ステップ 6: IKE デーモンをデジタル署名認証用にセットアップ (オプション)

IKE デーモンがそれ自体の証明書サービスを使用するか、ネットワーク・セキュリティー・サービス (NSS) サーバーからの証明書サービスを使用するように、IKE デーモンを構成できます。ネイティブ証明書サービスを使用するか、NSS 証明書サービスを使用するかは、スタック・レベルで制御できます。単一のスタックは、ネイティブ証明書サービスまたは NSS 証明書サービスのどちらかを使用できますが、両方を使用することはできません。 IKED で、スタックのために IKEv2 シグニチャー・ベースの認証方式を使用する場合、スタックはネットワーク・セキュリティー・サービス (NSS) クライアントとして定義されている必要があります。

デフォルトで、IKE デーモンはすべてのスタックにネイティブ証明書サービスを使用します。ネイティブ証明書サービスを使用するように構成されたスタックの証明書は、IkeConfig ステートメントの KeyRing パラメーターで指定された鍵リングになければなりません。

IKE デーモン・ネイティブ証明書サービスは、デジタル署名を認証するときに、証明書取り消し情報を参照しません。取り消しのチェックを行いたい場合は、IKED に NSS サーバーの IPSec 証明書サービスを使用するように指示し、リモート・セキュリティー・エンドポイントの取り消し検査を使用可能に設定します。KeyExchangeAction ステートメントを使用してリモート・セキュリティー・エンドポイントの取り消し検査を使用可能に設定する場合の詳細については、「z/OS Communications Server: IP 構成解説書」を参照してください。

個々のスタックに NSS サーバーの証明書サービスを使用するように、IKE デーモンに指示することができます。これを行うには、そのスタックに対して、NssStackConfig ステートメントの ServiceType パラメーターで Cert オプションを指定します。 NssStackConfig ステートメントは、IKE デーモン構成ファイルで指定されます。NSS サーバーは、IKE デーモンと同じシステム上に存在する必要はありません。NSS サーバーの位置は、IkeConfig ステートメントの NetworkSecurityServer パラメーター、およびオプションとして NetworkSecurityServerBackup パラメーターによって指定されます。 IkeConfig ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。

証明書サービスに NSS サーバーを使用するように構成されたスタックの証明書は、NSS サーバー構成ファイル内の NssConfig ステートメントの KeyRing パラメーターで指定された鍵リング上にある必要があります。NssConfig ステートメントについて詳しくは、「z/OS Communications Server: IP 構成解説書」を参照してください。

図 1 は、システム SYSTEMA 上の IKE デーモンと NSS サーバーの部分構成を示しています。IkeConfig ステートメントの NetworkSecurityServer パラメーターは、IP アドレス 9.1.1.1 を listen する NSS サーバーからのネットワーク・セキュリティー・サービスを使用するように IKE デーモンが構成されることを指定します。2 つの NssStackConfig ステートメントが表示されています。 ClientName パラメーターは、ローカル TCP/IP スタックを NSS クライアント名に関連付けます。これは、NSS サーバーがこのスタックを認識するのに使用する名前です。UserId パラメーターは、クライアント名を、NSS サーバーのシステムで定義されるユーザー ID に関連付けます。証明書サービスを要求する権限が NSS クライアントにあるかどうかを検証し、クライアントがどの証明書を使用する権限があるかを判別するために、NSS サーバーはクライアント名とユーザー ID の両方を使用します (詳しくは、NSS のリソースを許可するためのステップを参照)。IkeConfig ステートメント上の KeyRing パラメーターは、NssStackConfig ステートメントがないすべてのスタックの証明書の位置を示します。NssConfig ステートメント上の KeyRing パラメーターは、NSS サーバー証明書サービスを使用するすべての NSS クライアント・スタックの証明書の位置を示します。

図 1. IKE デーモンと NSS サーバーの部分構成

以下のサブトピックでは、RSA シグニチャー・モード認証用に IKE デーモンをセットアップするためのステップを示します。

ネイティブ証明書サービスが使用される場合
NSS サーバーの証明書サービスが使用される場合

ヒント: 以下の資料を参照して、RACF® でのデジタル証明書の使用に関連した概念を理解しておいてください。

RACF 鍵リングとデジタル証明書についての詳細は、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
RACDCERT コマンドの使用を制御する方法についての詳細は、「z/OS Security Server RACF セキュリティー管理者のガイド」を参照してください。
デジタル証明書と鍵リングを作成および変更するために必要な機能と許可に関する詳細説明については、「z/OS Security Server RACF コマンド言語解説書」を参照してください。