2013年 04月 18日
Novell eDirectory 組織認証局(CA)サーバーの移動
Organization CA はディレクトリツリー上の各サーバーで必要な公開鍵を自動的に作成するためのオブジェクトです。通常は eDirectory(8.x) を作った「最初のサーバー」がホストサーバーとして認証鍵を持ちます。この鍵を元に、全てのサーバーのキーが作成されます。
Organization CA の概要についてはこちら。(と逃げてみる)
Organization CA Overview
http://www.novell.com/documentation/crt32/?page=/documentation/crt32/crtadmin/data/a2ebon6.html
そこで、古くなった「最初のサーバー」を V2V する場合はあまり問題なく移行できますが、P2V移行などの場合、「サーバー丸ごと」移行に失敗するととんでもない問題になります。また、何らかの問題でホストサーバーに問題が発生すると、ディレクトリ全ての認証鍵を再作成する必要があり、大変な労力を必要としてしまいます。
この記事は「OES NetWare/Linux CA Authority サーバの移行」
の iManager 版です。
この文書そのままの作業です。
http://www.novell.com/support/kb/doc.php?id=3618399
※ブラウザの設定は英語を優先言語に設定しています。優先言語を日本語にすると、ほぼ全てのメニューは日本語表示されます。
上の文書にもありますが、 CA のホストサーバーをexport キーなしで作り直した場合、全てのサーバーの認証局をアップデートしなければなりません。私はCA局を持ったサーバーは「小規模な仮想サーバー」を使い、定期的にシャットダウン、バックアップコピー、再起動するように運用することをお勧めしています。
-現行のホストサーバーからのエクスポート-
iManager > Directory Management > Modify Object > "Tree -> Security -> My-Tree CA"を選びます。
この画面は Tree ビューで表示した場合です。Tree オブジェクトの直下の "Security" コンテナに存在します。
ツリービューで見てみます
Role(役割) 画面から操作する場合
Certificates > Self Signed Certificate(check) > "Export"
リンクをクリックします。
ここでパスワードをセットします。
Enter Next
Save Export リンクをクリックすると、鍵のダウンロードを行います。
> save as "My-Tree.pfx
ここで保存したキー(デフォルトでは cert.pfx ) を安全な記憶媒体にパスワードと共に保管します。My-Tree(CApassword).pfx などの名前にしておけば便利でしょう。admin や root のパスワードを記したメモなどと一緒にUSB メモリなどの安全な記憶メディアに厳重に保存します。
万が一、CA オブジェクトのホストサーバーがクラッシュした場合はこのキーファイルとパスワードで復旧します。
-Organation CAの作成-
古い CA Object を削除します。
Delete My-Tree CA.Security
pfx ファイルをインポートします。
Novell Certificate Server > Configure Certificate Server Authority > browse and set "New Destination Server" : "My-Tree CA" > Import
エクスポートしたときのパスワードをセット
Chose "Your-Tree.pfx" and set password when set password ""YourNewSecretPassword" >
作成されました。(たまにプラグインエラーが出ましたが無視)
OK > Next
Next > Finish
ホストサーバーが入れ替わっています
islandcenter.jp
-Keyword-
Novell Netiq eDirectory Identitimanagement Organation CA How to move CA server into another Server iManager
Organization CA の概要についてはこちら。(と逃げてみる)
Organization CA Overview
http://www.novell.com/documentation/crt32/?page=/documentation/crt32/crtadmin/data/a2ebon6.html
そこで、古くなった「最初のサーバー」を V2V する場合はあまり問題なく移行できますが、P2V移行などの場合、「サーバー丸ごと」移行に失敗するととんでもない問題になります。また、何らかの問題でホストサーバーに問題が発生すると、ディレクトリ全ての認証鍵を再作成する必要があり、大変な労力を必要としてしまいます。
この記事は「OES NetWare/Linux CA Authority サーバの移行」
の iManager 版です。
この文書そのままの作業です。
http://www.novell.com/support/kb/doc.php?id=3618399
※ブラウザの設定は英語を優先言語に設定しています。優先言語を日本語にすると、ほぼ全てのメニューは日本語表示されます。
上の文書にもありますが、 CA のホストサーバーをexport キーなしで作り直した場合、全てのサーバーの認証局をアップデートしなければなりません。私はCA局を持ったサーバーは「小規模な仮想サーバー」を使い、定期的にシャットダウン、バックアップコピー、再起動するように運用することをお勧めしています。
-現行のホストサーバーからのエクスポート-
iManager > Directory Management > Modify Object > "Tree -> Security -> My-Tree CA"を選びます。
この画面は Tree ビューで表示した場合です。Tree オブジェクトの直下の "Security" コンテナに存在します。
ツリービューで見てみます
Role(役割) 画面から操作する場合
Certificates > Self Signed Certificate(check) > "Export"
リンクをクリックします。
ここでパスワードをセットします。
Enter Next
Save Export リンクをクリックすると、鍵のダウンロードを行います。
> save as "My-Tree.pfx
ここで保存したキー(デフォルトでは cert.pfx ) を安全な記憶媒体にパスワードと共に保管します。My-Tree(CApassword).pfx などの名前にしておけば便利でしょう。admin や root のパスワードを記したメモなどと一緒にUSB メモリなどの安全な記憶メディアに厳重に保存します。
万が一、CA オブジェクトのホストサーバーがクラッシュした場合はこのキーファイルとパスワードで復旧します。
-Organation CAの作成-
古い CA Object を削除します。
Delete My-Tree CA.Security
pfx ファイルをインポートします。
Novell Certificate Server > Configure Certificate Server Authority > browse and set "New Destination Server" : "My-Tree CA" > Import
エクスポートしたときのパスワードをセット
Chose "Your-Tree.pfx" and set password when set password ""YourNewSecretPassword" >
作成されました。(たまにプラグインエラーが出ましたが無視)
OK > Next
Next > Finish
ホストサーバーが入れ替わっています
islandcenter.jp
-Keyword-
Novell Netiq eDirectory Identitimanagement Organation CA How to move CA server into another Server iManager
by islandcenter
| 2013-04-18 12:34
| Identity Management
|
Comments(0)
