Secure Global Desktop 4.31 管理者ガイド
> セキュリティー
> 追加の認証局をサポートする方法Secure Global Desktop 4.31 管理者ガイド
> セキュリティー
> 追加の認証局をサポートする方法
デフォルトでは、Secure Global Desktopは、いくつかの認証局をサポートしています。仕様外の設定が含まれていない場合、サポートしていない認証局 (CA) からの Base 64 でエンコードされた PEM 形式の X.509 証明書を使用できますが、その証明書の有効性は検証されず、ユーザーは証明書を承認するか拒否するかの確認を要求されます。これは、セキュリティーに対する潜在的な危険です。
追加の CA をサポートし、証明書を検証できるようにするには、その CA の証明書またはルート証明書をインストールする必要があります。Secure Global Desktop ホストで、次のコマンドを入力します。
tarantella security customca
次に、PEM 形式のルート証明書を標準入力にペーストします。
中間 CA が X.509 証明書に署名している場合は、証明書チェーンをインストールする必要があります。
サポートしていない CA が X.509 証明書を発行している場合は、ユーザーがサーバーに最初に接続するときに、Sun Secure Global Desktop Client から常に証明書の確認を求められます。ユーザーが証明書を永続的に承認した場合は、それ以降は証明書の確認が求められることはありません。ユーザーが証明書の確認を求められないようにするには、次のようにする必要があります。
certstore.pem ファイルに追加します。証明書は各ホストの /opt/tarantella/var/tsp/cert.pem ファイルにあります。hostnames ファイルに追加します。これらの詳細を取得するには、各ホスト上で tarantella security fingerprint コマンドを実行します。Native Client のユーザーは、次の方法でルート証明書をダウンロードしてインストールする必要があります。
http://server.example.com から到達可能) からルート証明書をダウンロードします。ca.pem) を検索します。
/etc/tarantella ディレクトリ。セキュア (HTTPS) Web サーバーを使っている場合、ルート証明書が Web ブラウザのキーストアにインポートされていないと、ユーザーは Web サーバーの証明書を承認するかどうか確認を求められます。ユーザーに確認を求めることなく Web サーバー証明書を検証できるようにするには、ブラウザの専用ツールを使って、Web ブラウザにルート証明書をインポートする必要があります。
セキュア Web サーバーで Java™ テクノロジを使っている場合、Java Plug-in も、Web サーバーの証明書を承認するかどうか、ユーザーに確認を求めることがあります。これは Java コントロールパネルの設定によります。デフォルトでは、Plug-in はブラウザキーストアにある証明書を使う設定になっています。Plug-in がこのような設定になっていない場合は、必要に応じ、Java コントロールパネルを使ってルート証明書をインポートしてください。
Secure Global Desktop サーバー証明書を Web サーバーと共有している場合、Sun Secure Global Desktop Native Client のダウンロードページ (http://server.example.com から到達可能) からルート証明書をダウンロードできます。
Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.