Reflection SSL/TLS 接続と Secure Shell 接続では、電子証明書 PKI (Public Key Infrastructure) の核となる構成要素です。電子証明書 (別名、X.509 証明書) は認証局 (CA) によって発行されるもので、証明書内の情報の有効性を保証します。各証明書には、証明書の所有者に関する情報、証明書の所有者の公開鍵のコピー (メッセージおよび電子署名の暗号化と解読に使用)、電子署名 (証明書の内容に基づいて認証局が生成) が含まれています。受信者はこの電子署名を使用して、証明書が不正に変更されておらず、信頼できることを確認します。 を使用したホスト認証を構成できます。Reflection 証明書マネージャの構成方法に応じて、Reflection の格納場所にある証明書のみ、または Windows および Reflection の両方の格納場所にある証明書が Reflection で使用されます。Windows の格納場所には、中間証明書と信頼されたルート証明書が保存されます。Reflection の格納場所には、信頼されたルート証明書のみが保存されます。また、LDAP サーバから中間証明書を検索するように Reflection を構成することもできます。
LDAP ディレクトリに保存されている中間証明書を検索するように Reflection を構成するには、[Reflection 証明書マネージャ] の [LDAP] タブ で LDAP サーバ (1 台または複数) を指定します。
LDAP サーバの構成
Reflection で LDAP ディレクトリ内の証明書を検索できるのは、LDAP 識別名 (DN) が証明書の件名フィールドの内容と完全に一致する場合のみです。例えば、証明書の件名フィールドに以下のオブジェクトが表示されるとします。
CN = Some CA
O = Acme
C = US
この場合、LDAP ディレクトリのエントリの DN は、「CN = Some CA, O=Acme, C = US」である必要があります。
この DN で識別される LDAP エントリの属性は、以下のいずれかを含む必要があります(Reflection ではこれらの属性を上から下に検索します)。
|
属性 |
OID (Object Identifier - オブジェクト識別子) |
|---|---|
|
userCertificate;binary |
2.5.4.36 |
|
cACertificate;binary |
2.5.4.37 |
|
userCertificate |
2.5.4.36 |
|
cACertificate |
2.5.4.37 |
|
mosaicKMandSigCertificate |
2.16.840.1.101.2.1.5.5 |
|
sdnsKMandSigCertificate |
2.16.840.1.101.2.1.5.3 |
|
fortezzaKMandSigCertificate |
2.16.840.1.101.2.1.5.5 |
|
crossCertificatePair;binary |
2.5.4.40 |
|
crossCertificatePair |
2.5.4.40 |