Cisco ACE XML Gateway ユーザ ガイド
リソース ファイルの管理
リソース ファイルの管理
発行日;2012/02/01 | 英語版ドキュメント(2009/11/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

リソース ファイルの管理

リソース ファイルのタイプ

CSR の生成

キーペア リソースのアップロード

認証局リソースのアップロード

リソース ファイルの管理

この章では、ACE XML Manager によって使用されるポリシーで、リソース ファイルで作業を行う方法について説明します。内容は次のとおりです。

「リソース ファイルのタイプ」

「CSR の生成」

「キーペア リソースのアップロード」

「認証局リソースのアップロード」

リソース ファイルのタイプ

ACE XML Gateway ポリシーは、ACE XML Gateway によってトラフィックを処理する方法を制御するオブジェクトおよび設定で構成されています。ポリシー オブジェクトの 1 つのタイプはリソース ファイルです。リソース ファイルは、ポリシーの全体を通して使用される独立したアーティファクトで、次のものが含まれます。

[Public/Private Keys]:ACE XML Gateway のアイデンティティの認証に使用される公開鍵と秘密鍵のペア

[Trusted Certificate Authorities]:ACE XML Gateway インスタンスが信頼準備をする証明書のアイデンティティ プロバイダーの X.509 証明書

[Remote Server Certificates]:宛先サーバの指定に使用される X.509 証明書

[Consumer Certificates]:ユーザの指定に使用される X.509 ファイル

[Password Files]:要求のクレデンシャルの認証に使用される htpasswd スタイル パスワード ファイル

[Validation Resources]:メッセージ コンテンツの検証に使用される DTD および XML スキーマ ファイル

[XSLT]:ACE XML Gateway 処理シーケンスのさまざまなポイントでメッセージの変換に使用

ここでは、リソース ファイルをアップロードおよび管理する方法を説明します。ACE XML Manager Web コンソールでは、通常、コンソールの [Resource Manager] ページから、または、リソースが適用されているページからなど、リソース ファイルの特定のタイプをアップロードする複数の方法があります。ここでは、一般的に、リソース マネージャを使用してリソースをアップロードする方法について、説明します。リソースがアップロードされると、コンソールの該当する場所にメニューの選択肢として表示されます。

ときに、ファイル システムの場所からではなく URL の場所からリソースをロードする必要が生じることがあります。これにより、URL ベースのリソースのリフレッシュを活用できます。リソースのリフレッシュは、ソースに対するアップデートがあるかどうかをチェックすることによって、ACE XML Manager によってポリシーにロードされているリソースのアップデート状況をチェックするプロセスです。アップデートがある場合、リソースをアップデートできます。詳細については、「導入時の URL ベース リソースのリロード」を参照してください。

CSR の生成

ACE XML Gateway にアソシエーションされている公開鍵と秘密鍵のペアを使用すると、ACE XML Gateway とユーザとの間や ACE XML Gateway とバックエンド サービスとの間の通信チャネルのセキュリティを保護できます。証明書を取得する最初の手順では、認証局に提出するため、証明書署名要求または CSR を作成します。

ACE XML Manager Web コンソールで証明書要求を生成するには、次の操作を実行します。


ステップ 1 操作メニューの [Resources] セクションで、[Public/Private Keypairs] リンクをクリックします。

ステップ 2 ページの下部で [Generate CSR] ボタンをクリックします。

ステップ 3 [Generate Certificate Signing Request] ページで、[Resource Name] フィールドにポリシーのこのリソースを指定する名前を入力します。

ステップ 4 [Subject Identification Information] セクション次のフィールドに、適切な値を入力します。

表 28-1 CSR 設定

 

フィールド
説明

Common Name

このフィールドには、ACE XML Gateway の外部ホスト名を含める必要があります。クラスタ化されている Gateway 設定では、これは、クラスタ宛ての送信にユーザが使用する通常のホスト名であることに注意してください。

E-mail Address

CSR への応答で署名付き証明書を受信する電子メール アドレス。

Company (O)

CN がアソシエーションされている組織または会社の名前。

Department (OU)

組織の組織ユニット名またはサブグループ名。

City

エンティティが証明されている場所または都市。

State

エンティティが証明されている州または地方。

ISO Country Code

エンティティが証明されている国の International Standards Organization(ISO)コード。

ステップ 5 証明書の署名を生成するときに、[Key Type] メニューの次のオプションから、使用されるアルゴリズムを選択します。

[RSA]:RSA 公開鍵暗号システムの Secure Hash Algorithm。詳細については、W3C Web サイトの [RSA-SHA1 Signature Suite] ページを参照してください。

[DSA]:デジタル署名アルゴリズムの Secure Hash Algorithm。詳細については、US National Institute of Standards and Technology(NIST)の Web サイトの [Digital Signature Standard (DSS)] ページを参照してください。

ステップ 6 オプションで、[Key Size] メニューから項目を選択し、証明書署名を生成するときのキーのサイズを次のように指定します。

[512 bits]:512 ビット キーを使用して署名を生成します。

[1024 bits]:1024 ビット キーを使用して署名を生成します。これは、デフォルト値です。

[2048 bits]:2048 ビット キーを使用して署名を生成します。

ステップ 7 オプションで、証明書が提供する追加のアトリビュートを定義します。

a. [Add Attribute] ボタンをクリックします。[Additional Attributes] セクションに、[Attribute OID] フィールドと [Value] フィールドが表示されます。

b. [Attribute OID] フィールドに、追加のアトリビュートの名前を OID 形式で入力します。

c. [Value] フィールドに、追加のアトリビュートの値を入力します。

d. 必要に応じて前の手順を繰り返し、必要なすべてのアトリビュートを追加します。

アトリビュートを削除するには、カスタム アトリビュートのリストの行の最後に表示される [Remove] ボタンをクリックします。

ステップ 8 [When finished entering the information] で、[Generate Request] ボタンをクリックします。

指定した情報を使用して、ACE XML Manager では、Certificate Signing Request(CSR; 証明書署名要求)が生成され、[Certificate Signing Request] ページに表示されます。

次に示すページに類似した要求ページが生成され、表示されます。

図 28-1 生成された要求フォーム

 

ステップ 9 CSR データ(-----BEGIN CERTIFICATE REQUEST----- という文字列と -----END CERTIFICATE REQUEST----- という文字列の間の部分)を、テキスト ファイルまたは電子メール メッセージに表示します。

ステップ 10 優先 CA に CSR データを送信し、署名付きの X.509 証明書に変換します。


) 要求の送信時には、CA により、必要な証明書のタイプの指定を求められることがあります。ACE XML Gateway は、通常、Apache 形式の証明書として指定されているものと動作します。



 

署名付きの証明書が到着したら、次のセクションで説明されているように ACE XML Gateway にインストールします。

キーペア リソースのアップロード

キーペア リソースは、PKI 公開鍵と秘密鍵のキーペアが保存されているファイルです。ACE XML Manager では、キーペア リソース ファイルを使用して、Web コンソールにアクセスしようとしているブラウザとの間の SSL 接続が実装されます。サービス トラフィックは、システムの公開鍵と秘密鍵のキーペアによっても、セキュリティが保護されます。

[Public/Private Keypairs] ページに、現在アクティブなサブポリシーにあるすべてのキーペア リソースのリストが表示されます。このページのエントリは、暗号化された形式でシステムにあるキーペア リソースを表します。

ACE XML Manager により、キーペア リソースが使用されるポリシーがコンパイルされ、導入されるときには、専用バイナリ形式でターゲット Gateway にキーペア データが送信されます。キーペアは、クリアテキスト形式ではありません。

キーペアは、独自に、または、証明書の一部として、ACE XML Manager にアップロードできます。証明書リソースは、ACE XML Manager でデジタル証明書データの保存に使用されるファイルです。オプションで、証明書リソースには、証明書にアソシエーションされているキーペア データを保存できます。キーペア リソースのように、証明書リソースは、暗号化された形式でだけポリシーに存在します。

ACE XML Manager のポリシーにキーペア リソースをアップロードするには、次の操作を実行します。


ステップ 1 Administrator ユーザまたはコンソールの Routing ロールを持つ Privileged ユーザとして Manager Web コンソールにログイン中に、キーペアを使用するものに対してアクティブなサブポリシーを設定します。

ステップ 2 操作メニューで [Public/Private Keypairs] リンクをクリックします。

ステップ 3 ページの上部で [Add a New Public/Private Keypair] ボタンをクリックします(証明書とキー ファイルが同じファイルにない場合は、代わりに、[Upload Separate Certificate and Key Files] を使用します)。

[Upload Public/Private Keypair Resource] ページが表示されます。HTTP(S) ポートの設定ページからも、このページを表示できます。

ステップ 4 [Resource Name] フィールドで、キーペア リソースに固有の名前を入力します。この名前により、ACE XML Manager のユーザ インターフェイスでキーペアが特定されます。

ステップ 5 ファイル システムの場所または URL によるネットワークの場所から、キーペアを指定します。

ステップ 6 [Password] フィールドに、キーペアのパスワードを入力します。パスワードは、フィールドに入力するにつれて暗号化されて表示されることに注意してください。

ステップ 7 [Upload] ボタンをクリックします。

ACE XML Manager により、キーペア リソースがアップロードされ、[Public/Private Keypairs] ページにリソースとして表示されます。たとえば、有効な PEM キーのペアが提供されない場合など、リソースによって基本的な妥当性テストが渡されない場合、[Upload Public/Private Keypair Resource] ページにエラーメッセージが赤字で表示されます。


 

完了すると、ポリシーで SSL 接続を設定するときに、キーペアを使用できます。

認証局リソースのアップロード

Certificate Authority(CA; 認証局)の証明書をアップロードすると、ACE XML Gateway でその CA との信頼関係が確立されます。ACE XML Gateway では、証明書に署名している CA の信頼ステータスに基づいて、証明書を受け付けることができます。ポリシーには、デフォルトで、事前にインストールされている CA 証明書は含まれていません。信頼される CA の証明書をインポートする必要があります。

CA リソースは、ファイルとして、または、URL によって指定された場所から、ACE XML Manager にアップロードできます。必要な情報は、LDAP サーバからインポートすることもできます。[Trusted Certificate Authorities] ページには、現在アクティブなサブポリシーで使用可能なすべての認証局のリストが表示されます。これらのリソースは、デジタル証明書が必要なサービスを作成または編集するページで、メニューに名前付きの項目として表示されます。

CA リソース ファイルを ACE XML Manager Web コンソールにアップロードするには、次の操作を実行します。


ステップ 1 Administrator ユーザまたはコンソールの Routing ロールを持つ Privileged ユーザとして、キーペアを使用するものに対してアクティブなサブポリシーを設定します。

すべてのサブポリシーでキーペアを使用可能にするには、[Shared] サブポリシーに追加します。

ステップ 2 操作メニューの [Resources] セクションで、[Trusted Certificate Authorities] リンクをクリックします。

ステップ 3 [Trusted Certificate Authorities] ページの上部近辺で、[Add a New Certificate Authority Resource] ボタンをクリックします。

[Upload Certificate Authority Resource] ページが表示されます。

ステップ 4 [Resource Name] フィールドに、認証局リソースの名前を入力します。これは、単に、ポリシー内で使用されるリソースを表す名前です。

ステップ 5 [URL] フィールドにリソースのネットワーク アドレスを入力することによって、[Local File] フィールドのファイル システムの場所またはネットワークの場所から、証明書を指定します。

[Browse] ボタンをクリックし、証明書ファイルを探すことによって、[Local File] フィールドに自動的に入力できます。

ステップ 6 オプションで、[CRL URL] フィールドの証明書失効リストに URL を入力します。ACE XML Gateway では、証明書失効リストに表示される証明書が使用されている接続は拒否されます。

ACE XML Gateway によって証明書失効リストのチェックを行わない場合には、このフィールドをブランクのままにします。

ステップ 7 証明書失効リストを設定した場合は、ACE XML Gateway によってリストを取得する頻度も指定します。

ステップ 8 完了時にリソースを ACE XML Manager にアップロードするには、[Upload] をクリックします。


 

CA 証明書のアップロード後、この信頼関係に基づいて要件を設定できます。たとえば、HTTP サーバの SSL 接続では、サーバ証明書が信頼済み CA によって署名されるよう要求できます。