Your browser does not allow storing cookies. We recommend enabling them.

SSH Tectia

設定ファイルの使用 (UNIX)

クライアントを設定する場合は、CA 証明書を信頼し、証明書失効リスト (CRL) にアクセスするように設定する必要があります。


  1. CA 証明書をクライアント マシンにコピーします。X.509 証明書それ自体をコピーするか、または CA 証明書が含まれた PKCS #7 パッケージをコピーできます。

    証明書は、PKCS #7 パッケージから、-7 フラグを ssh-keygen-g3 に指定することによって抽出できます。

  2. ホスト認証で使用される CA 証明書を、ssh-broker-config.xml ファイルの general エレメントで定義します。

    <cert-validation end-point-identity-check="yes" 
      <ldap-server address="ldap://" />
      <ocsp-responder url="" validity-period="0" /> 
      <dod-pki enable="no" />
      <ca-certificate name="ssh_ca1"
                      use-expired-crls="100" />

    クライアントは、定義済みの CA によって発行された証明書だけを受け入れます。

    CRL の使用は、ca-certificate エレメントの disable-crls 属性を "yes" に設定することによって無効にすることができます。


    CRL の使用は、テストの場合にのみ無効にする必要があります。それ以外の場合は常に CRL を使用することを強く推奨します。

    また、CRL チェックに使用される LDAP サーバまたは OCSP レスポンダも定義します。CA 証明書に CRL 配布ポイント拡張が含まれている場合、LDAP サーバの定義は必要ありません。

  3. CA サービス (OCSP、CRL) がファイアウォールの反対側にある場合は、ssh-broker-config.xml ファイルで SOCKS サーバも定義します。SOCKS サーバは、cert-validation の内部の socks-server-url エレメントで定義されます。




What to read next:

  • Reduce Secure Shell risk. Get to know the NIST 7966.

    The NISTIR 7966 guideline from the Computer Security Division of NIST is a direct call to action for organizations regardless of industry and is a mandate for the US Federal government.
    Download now
  • ISACA Practitioner Guide for SSH

    With contributions from practitioners, specialists and SSH.COM experts, the ISACA “SSH: Practitioner Considerations” guide is vital best practice from the compliance and audit community.
    Download now