暗号装置を使用可能にする: IBM HTTP Server
システム管理 IBM HTTP Server ドキュメンテーション

セキュア・ソケット・レイヤー用に暗号用ハードウェアを使用可能にする (Enabling cryptographic hardware for the Secure Sockets Layer)
AIX ユーザーの場合 Windows NT ユーザーの場合 Windows 2000 ユーザーの場合

このセクションには、セキュア・ソケット・レイヤー (SSL) 用に暗号ハードウェアを使用可能にする情報があります。 このセクションの終わりに、関連トピックへのリンクがあります。
 

暗号鍵を管理し、それを暗号ハードウェアに保管することで、 セキュアなオンライン・トランザクションのための十分安定したアーキテクチャーを提供します。この機能により、SSL を使った Web サーバーにおけるパフォーマンスおよびセキュリティーは大幅に向上します。

注: この例で鍵記憶装置 は、 鍵がそのハードウェア装置でのみ表示可能である装置として定義されます。

次の暗号装置は IBM HTTP Server を使用してテストされています。

装置 鍵記憶装置? 加速サポート? 注
BSAFE インターフェース・モデル付きの Rainbow Cryptoswift PCI いいえ はい SSLAcceleratorDisable ディレクティブだけと使用してください。 HP、Solaris、および Windows NT オペレーティング・システム上でサポートされています。
BSAFE 4.0 のもとの BHAPI プラグイン付き nCipher nFast Accelerator いいえ 純粋なアクセラレーター SCSI または PCI ベースの nForce 装置のいずれかを必要とします。SSLAcceleratorDisable ディレクティブとだけ使用してください。Solaris および Windows NT オペレーティング・システム上でサポートされています。
nCipher nForce Accelerator、アクセラレーター・モード いいえ はい BHAPI および BSAFE インターフェースを使用します。Solaris および Windows NT オペレーティング・システム上でサポートされています。
nCipher nForce Accelerator、鍵保管アクセラレーター・モード はい はい PKCS#11 インターフェースを使用します。 SCSI、または PCI ベースの nForce 装置のいずれかを必要とします。 パフォーマンスをよくするには nCipher nForce Accelerator V4.0 またはそれ以降に移ってください。 AIX、HP、Linux、Solaris、および Windows NT オペレーティング・システム上でサポートされています。
PKCS#11 インターフェース付きの IBM 4758 モデル 002/023 はい いいえ PKCS11 インターフェースを使用します。AIX および Windows NT オペレーティング・システム上でサポートされています。
 
AIX ユーザーの場合

次のアダプターが高いリリースの WebSphere Application Server でテストされています。

装置 鍵記憶装置? 加速サポート? 注
BSAFE インターフェース・モデル CS/200 および CS/600 付きの Rainbow Cryptoswift PCI いいえ はい AIX オペレーティング・システム上でサポートされています。
IBM e-business Cryptographic Accelerator いいえ はい PKCS11 インターフェースを使用します。この装置は PKCS11 インターフェースを使用するため、 SSLAcceleratorDisable ディレクティブはこの装置に適用されません。AIX オペレーティング・システム上でサポートされています。

Rainbow Cryptoswift、IBM e-business Cryptographic Accelerator、 nCipher nFast Accelerator、および nCipher nForce Accelerator は、公開鍵操作および RSA 鍵暗号化解除のために使用します。 これらの装置はハード・ディスクに鍵を保管します。 アクセラレーター装置は SSL の公開鍵暗号機能を加速し、サーバー・プロセッサーを解放することによって、 サーバー・スループットが増し、待ち時間が短縮されます。Rainbow Cryptoswift、IBM e-business Cryptographic Accelerator、 および nCipher のアクセラレーターは、一層の高速性能および並行セキュア・トランザクションを実現しています。

PKCS#11 プロトコルは、RSA 鍵を暗号ハードウェアに保管するか、 保護を確実にするために暗号ハードウェアを使って鍵を暗号化します。 nCipher nForce アクセラレーターは、加速を実行できるか、あるいは PKCS#11 サポートによって加速と鍵保管の両方を実行することができます。 PKCS#11 サポート付きの IBM 4758 および nCipher nForce Accelerator によって、 外部の世界から確実にアクセス不能な鍵となります。 このサポートでは、鍵がハードウェアによって暗号化されるか、ハードウェア上に保管されるため、 暗号化されていない形で鍵が漏れることはありません。

PKCS11 鍵記憶装置を使用する nCipher nForce Accelerator V4.0 およびそれ以降には、 著しくパフォーマンスを向上できる取り外し不能オプションがあります。 このフィーチャーをオンにするには、nCipher Technical Support に連絡してください。

使用法

IBM 4758 には、ホスト・マシンおよび内部ファームウェアのための PKCS11 サポート・ソフトウェアが必要です。 さらに、ソフトウェアのインストールおよびカード・コプロセッサー・マイクロコードのロードについて 説明したマニュアルも必要になります。 サポート・ソフトウェアとマニュアルは IBM 4758 カードには付いてきませんが、 Web サイト http://www-3.ibm.com/security/cryptocards/index.shtml からダウンロードできます。 このダウンロード・サイトから、PKCS#11 モデル 002/023 ソフトウェアと PKCS#11 インストール・マニュアルを取得します。

サポート・ソフトウェアをマシンにインストールし、マイクロコードを IBM 4758 にロードしたら、カードを初期化してください。

構成ファイルを変更して、PKCS11 装置のモジュール、トークン・ラベル、PKCS11 装置により作成された鍵の鍵ラベル、 およびトークンのユーザー PIN パスワードを、その PKCS11 装置の鍵へのアクセスのために GSKit に渡すように、 IBM HTTP Server を構成します。PKCS11 モジュールは各プラットフォームおよび PKCS11 装置ごとに異なります。 IBM ハードウェア暗号装置 - IBM 4758 カード (AIX および Windows オペレーティング・システムで使用可能) および IBM e-business Cryptographic Accelerator の場合、PKCS11 モジュールは AIX の bos.pkcs11 パッケージと共に出荷されます。

IBM 4758 用の devices.pci.14109f00 デバイスと、 IBM e-business Cryptographic Accelerator 用の devices.pci.1410e601 デバイスをインストールします。 IBM e-business Cryptographic Accelerator の使用時には、AIX V4.3.3 メインテナンス level09 が推奨されます。

Windows の IBM 4758 の場合、PKCS11 モジュールは、PKCS11 ソフトウェア (http://www.ibm.com/security/cryptocards/html/ordersoftware.shtml から ダウンロード可能) と共に出荷されます。 nCipher の場合、PKCS11 モジュールは nCipher ソフトウェアと共に出荷され、 $NFAST_HOME/toolkits/pkcs11 ディレクトリーにあります。

各 PKCS11 装置ごとの PKCS11 モジュールのデフォルト位置は次のとおりです。

AIX ユーザーの場合
HP-UX ユーザーの場合
Linux ユーザーの場合
Solaris ユーザーの場合
Windows NT ユーザーの場合
Windows 2000 ユーザーの場合
  • nCipher:
    • AIX - /opt/nfast/toolkits/pkcs11/libcknfast.so
    • HP-UX - /opt/nfast/toolkits/pkcs11/libcknfast.sl
    • Linux - /opt/nfast/toolkits/pkcs11/libcknfast.so
    • SUN - /opt/nfast//toolkits/pkcs11/libcknfast.so
    • Windows NT - C:\nfast\toolkits\pkcs11\cknfast.dll
  • IBM 4758:
    • AIX - /usr/lib/pkcs11/PKCS11_API.so
    • Windows NT - $PKCS11_HOME\bin\nt\cryptoki.dll
  • IBM e-business Cryptographic Accelerator:
    • AIX - /usr/lib/pkcs11/PKCS11_API.so
AIX ユーザーの場合

AIX オペレーティング・システムにおける IBM 暗号ハードウェア (IBM 4758 および IBM e-business Cryptographic Accelerator) の初期化

AIX で IBM 暗号ハードウェア (IBM 4758 および IBM e-business Cryptographic Accelerator) を初期化するには、 bos.pkcs11 ソフトウェアを取得してインストールします。 ヒント: AIX フィックスのダウンロードから 最新の bos.pkcs11 パッケージを取得します。 Download > AIX fixes > Simple Search > AIX Version 4 をクリックします。 このパッケージは、後で説明する SSLPKCSDriver ディレクティブに必要な PKCS11 モジュールをインストールします。 また、IBM e-business Cryptographic Accelerator 用の devices.pci.1410e601 デバイスと、 IBM 4758 用の devices.pci.14109f00 および devices.pci.14109f00 も必要です。

PKCS11 ソフトウェアをインストールしたら、装置を初期化します。 Smitty から「PKCS11 の管理」サブシステム・パネルにアクセスして PKCS11 装置を初期化できます。トークンを初期化するには以下のようにします。

  1. トークンの初期化を選択します。
  2. まだ設定されていなければ、セキュリティー担当者とユーザー PIN を設定します。
  3. ユーザー PIN を初期化します。詳細については、 Chapter 5: Token Initialization from the PKCS11 のマニュアルを参照してください。
Windows NT ユーザーの場合 Windows 2000 ユーザーの場合

Windows オペレーティング・システムにおける IBM トークンの初期化

Windows NT および Windows 2000 オペレーティング・システムで IBM 4758 カードを初期化するには、 これらのオペレーティング・システム用の PKCS11 ソフトウェアを http://www-3.ibm.com/security/cryptocards/html/ordersoftware.shtml から取得します。

PKCS11 ソフトウェアと共にインストールする TOKUTIL.EXE ユーティリティーを使用して、 Windows オペレーティング・システムでカードを初期化できます。

詳細については、Chapter 5: Token Initialization from the PKCS11 を参照してください。

ヒント: パスに cryptoki.dll モジュールがあることを確認してください。

PKCS11 装置で鍵を保管するための IKEYMAN の使用
AIX ユーザーの場合
HP-UX ユーザーの場合
Linux ユーザーの場合
Solaris ユーザーの場合
Windows NT ユーザーの場合
Windows 2000 ユーザーの場合

PKCS11 装置に鍵を作成するには、IKEYMAN に ikmuser.properties ファイルを提供します。このファイルを提供するには、次のようにします。
  1. 通常、以下のディレクトリーにインストールされる、 IBM HTTP Server および GSKit と共に出荷された ikmuser.sample ファイルをコピーします。
    • AIX = /usr/opt/ibm/gskkm/classes
    • HP = /opt/ibm/gsk5/classes
    • Linux = /usr/local/ibm/gsk5/classes
    • Solaris = /opt/ibm/gsk5/classes
    • Windows NT = C:\Program Files\ibm\gsk5\classes
    コピー先は、classes ディレクトリーの ikmuser.properties ファイルです。 ヒント: ikmuser.properties ファイルが classes ディレクトリー内にないと、暗号トークンは機能しないことがあります。
  2. ikmuser.properties ファイルを編集して、DEFAULT_CRYPTOGRAPHIC_MODULE プロパティーを PKCS11 装置を管理するモジュール名に設定します。 たとえば次のように指定します。
    DEFAULT_CRYPTOGRAPHIC_MODULE=C:\pkcs11\bin\NT\cryptoki.dll

    • nCipher:
      • AIX - /opt/nfast/toolkits/pkcs11/libcknfast.so
      • HP-UX - /opt/nfast/toolkits/pkcs11/libcknfast.sl
      • Linux - /opt/nfast/toolkits/pkcs11/libcknfast.so
      • SUN - /opt/nfast/toolkits/pkcs11/libcknfast.so
      • Windows NT - C:\nfast\toolkits\pkcs11\cknfast.dll
    • IBM 4758:
      • AIX - /usr/lib/pkcs11/PKCS11_API.so
      • Windows NT - $PKCS11_HOME\bin\NT\cryptoki.dll
    • IBM e-business Cryptographic Accelerator:
      • AIX - /usr/lib/pkcs11/PKCS11_API.so

    このモジュールは通常、ソフトウェアを PKCS11 装置にインストールした時にシステムにインストールされます。

  3. ikmuser.properties ファイルを保管します

ikmuser.properties ファイルが classes ディレクトリー内にある限り、 IKEYMAN を立ち上げると必ず、その装置は ikmuser.properties ファイルの内容を読み取ります。 IKEYMAN が立ち上がると、暗号トークン という新しいメニュー項目が「IBM 鍵管理」ウィンドウに追加されます。

  1. 「IBM 鍵管理」ウィンドウから暗号トークンをクリックします。
  2. オープンをクリックします。
  3. 「暗号トークンのオープン」ウィンドウが表示されます。 暗号トークン・ラベルを選択し、構成ユーティリティーを使ってトークンを初期化した時に指定したユーザー・ピンおよびパスワードを入力します。
  4. 既存の 2 次鍵データベースをオープンする場合は、既存の 2 次鍵データベース・ファイルのオープンを選択し、 ファイル名および位置を指定します。 オープンしない場合は、チェック・マークを外してこの機能を使用不可にします。 新しい 2 次鍵データベース・ファイルを作成したい場合には、 新規の 2 次鍵データベース・ファイルの作成をチェックし、 CMS (会話型モニター・システム) 鍵データベース・ファイル、ファイル名、および位置を指定します。 作成しない場合には、このオプションの横のチェックマークを必ず外してください。 OK をクリックします。
  5. 鍵のデータベースをオープンしたものとして、ステップを続行します。同じステップを続行して、 自己署名付き証明書を作成したり、新しいディジタル署名付き証明書を追加したりすることができます。 鍵のデータベース > オープンを使用する代わりに、 暗号トークン > オープンを使用してください。

    6. ヒント: IBM HTTP Server では、暗号化を実行するために鍵ファイルを指定する必要があります。 PKCS11 装置を使用する場合には、PKCS11 装置を使って作成された個人証明書の署名者証明書を、この鍵ファイルが保持している必要があります。

nCipher および Rainbow アクセラレーター装置を使用するための IBM HTTP Server の構成

デフォルトで、IBM HTTP Server は nCipher および Rainbow アクセラレーター装置を使用可能にします。 アクセラレーター装置を使用不可にするには、SSLAcceleratorDisable ディレクティブを構成ファイルに追加してください。

PKCS11 装置を使用するための IBM HTTP Server の構成

注: IBM e-business Cryptographic Accelerator を使用する場合、 Web サーバーの実行に使用するユーザー ID は、PKCS11 グループのメンバーである必要があります。 PKCS11 グループは、bos.pkcs11 パッケージまたはその更新をインストールすることにより作成できます。 構成ファイル内の Group ディレクティブを group pkcs11 に変更してください。

IBM HTTP Server で PKCS11 インターフェース を使用したい場合には、以下を構成します。

  1. PKCS11 装置へのパスワードを隠します。

    構文: sslstash [-c] <file> <function> <password>

    2. オプション:
    • -c: 新規の stash ファイルを作成します。指定されないと、既存の stash ファイルが更新されます。
    • file: 作成または更新するファイルの完全修飾名を表します。
    • function: サーバーがそのパスワードを使用する機能を表します。 有効な値には crl または crypto があります。
    • password: 隠しておくパスワードを指示します。
  2. 以下のディレクティブを構成ファイルに入れます:
    • SSLPKCSDriver <PKCS11 装置へのアクセスに使用する PKCS11 ドライバーの完全修飾名>

      各 PKCS11 装置ごとの PKCS11 モジュールのデフォルト場所については、SSLPKCSDriver ディレクティブを参照してください。

    • SSLServerCert <トークン・ラベル: PKCS11 装置上の証明書の鍵ラベル>
    • SSLStashfile <PKCS11 装置のパスワードを含んだファイルへの完全修飾パス>
    • Keyfile <署名者証明書を含む鍵ファイルへの完全修飾パス>
 
関連情報
     (トップに戻る)