Your browser does not allow this site to store cookies and other data. Some functionality on this site may not work without them. See Privacy Policy for details on how we would use cookies.

SSH Tectia

設定ファイルの使用 (UNIX)

クライアントを設定する場合は、CA 証明書を信頼し、証明書失効リスト (CRL) にアクセスするように設定する必要があります。

サーバの証明書を信頼するようにクライアントを設定するには、以下のタスクを実行します。

  1. CA 証明書をクライアント マシンにコピーします。X.509 証明書それ自体をコピーするか、または CA 証明書が含まれた PKCS #7 パッケージをコピーできます。

    証明書は、PKCS #7 パッケージから、-7 フラグを ssh-keygen-g3 に指定することによって抽出できます。

  2. ホスト認証で使用される CA 証明書を、ssh-broker-config.xml ファイルの general エレメントで定義します。

    <cert-validation end-point-identity-check="yes" 
                     http-proxy-url="http://proxy.example.com:800">
      <ldap-server address="ldap://ldap.example.com:389" />
      <ocsp-responder url="http://ocsp.example.com:8090" validity-period="0" /> 
      <dod-pki enable="no" />
      <ca-certificate name="ssh_ca1"
                      file="ssh_ca1.crt"
                      disable-crls="no"
                      use-expired-crls="100" />
    </cert-validation>         
    

    クライアントは、定義済みの CA によって発行された証明書だけを受け入れます。

    CRL の使用は、ca-certificate エレメントの disable-crls 属性を "yes" に設定することによって無効にすることができます。

    [注意]注意

    CRL の使用は、テストの場合にのみ無効にする必要があります。それ以外の場合は常に CRL を使用することを強く推奨します。

    また、CRL チェックに使用される LDAP サーバまたは OCSP レスポンダも定義します。CA 証明書に CRL 配布ポイント拡張が含まれている場合、LDAP サーバの定義は必要ありません。

  3. CA サービス (OCSP、CRL) がファイアウォールの反対側にある場合は、ssh-broker-config.xml ファイルで SOCKS サーバも定義します。SOCKS サーバは、cert-validation の内部の socks-server-url エレメントで定義されます。

===AUTO_SCHEMA_MARKUP===