Secure Global Desktop 4.31 管理者ガイド > セキュリティー > Secure Global Desktop サーバー間の接続の保護

Secure Global Desktop サーバー間の接続の保護

標準インストールでは、アレイ内の Secure Global Desktop サーバー間で送信されるデータは、Secure Global Desktop 管理ツールから送信されるデータを含めて、暗号化されません。Secure Global Desktop 管理者 は、SSL/TLS を使用してアレイメンバー間の接続をセキュリティー保護できます。これらの接続に SSL/TLS を使用することにより、相互に認証済みのサーバー間だけで通信が行なわれることと、データの完全性が保証されます。

アレイ内のセキュア通信の仕組み

SSL/TLS を使用してアレイ内の通信を保護するときには、信頼されている認証局 (CA) によって署名された有効なサーバーピア証明書が、アレイの各メンバーに必要です。

サーバーピア証明書は Secure Global Desktop の内部だけで使用され、アレイのプライマリサーバーが CA として機能します。プライマリサーバーには、自己署名付きの CA 証明書と非公開キーが格納されます。アレイ内のすべてのサーバーには、信頼されている証明書ストア (truststore) にプライマリサーバーの CA 証明書のコピーが格納されます。

プライマリサーバーを含めて、アレイ内のすべてのサーバーに、サーバーピア証明書と非公開キーが格納されます。サーバーピア証明書は、プライマリサーバーの CA 証明書によって署名され、Secure Global Desktop サーバーのピア DNS 名を共通名 (CN) として含んでいます。

アレイの 1 つのメンバーから別のメンバーに接続するとき、または管理ツールからアレイメンバーに接続するときに、接続先の Secure Global Desktop サーバーは SSL ネゴシエーションを行うときに自身のサーバーピア証明書を提示します。接続元のサーバーはその証明書を評価し、次のことを確認します。

• 証明書の CN が接続元サーバーのピア DNS 名と一致していること。
• 証明書の有効期限。
• 証明書の発行者がプライマリサーバーの CA 証明書であること。

証明書が有効な場合は、SSL/TLS 接続が確立されます。

CA 証明書とサーバーピア証明書の管理

アレイ内のセキュア通信を有効にすると、CA 証明書とサーバーピア証明書が自動的に生成されて、アレイのメンバーに配布されます。アレイの構造が変更されるたびに、CA 証明書とサーバーピア証明書は必要に応じて自動的に更新されます。

• サーバーがアレイに追加されたとき - プライマリサーバーの CA 証明書が新しいサーバーにインストールされます。新しいサーバーは、プライマリサーバーの CA 証明書によって署名された新しいサーバーピア証明書を取得します。
• サーバーがアレイから切り離されたとき - 切り離されたサーバーは、1 つのサーバーだけで構成されるアレイのプライマリサーバーになります。切り離されたサーバーは、自身の新しい CA 証明書と新しいサーバーピア証明書を作成します。
• 新しいプライマリサーバー - このプライマリサーバーは、新しい CA 証明書を生成し、それをすべてのアレイメンバーにインストールします。すべてのセカンダリサーバーは、新しいプライマリサーバーの CA 証明書によって署名された新しいサーバーピア証明書を取得します。

管理者 は、tarantella security peerca --show コマンドを使用して、信頼されている証明書ストア (truststore) 内の証明書を表示できます。信頼されている証明書ストア (truststore) にはプライマリサーバーの CA 証明書が格納されています。

アレイ内のセキュア通信を有効にする

1. 中断中のセッションも含めて、実行中の Webtop セッションやエミュレータセッションがアレイ内に存在しないことを確認します。
2. アレイを解除します。
   • プライマリサーバーで、tarantella array detach --secondary server コマンドまたは Array Manager を使用して、セカンダリサーバーを切り離します。
   • サーバーは、一度に 1 つずつ切り離してください。
   • アレイの変更がアレイのすべてのメンバーにコピーされてから、次のサーバーを切り離します。各アレイメンバーで tarantella status コマンドを実行して同じ結果が返されるときには、コピーが完了していると判断できます。
3. tarantella stop コマンドを使用してすべてのサーバーを停止します。
4. 各サーバーで次のコマンドを実行して、アレイ内のセキュア通信を有効にします。

   tarantella config edit --tarantella-config-security-peerssl-enabled 1

5. tarantella start コマンドを使用してすべてのサーバーを起動します。
6. アレイを再構築します。
   • サーバーは、一度に 1 つずつ切り離してください。
   • サーバーを追加するには、アレイに追加するサーバー上で tarantella array join --primary primary_server コマンドを使用します。
   • プライマリサーバーの CA 証明書を信頼するように要求され、証明書のフィンガプリントが表示されます。
   • プライマリサーバーで、tarantella security peerca --show コマンドを使用して、プライマリサーバーの CA 証明書のフィンガプリントを表示します。
   • 証明書のフィンガプリントが一致していることを確認します。この作業は、セカンダリサーバーが正規のプライマリサーバーと通信することを確認するうえで重要です。
   • フィンガプリントが一致している場合は、プライマリサーバーの CA 証明書を受け入れてアレイへの追加を完了します。
   • アレイの変更がアレイのすべてのメンバーにコピーされてから、次のサーバーを追加します。各アレイメンバーで tarantella status コマンドを実行して同じ結果が返されるときには、コピーが完了していると判断できます。

Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.