図 1 に表示されている構成を考えてみましょう。
この例では、次の構成に注目してください。
EZB.NSS.SYSTEMB.SYSTEMA_STACK1.IPSEC.CERT
EZB.NSS.SYSTEMB.SYSTEMA_STACK1.IPSEC.NETMGMT
NSS サーバーの AT-TLS ポリシーは、NSS クライアントとの TLS ネゴシエーション時に使用するために NSS サーバーの個人証明書を取得する元の鍵リングも指定する必要があります。NSS サーバーの AT-TLS ポリシーは、NSS サーバーの構成ファイルと同じ鍵リングを指定することも、異なる鍵リングを指定することもできます。どちらの場合でも、AT-TLS ポリシーは、NSS サーバーを表すためにどの個人証明書を使用するかを指定する必要があります。これを行うには、TTLSConnectionAdvancedParms ステートメントで CertificateLabel パラメーターを使用します。 このパラメーターが構成されない場合、AT-TLS は、構成された鍵リング上のデフォルト証明書 (存在する場合) の使用を試みます。 構成された鍵リング上にデフォルト証明書が存在しないときに、CertificateLabel パラメーターが構成されていない場合、NSS クライアントと NSS サーバー間の TLS ネゴシエーションは失敗します。
IKE デーモンの AT-TLS ポリシーも、鍵リングを指定します。 この鍵リングは、NSS サーバーの個人証明書の署名に使用された証明書を見つけるのに使用されます。IKE デーモンの AT-TLS 鍵リングにこの署名証明書が含まれていない場合、TLS ネゴシエーションは、NSS サーバーの証明書を検証することができず、NSS クライアントと NSS サーバー間の TLS ネゴシエーションは失敗します。
この例では、クライアント SYSTEMA_STACK1 用の鍵リングに保管されている 1 つの個人証明書があります。システム SYSYEMB では、NSS サーバーがこの証明書を使用してクライアント SYSTEMA_STACK1 用のシグニチャーを作成する前に、ユーザー ID A1S1 に、以下の SERVAUTH プロファイルへの読み取りアクセスが与えられなければなりません。
EZB.NSSCERT.SYSTEMB.A1S1_CERT.HOST
この例では、鍵リングに保管されている CertAuth 証明書も 1 つあり、この証明書はクライアント SYSTEMA_STACK1 によって IPSec ピアに公示されます。 システム SYSYEMB では、NSS サーバーが、この CERTAUTH 証明書をピアに公示できることをクライアント SYSTEMA_STACK1 に通知する前に、ユーザー ID A1S1 に、以下の SERVAUTH プロファイルへの読み取りアクセスが与えられなければなりません。
EZB.NSSCERT.SYSTEMB.CA.CERTAUTH
EZB.NETMGMT.SYSTEMB.SYSTEMA_STACK1.IPSEC.DISPLAY
EZB.NETMGMT.SYSTEMB.SYSTEMA_STACK1.IPSEC.CONTROL
また、ユーザー LARRY は、-x オプションを指定した ipsec コマンドを発行して、NSS サーバーに関する情報を表示します。システム SYSTEMB で、ユーザー ID LARRY には、以下の SERVAUTH プロファイルに対する読み取りアクセスが与えられなければなりません。
EZB.NETMGMT.SYSTEMB.SYSTEMB.NSS.DISPLAY
さらに、ユーザー LARRY -w オプションを指定した ipsec コマンドを発行して、IKE デーモンからの NSS IPSec クライアントに関する情報を表示します。システム SYSTEMA で、ユーザー ID LARRY には、以下の SERVAUTH プロファイルに対する読み取りアクセスが与えられなければなりません。
EZB.NETMGMT.SYSTEMA.SYSTEMA.IKED.DISPLAY