Your browser does not allow storing cookies. We recommend enabling them.

SSH Tectia

設定ファイルの使用 (UNIX)

クライアントを設定する場合は、CA 証明書を信頼し、証明書失効リスト (CRL) にアクセスするように設定する必要があります。

サーバの証明書を信頼するようにクライアントを設定するには、以下のタスクを実行します。

  1. CA 証明書をクライアント マシンにコピーします。X.509 証明書それ自体をコピーするか、または CA 証明書が含まれた PKCS #7 パッケージをコピーできます。

    証明書は、PKCS #7 パッケージから、-7 フラグを ssh-keygen-g3 に指定することによって抽出できます。

  2. ホスト認証で使用される CA 証明書を、ssh-broker-config.xml ファイルの general エレメントで定義します。

    <cert-validation end-point-identity-check="yes" 
                     http-proxy-url="http://proxy.example.com:800">
      <ldap-server address="ldap://ldap.example.com:389" />
      <ocsp-responder url="http://ocsp.example.com:8090" validity-period="0" /> 
      <dod-pki enable="no" />
      <ca-certificate name="ssh_ca1"
                      file="ssh_ca1.crt"
                      disable-crls="no"
                      use-expired-crls="100" />
    </cert-validation>         
    

    クライアントは、定義済みの CA によって発行された証明書だけを受け入れます。

    CRL の使用は、ca-certificate エレメントの disable-crls 属性を "yes" に設定することによって無効にすることができます。

    [注意]注意

    CRL の使用は、テストの場合にのみ無効にする必要があります。それ以外の場合は常に CRL を使用することを強く推奨します。

    また、CRL チェックに使用される LDAP サーバまたは OCSP レスポンダも定義します。CA 証明書に CRL 配布ポイント拡張が含まれている場合、LDAP サーバの定義は必要ありません。

  3. CA サービス (OCSP、CRL) がファイアウォールの反対側にある場合は、ssh-broker-config.xml ファイルで SOCKS サーバも定義します。SOCKS サーバは、cert-validation の内部の socks-server-url エレメントで定義されます。