 TCP/IP 内部 80 Sun ONE Application Server への HTTP 要求 TCP/IP 内部 443 Sun ONE Application Server への HTTPS 要求これらのポートについては Sun ONE Application Server 管理者ガイドおよび管理インタフェースのオンラインヘルプを参照してくださいトリプルファイアウォール - DMZ とデータベース保護一部の企業向けの設定ではネットワーク上にデータベースが存在しそれをファイアウォールで保護しています 3 つのファイアウォールを設定すると企業データベースに保存されたデータという最も重要な企業資産のセキュリティを最大限に確保することができます LAN とデータベースの間にファイアウォールを設置することで内部だけでなく外部からの侵入も防ぐことができますデータベースへの接続は ODBC (Open DataBase Connectivity) JDBC (Java DataBase Connectivity) などの標準のアクセスメカニズムとデータベースベンダーから提供されるコネクタライブラリを使って行いますデータベースへの接続はその他のアプリケーションへの接続と異なる点はありませんこのためデータベース保護層のファイアウォールは使用する特定のデータベースへのアクセスに必要な標準設定に合わせます第 2 章一般的なセキュリティ対策 35

管理アクセスの制限管理アクセスの制限リモート設定を使用する場合はアクセス制御を設定し管理アクセスを少数のユーザーおよびコンピュータに限定する必要がありますマスター管理サーバーの暗号化は常にオンにしておく必要があります管理に SSL 接続を使わない場合は安全ではないネットワークを通じてリモートサーバーの管理作業を実行するときに特別な注意を払う必要があります管理パスワードが盗まれサーバーが再設定される可能性があります管理サーバーを使って LDAP サーバーまたはローカルディレクトリの情報にエンドユーザーがアクセスできるようにする場合は 2 つの管理サーバーの利用とクラスタの管理を検討してください SSL が有効な管理サーバーはマスターサーバーとして機能しもう一方の管理サーバーはエンドユーザーがアクセスするために利用できます詳細については 64 ページの LDAP との SSL 通信の有効化を参照してくださいクラスタ管理の導入方法についてはクラスタリングに関する Sun のマニュアルを参照してくださいパスワードの管理管理パスワード秘密鍵パスワードデータベースパスワードなどサーバーには多くのパスワードがありますコンピュータ上のすべてのサーバーの設定に利用可能な管理パスワードはその中でも最も重要なパスワードです次に重要なパスワードは秘密鍵のパスワードです秘密鍵と秘密鍵のパスワードが他者に知られると使用しているサーバーに似せた偽のサーバーを作成したりサーバーを出入りする通信内容を傍受または変更したりすることが可能になります良いパスワードは自分が思い出せて他者が想像できないパスワードですたとえば自分の子供が誕生後 12 か月であれば My Child is 12 months old! から MCi12!mo を思い出すことができます悪いパスワードは子供の名前や誕生日を使ったパスワードです次の項ではパスワードについて次の追加情報を提供します解読されにくいパスワードの作成スーパーユーザーのパスワードの管理パスワードまたは PIN の変更 password.conf ファイルの使用 36 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

パスワードの管理解読されにくいパスワードの作成解読されにくいパスワードを作成するための簡単なガイドラインを次に示しますこのガイドラインのすべてに従う必要はありませんが多くの項目を満たした方がパスワードは解読されにくくなりますパスワードは 6 ~ 14 文字とする ( システムの文字長制限に注意する ) * " 空白文字などの使用不可能文字を使わない言語の種類にかかわらず意味のある言葉を使わない E と 3 L と 1 のように代用が一般的な文字で置き換えないできるだけ多くの種類の文字を混在させる大文字小文字数字記号スーパーユーザーのパスワードの管理管理サーバーにスーパーユーザー権限を設定できますこの場合スーパーユーサーとはサーバーにアクセスして設定の一部または全部を変更できるユーザーを意味します ( システムのスーパーユーザーやルートとは異なります ) この設定はスーパーユーザーのアカウントだけに影響しますつまり管理サーバーが分散管理を採用している場合は有効化する管理ユーザー用に追加のアクセス制御を設定する必要がありますスーパーユーザーの名前とパスワードは intsall_dir/domains/domain_dir/admin-server/config/admpw というファイルに記録されますユーザー名を忘れたときはこのファイルを表示して実際の名前を確認できますがパスワードは暗号化されているので読めませんこのファイルの書式は username:password ですパスワードを忘れたときは admpw ファイルを開き暗号化されたパスワードを削除します第 2 章一般的なセキュリティ対策 37

パスワードの管理警告 admpw ファイルは編集可能なのでサーバーマシンを安全な場所に設置しファイルシステムへのアクセスを制限することが重要です UNIX/Linux システムではルートまたは管理サーバーデーモンを実行するシステムユーザーだけが書き込みを許可されるようにファイルの所有権を変更できますデフォルトではディレクトリや他の機密ファイルを保護するインスタンスの所有者だけが /config ディレクトリの内容を読み込めますこのアクセス権が変更されないように注意してください Windows システムではファイルの所有権を管理サーバーが使用するユーザーアカウントに制限してください管理サーバーのスーパーユーザー権限を設定するには管理インタフェースから次の手順を実行します 1. 管理サーバーにアクセスしセキュリティを選択します次の画面が表示されますスーパーユーザーアクセス制御ページ 38 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

パスワードの管理 2. アクセス制御を選択しますスーパーユーザーアクセス制御ページが表示されます 3. 管理サーバーへのスーパーユーザーとしてのアクセスが許可されるホストの名前を入力します 4. 管理サーバーへのスーパーユーザーとしてのアクセスが許可されるホストの IP アドレスを入力します 5. 認証ユーザー名を入力します 6. 認証パスワードを入力しますパスワードの変更時に注意すべきガイドラインについては 37 ページの解読されにくいパスワードの作成を参照してください 7. 認証パスワードをもう一度入力します 8. 了解をクリックします 9. 左ペインでアプリケーションサーバーインスタンスを選択して自分のサーバーインスタンスにアクセスし変更の適用をクリックします 10. サーバーを停止し再起動して変更を適用しますパスワードまたは PIN の変更信頼データベースおよびキーペアファイルのパスワードまたは PIN を定期的に変更することをお勧めします SSL が有効な管理サーバーではサーバーの起動時にこのパスワードが必要ですこのパスワードの変更はローカルマシンで行う必要があります詳細については 46 ページの信頼データベースのパスワードの変更を参照してくださいキーペアファイルは確実に保護されている必要があります管理サーバーはキーペアファイルをインスタンスの /config ディレクトリに保存しますデフォルトではインスタンスの所有者だけが /config ディレクトリ内のファイルを読み込むことができますこのアクセス権を監視しバックアップスクリプトなどのイベントによってこのファイルへのアクセス権が後から変更されないように注意する必要がありますまたファイルがバックアップテープに残されていたり他者がアクセスできるその他の場所に保存されていないかどうかを確認することも重要ですこのような場合はサーバー上のデータの保護と同様にバックアップテープを慎重に保護する必要があります第 2 章一般的なセキュリティ対策 39

パスワードの管理 password.conf ファイルの使用デフォルトでは Sun ONE Application Server の起動時に SSL キーデータベースのパスワードが要求されます Sun ONE Application Server を自動で再起動させるにはこのパスワードを password.conf ファイルに記録しておく必要があります注 password.conf ファイルはシステムが適切に保護されこのファイルとキーデータベースが危険にさらされていない場合にだけ使用してください UNIX 環境 - 起動前にサーバーがパスワードを要求するため通常は /etc/rc.local ファイルや /etc/inittab ファイルを使って SSL が有効なサーバーを起動することはできませんパスワードをプレーンテキストでファイルに保存すれば SSL が有効なサーバーを自動的に起動できますがこの方法はお勧めできませんサーバーの password.conf ファイルの所有権はルートまたはサーバーをインストールしたユーザーにあり所有者だけが読み込み権および書き込み権を持つようにする必要があります注 SSL が有効なサーバーのパスワードを password.conf ファイルに残すことはセキュリティ上大きなリスクとなりますファイルにアクセスできるユーザーなら誰でも SSL が有効なサーバーのパスワードにアクセスできます SSL が有効なサーバーのパスワードを password.conf ファイルに保存する前にセキュリティ上の危険性を考慮しておく必要があります Windows 環境 - ファイルシステムが NTFS (New Technology File System) であれば password.conf ファイルを使用しない場合でもこのファイルが含まれるディレクトリへのアクセスを制限して保護する必要がありますこのディレクトリの読み込み権および書き込み権は管理サーバーのユーザーと Sun ONE Application Server のユーザーだけに設定する必要がありますディレクトリを保護することで他者が偽の password.conf ファイルを作成することを防止できます注 Windows 環境の FAT (File Allocation Table) ファイルシステムではアクセスを制限してディレクトリやファイルを保護することはできませんセキュリティ上の危険性が問題にならない場合は次の手順に従って SSL が有効なサーバーを自動的に起動します 1. SSL が有効なことを確認します 40 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

サーバーでの別アプリケーション実行の制限 2. サーバーインスタンスの config サブディレクトリに password.conf ファイルを新規作成しますサーバーに付属している内部 PKCS11 ソフトウェア暗号化モジュールを使用している場合には次の情報を入力します internal:your_password ハードウェア暗号化用またはハードウェアアクセラレータ用の別の PKCS11 モジュールを使っている場合は PKCS11 モジュールの名前に続けてパスワードを指定しますたとえば次のように入力します nfast:your_password 3. サーバーを停止後再起動して新しい設定を適用しますサーバーでの別アプリケーション実行の制限サーバー上で実行している他のプログラムの弱点を利用して Sun ONE Application Server のセキュリティをかいくぐることができますこれを避けるにはサーバー上で実行している不要なプログラムやサービスを無効にします UNIX 環境 - inittab スクリプトと rc スクリプトによって起動されるプロセスを慎重に選択するサーバーマシンから telnet または rlogin を実行しないサーバーマシン上に rdist を置かない rdist の目的はファイルの配布であるため侵入者がこれを使ってサーバーマシン上のファイルを不当に更新する可能性がある Windows 環境 - どのドライブおよびディレクトリを他のマシンと共有するかを慎重に選択するまたアカウントやゲスト権限を持つユーザーも慎重に選択する必要がある管理者自身または他のユーザーがサーバーにインストールするプログラムにも注意が必要です認識しているかどうかに関わらず他のユーザーがインストールしたプログラムにセキュリティホールがあるかもしれません最悪の場合にはセキュリティを無効にすることを目的とした悪質なプログラムを何者かがインストールすることも考えられますプログラムをサーバーにインストールする場合は事前に注意深く調べる必要があります第 2 章一般的なセキュリティ対策 41

保護されていないサーバーのセキュリティ保護されていないサーバーのセキュリティ保護されているサーバーと保護されていないサーバーの両方を維持する場合は別のマシン上の保護されていないサーバーを保護されているサーバーから操作する必要がありますリソースに限りがあり保護されているサーバーと同じマシンで保護されていないサーバーを実行する必要がある場合は次のように対応します別のポート番号 - 保護されているサーバーと保護されていないサーバーに別のポート番号を割り当てる登録されているデフォルトのポート番号は次のとおり 443: 保護されているサーバー 80: 保護されていないサーバー UNIX 環境 - chroot ツールを使ってドキュメントルートディレクトリをリダイレクトする UNIX の chroot コマンドを使うことで第 2 のルートディレクトリを作成しサーバーを特定のディレクトリに制限できるこのコマンドの使用に関するガイドラインはマニュアルページを参照管理インタフェースで次の手順を実行することで特定の仮想サーバーの chroot ディレクトリを指定できます 1. アプリケーションサーバーインスタンスにアクセスし左のペインでサーバーインスタンスを選択します 2. HTTP サーバーの仮想サーバーを選択します 3. chroot ディレクトリを指定する仮想サーバーを選択します一般タブのページが表示されます 4. ディレクトリ変更フィールドが表示されるまでページをスクロールします 5. Chroot ディレクトリの完全パスを入力します 6. 保存をクリックします 7. 左ペインでアプリケーションサーバーインスタンスを選択して自分のサーバーインスタンスにアクセスし変更の適用をクリックします 8. サーバーを停止し再起動して変更を適用します 42 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

第 3 章証明書の管理この章では Sun ONE Application Server 7 環境で信頼データベース証明書および証明書に関するリストを設定管理する方法について説明しますこの節には次のトピックがあります証明書と認証について信頼データベースの実装証明書の実装内蔵のルート証明書モジュールの使用証明書の管理 CRL と CKL の管理証明書と認証について認証とは同一性 (ID) を確認するためのプロセスのことですネットワークを利用した対話の中で一方のグループは認証によって他方のグループとの同一性を識別します証明書は認証をサポートする方法の 1 つです証明書は個人や企業などのエンティティの名前を指定するデジタルデータでそのエンティティが所属する証明書に含まれる公開鍵を証明しますクライアントとサーバーの両方が証明書を持つことができます証明書は証明書発行局 (CA) によって発行されデジタル署名されます CA はインターネットを通じて証明書を販売する企業または企業のイントラネットまたはエクストラネットの証明書発行を担当する部門です他者の ID を検証する手段としてどの CA が信頼に足るかを決定します 43

信頼データベースの実装証明書によって識別されるエンティティの名前と公開鍵のほかに証明書には有効期限証明書を発行した CA の名前発行元 CA のデジタル署名が記録されています証明書の内容と形式については次のサイトの Introduction to SSL を参照してください http://docs.sun.com/db/prod/3802#hic 基本的なセキュリティの設定手順は次のとおりです 1. 信頼データベースを作成します 45 ページの信頼データベースの作成を参照してください 2. 証明書を要求します 48 ページの証明書の要求を参照してください 3. 証明書をインストールします 51 ページの証明書のインストールを参照してください 4. 暗号化を有効にします 61 ページの SSL/TLS 暗号化の管理を参照してください証明書に関するその他の管理タスクについては 56 ページの証明書の管理および 57 ページの CRL と CKL の管理で説明します信頼データベースの実装 Sun ONE Application Server では管理サーバーと各サーバーインスタンスはそれぞれが専用の証明書とキーペアファイルを持ちますこれを信頼データベースと呼んでいます注サーバー証明書を要求する前に信頼されているエンティティを識別する信頼データベースを作成する必要があります信頼データベースには作成した公開鍵と秘密鍵を保存しますこれをキーペアファイルと呼びますキーペアファイルは SSL 暗号化に使用されますキーペアファイルはサーバー証明を要求およびインストールするときに使われますインストールした証明書は信頼データベースに格納されますキーペアファイルは暗号化されインスタンスの /config ディレクトリに保存されます 44 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

信頼データベースの実装管理サーバーは 1 つの信頼データベースだけを持ち各サーバーインスタンスはそれぞれに専用の信頼データベースを持ちます証明書とキーペアデータベースファイルの名前はそれを使用するサーバーインスタンスの名前に基づいてつけられます仮想サーバーの信頼データベースにはそれぞれのサーバーインスタンスの信頼データベースが使われます管理者は信頼データベースとその内容 ( サーバー証明書とそこに含まれるすべての CA) を管理しますこの節では次の項目について説明します信頼データベースの作成信頼データベースのパスワードの変更信頼データベースの作成信頼データベースを作成する場合はキーペアファイルで使われるパスワードを指定しますこのパスワードは暗号化された通信を使ってサーバーを起動するときにも使われますローカルマシンに信頼データベースを作成する場合は管理インタフェースで次の手順を実行します 1. アプリケーションサーバーインスタンスにアクセスしサーバーインスタンスを選択します 2. セキュリティにアクセスします 3. データベースの管理をクリックします 4. データベースを作成リンクをクリックします信頼データベースの初期化ページが表示されます第 3 章証明書の管理 45

信頼データベースの実装信頼データベースの作成ページ 5. データベースのパスワードを入力します 6. もう一度パスワードを入力します 7. 了解をクリックします 8. 左ペインでアプリケーションサーバーインスタンスを選択して自分のサーバーインスタンスにアクセスし変更の適用をクリックします 9. サーバーを停止し再起動して変更を適用します信頼データベースのパスワードの変更信頼データベースのパスワードを変更するときは管理インタフェースで次の手順を実行します 1. アプリケーションサーバーインスタンスにアクセスしサーバーインスタンスを選択します 2. セキュリティにアクセスします 46 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月

証明書の実装 3. データベースの管理をクリックします 4. パスワード変更リンクをクリックしますキーペアファイルのパスワード変更ページが表示されます 5. ドロップダウンリストから暗号化モジュールを選択します 6. 古いパスワードを入力します 7. 新しいパスワードを入力します 8. 新しいパスワードをもう一度入力します 9. 了解をクリックします 10. 左ペインでアプリケーションサーバーインスタンスを選択して自分のサーバーインスタンスにアクセスし変更の適用をクリックします 11. サーバーを停止し再起動して変更を適用します証明書の実装サーバーの信頼データベースを作成すると証明書を要求しそれを CA に提出できるようになります企業に独自の社内 CA がある場合はそこに証明書を要求します社外の CA から証明書を購入する場合は CA を選択しその CA 専用の情報書式について確認します管理サーバーのサーバー証明書は 1 つだけです各サーバーインスタンスに専用のサーバー証明書を持たせることができます仮想サーバーごとにサーバーインスタンスの証明書を選択できます次の各項では証明書の実装について説明します必要な CA 情報証明書の要求証明書のインストール必要な CA 情報証明書を要求する前に選択した CA が必要とする情報を把握しておく必要があります社外の CA または社内の CA にサーバー証明書を要求する場合は次のような情報が必要になります第 3 章証明書の管理 47

証明書の実装共通名 - DNS ルックアップで使用されるホストの完全修飾名 ( たとえば www.sun.com) これはサイトへの接続でブラウザが使用する URL に含まれるホスト名 2 つの名前が一致しない場合はクライアントは証明書の名前とサイト名が一致しないという通知を受け取るため証明書の信用度が疑われる可能性がある一部の CA は別の情報を必要とするため各 CA に確認する必要がある社内の CA に証明書を要求する場合はこのフィールドにワイルドカードや正規表現を入力することもできるただしほとんどのベンダーは共通名にワイルドカードや正規表現が入力された証明書要求を認めていない電子メールアドレス - 社用電子メールアドレス CA との連絡に使われる組織名 - 所属する企業や教育機関などの公式名称ほとんどの CA はこの情報を事業許可書などの公的文書で検証する部署名 - 社内の部署を識別するオプションフィールド Inc. や Corp. などを省略した略式の企業名の指定にも利用できる場所 - 企業が立地する都市地域または国を示すオプションフィールド都道府県名 - 通常は必須フィールドだが一部の CA ではオプションほとんどの CA は略号を受け付けないため確認が必要国 - ISO 形式による 2 文字の国別コードを入力する必須フィールドアメリカ合衆国の国別コードは US すべての情報は一連の属性値のペアとして組み合わされますこれを識別名 (DN) と呼び証明書の対象を一意に識別します社外の CA から証明書を購入する場合は証明書の発行を受ける前にその CA が必要とする追加情報について確認する必要がありますほとんどの CA では申請者の身分証明を必要としますたとえば CA は企業名とサーバーの管理を会社から任された担当者の名前を検証しますまた情報を提出する法的な権限が提出者にあるかどうかを証明することが必要な場合もあります一部の社外の CA はより詳細な識別情報を提出した企業または個人に対しより詳細で信憑性の高い証明書を発行しますたとえば管理者が www.your_company.com コンピュータの正規管理者であるだけでなく会社の事業年数が 3 年で顧客との係争が現在存在しないことを CA が検証したことを証明する証明書を購入することができます証明書の要求信頼データベースを作成すると証明書を要求できるようになります CA に証明書を要求するときは管理インタフェースで次の手順を実行します 48 Sun ONE Application Server セキュリティ管理者ガイド 2002 年 9 月