Your browser does not allow this site to store cookies and other data. Some functionality on this site may not work without them. See Privacy Policy for details on how we would use cookies.

SSH Tectia

サーバ認証の定義

[サーバ認証] では、ホスト鍵の管理項CA 証明書の管理項、およびLDAP サーバ設定の管理項で説明するサーバ認証設定を定義できます。

ホスト鍵の管理

[ホスト鍵] ページでは、サーバ認証で使用する既知の公開ホスト鍵を表示および管理できます。

サーバのホスト鍵設定の定義

図 4.28. サーバのホスト鍵設定の定義

[ホスト鍵チェック]

サーバのホスト鍵がクライアント上に存在するかどうかを確認したり、そのフィンガープリントを表示したりできます。ホスト鍵を確認するには、[ホスト] フィールドにサーバの名前、[ポート番号] フィールドにリスナー ポート番号を入力して [チェック] をクリックします。

ワイルドカード文字は使用できません。

ホスト鍵の場所と公開鍵のフィンガープリントがダイアログ ボックスに表示されます。フィンガープリントは SSH Babble 形式で表示されます。これは、ダッシュで区切られた小文字 5 文字からなる読み上げ可能な一連の単語で構成されています。以下の例を参照してください。

サーバの公開ホスト鍵の情報

図 4.29. サーバの公開ホスト鍵の情報

サーバのホスト鍵の詳細については、公開鍵を使用したサーバの認証項を参照してください。

[ホスト鍵追加]

ユーザ固有のホスト鍵ディレクトリに新しいホスト鍵を追加するには、[ユーザ鍵追加] ボタンをクリックします。コンピュータ上のすべてのユーザに共通のディレクトリに新しいホスト鍵を追加するには、[グローバル鍵追加] ボタンを使用します。Connection Broker でファイル マネージャが表示されます。ここで適切な場所を指定し、ホスト鍵ディレクトリにコピーする鍵を選択できます。

[ホスト鍵削除]

サーバの公開鍵を削除する場合は、[ホスト] フィールドにサーバの名前、[ポート番号] フィールドにリスナー ポート番号を入力して [削除] をクリックします。

ホスト鍵の削除を実行するか中止するかを確認するダイアログ ボックスが表示されます。

[ホスト鍵オプション]

ホスト鍵を接続時にホスト鍵ディレクトリに保存せず、ホスト鍵が変更された場合に接続を自動的に拒否するように定義するには、[厳密なホスト鍵チェック] チェック ボックスを選択します。[厳密なホスト鍵チェック] が無効 (デフォルト) の場合、SSH Tectia Client は変更されたホスト公開鍵と新しいホスト公開鍵についての警告と鍵のフィンガープリントをイベント ビューアのログに記録します。

ユーザに確認を求めずに、新しいホスト鍵を受け入れて保存するように定義するには、[未知のホスト鍵を受け入れる] チェック ボックスを選択します。ただし、変更されたホスト鍵が受け入れられるのは現在の接続に関してのみであり、ホスト鍵データベースには保存されません。変更されたホスト鍵が提供されたときは、警告メッセージが表示されます。受け入れたすべてのホスト鍵についての情報がログに記録されます。

[警告]警告

[未知のホスト鍵を受け入れる] は、事前によく検討してから有効にしてください。ホスト鍵チェックを無効にすると、中間者攻撃に対して脆弱になる可能性があります。

ホスト鍵が既知の場合も含め、ホスト鍵を受け入れるかどうかを常にユーザに確認するように定義するには、[ホスト鍵確認を常に表示] チェック ボックスを選択します。

ホスト鍵オプションはデフォルトでは無効です。

CA 証明書の管理

[CA 証明書] ページでは、信頼された CA の証明書を管理できます。

サーバ証明書認証の詳細については、証明書を使用したサーバの認証項を参照してください。

CA 証明書の定義

図 4.30. CA 証明書の定義

CA 証明書の一覧には、以下のフィールドが表示されます。

  • [発行先]: 証明書の発行先の認証局。

  • [発行元]: CA 証明書を発行した機関。

  • [有効期限]: CA 証明書が失効する期日。

  • [ファイル名]: CA 証明書が格納されたファイル。

[CRL チェック]

証明書失効リスト (CRL) の使用を無効にするには、[無効] チェック ボックスを選択します。CRL は、使用されているサーバ証明書のいずれかが失効していないかどうかをチェックするために使用されます。

[注意]注意

CRL チェックを無効化するとセキュリティ上のリスクとなるため、テスト目的を除き無効化しないことをお勧めします。

[OCSP レスポンダ URL]

OCSP レスポンダ サービスは、証明書の有効性状態についてのリアルタイム情報を OCSP (Online Certificate Status Protocol) を使用して取得するための制御ポイントをクライアント アプリケーションに提供します。

OCSP を正しく検証するには、エンド エンティティ (SecureShell サーバ) 証明書および OCSP レスポンダ証明書の両方を同じ CA によって発行する必要があります。証明書に OCSP レスポンダの URL を含む Authority Info Access 拡張が記述されている場合、この証明書は、OCSP レスポンダが設定されていない場合にのみ使用されます。OCSP レスポンダが設定されている場合は使用されません。

OCSP レスポンダが設定ファイルまたは証明書で定義されている場合は、証明書の検証で最初に使用されます。検証に失敗した場合、通常の CRL チェックが行われます。これにも失敗した場合、証明書の検証に失敗したという結果が返されます。

[エンドポイント同一性チェック]

クライアントでサーバのホスト名または IP アドレスを、サーバのホスト証明書に指定された [サブジェクト] または [サブジェクトの別名] (DNS アドレス) と照合して検証するかどうかを指定します。デフォルトでは、[エンドポイント同一性チェック] は有効になっています。

このチェック ボックスが選択されていない場合、サーバ ホスト証明書内のフィールドは検証されず、有効期間と CRL チェックのみに基づいて証明書が受け入れられます。

[警告]警告

クライアントでのエンドポイント同一性チェックを無効にすることはセキュリティ上危険です。無効にすると、サーバ ホスト証明書の発行元と同一の信頼された CA によって発行された証明書を持っている者が、サーバに対して中間者攻撃を実行できることになります。

[DOD PKI 準拠]

このエレメントによって、証明書が DOD PKI (米国国防総省公開鍵基盤) に準拠する必要があるかどうかを定義します。

[エンドポイントドメイン]

エンドポイント同一性チェックで使用されるデフォルト ドメインを指定します。これはリモート システム名のデフォルト ドメインの部分であり、システム名の基本部分のみが利用可能な場合に使用されます。

デフォルト ドメインを指定しないと、たとえば、証明書に完全な DNS アドレス「tower.example.com」が指定されているときに、ユーザが短いホスト名で「tower」と指定してホストに接続しようとした場合に、エンドポイント同一性チェックに失敗します。

[HTTP プロキシ URL]

証明書の有効性を検証するための LDAP または OCSP クエリの実行時に使用する HTTP プロキシを指定します。

アドレスの形式は「http://username@proxy_server:port/network/netmask,network/netmask...」です。network/netmask の部分は省略可能であり、(プロキシなしで) 直接接続されるネットワークを定義します。

[SOCKS サーバ URL]

証明書の有効性を検証するための LDAP または OCSP クエリの実行時に使用する SOCKS サーバを指定します。

アドレスの形式は「socks://username@socks_server:port/network/netmask,network/netmask...」です。network/netmask の部分は省略可能であり、(SOCKS サーバなしで) 直接接続されるネットワークを定義します。

LDAP サーバ設定の管理

[LDAP サーバ] ページでは、CRL や下位の CA 証明書を取得するために使用される LDAP サーバを、検証中の証明書の発行者名に基づいて定義できます。

CRL 配布ポイントが存在する場合、CRL は、証明書で定義されている CRL 配布ポイントから自動的に収集されます。

LDAP サーバの定義

図 4.31. LDAP サーバの定義

LDAP サーバを追加するには、[追加...] ボタンをクリックします。サーバのホスト名とポートを定義します。

LDAP サーバの追加

図 4.32. LDAP サーバの追加

LDAP サーバを編集するには、リストからサーバを選択して [編集] をクリックします。

LDAP サーバを削除するには、リストからサーバを選択して [削除] をクリックします。

CRL プリフェッチ設定の管理

[CRL プリフェッチ] ページでは、定義された場所から定期的に取得される証明書失効リスト (CRL) を定義できます。CRL 配布ポイントは標準形式の LDAP URL または HTTP URL です。また、ファイル参照として指定することもできます。ファイル形式はバイナリ DER または Base64 である必要があり、PEM はサポートされていません。

CRL 配布ポイントが存在する場合、CRL は、証明書で定義されている CRL 配布ポイントから自動的に収集されます。

CRL プリフェッチ設定の定義

図 4.33. CRL プリフェッチ設定の定義

CRL プリフェッチのアドレスを追加するには、[追加...] をクリックします。[CRL プリフェッチ] ダイアログ ボックスが開きます。

CRL プリフェッチ設定の追加

図 4.34. CRL プリフェッチ設定の追加

CRL 配布ポイントの [URL]、および CRL をダウンロードする [間隔] を入力して [OK] をクリックします。デフォルトのダウンロード間隔は 3600 秒です。

CRL 配布ポイントがファイルを参照する場合は、次の形式でファイルの URL を入力します。

file:///absolute/path/name

既存の CRL プリフェッチ設定を編集するには、リストから設定を選択して [編集] をクリックします。

既存の CRL プリフェッチ設定を削除するには、リストから設定を選択して [削除] をクリックします。

===AUTO_SCHEMA_MARKUP===