パターンにおける各種レベルのセキュリティーごとに、DomainZipFile ファイルのユース・ケースを示します。
DomainZipFile.zip ファイルは Basic Runtime、Basic Runtime Sample、および Advanced Runtime パターンで使用できます。
SSL は、パターン・スクリプト・パッケージを DataPower® アプライアンスに接続する上で必須ではありません。SSL を使用しない場合は、パターンによって作成された DataPower ドメインをカスタマイズするために cli スクリプトを必要としない限り、DomainZipFile.zip ファイルを作成する必要はありません。
この場合、最低でもサーバー認証を使用しないなら、データは暗号化されません。こうすると、クライアントのスクリプティング中にユーザーとパスワードの情報が DataPower に HTTP 接続上で渡されるため、セキュリティー・リスクとなります。それらは、DomainZipFile.zip ファイル内の証明書によって保護されます。
クライアント証明書の妥当性検査を行うように DataPower ホストを構成していない場合は、スクリプト・クライアントと DataPower アプライアンスとの間で相互認証を使用する必要はありません。最低限、サーバー認証の使用が推奨されています。
このトピックのケース・シナリオでは、各種レベルのセキュリティーが扱われます。
本製品は、以下のケース・シナリオをサポートしています。
- ケース 1: SSL は不要
- ケース 2: SSL は不要だが、ドメインのカスタマイズのために cli スクリプトが必要
- ケース 3: スクリプト・クライアントによる DataPower 証明書のサーバー認証が必要
- ケース 4: DataPower アプライアンスによる相互認証が必要
ケース 1: SSL は不要
略述したセキュリティー上の理由により、このオプションは開発シナリオのみで使用することをお勧めします。SSL を使用しない場合は、以下を行います。
SCP_host のパラメーターを Unset
に設定します。Basic Runtime または Advanced Runtime パターンを使用している場合、SCP_host は SOA Policy Gateway 2.0.0.0 - Security パッケージ・スクリプトにあります。Basic Runtime Sample パターンを使用している場合、SCP_host は SOA Policy Gateway 2.0.0.0 スクリプトにあります。これにより、パターン内のスクリプトは、SCP を使用して DomainZipFile.zip ファイルを取得しないように設定されます。
ステップ 1 と同じスクリプト・パッケージで、以下のパラメーターを
Unset
に設定します。
- CLIENT_PUBLIC_KEY_file
- CLIENT_PUBLIC_KEY_password
- パスワードの確認
- CLIENT_PRIVATE_KEY_file
- CLIENT_PRIVATE_KEY_password
- パスワードの確認
ケース 2: SSL は不要だが、ドメインのカスタマイズのために cli スクリプトが必要
略述したセキュリティー上の理由により、このオプションは開発シナリオのみで使用することをお勧めします。SSL を使用しないものの、cli スクリプトが必要な場合は、以下を行います。
SCP_host のパラメーターを Unset
に設定します。Basic または Advanced Runtime パターンを使用している場合、SCP_host は SOA Policy Gateway 2.0.0.0 - Security パッケージ・スクリプトにあります。Basic Runtime Sample パターンを使用している場合、SCP_host は SOA Policy Gateway 2.0.0.0 スクリプトにあります。これにより、パターン内のスクリプトは、SCP を使用して DomainZipFile.zip ファイルを取得しないように設定されます。
ステップ 1 と同じスクリプト・パッケージで、以下のパラメーターを
Unset に設定します。
- CLIENT_PUBLIC_KEY_file
- CLIENT_PUBLIC_KEY_password
- パスワードの確認
- CLIENT_PRIVATE_KEY_file
- CLIENT_PRIVATE_KEY_password
- パスワードの確認
注: SCP_host が Unset
の場合、Basic Runtime および Advanced Runtime パターンで実行する cli スクリプトがない限り、DomainZipFile.zip ファイルは不要です。
使用する cli スクリプト・ファイルを、DomainZipFile.zip ファイルのルートに置きます。
DomainZipFile.zip ファイルの構造の例を以下に示します。
/cli.cli
このファイルは、DataPower Domain スクリプト・パッケージの最後で実行されます。cli.cli は、ファイル名の例です。
ファイル名にスペースを含めることはできません。
ケース 3: スクリプト・クライアントによる DataPower 証明書のサーバー認証が必要
XML Management Interface を保護する DataPower 証明書チェーンの全証明書を含める必要があります。これらを見つけるには、以下のステップを実行します。
XML Management Interface の SSL プロキシー・プロファイルを調べて、暗号プロファイルを見つけます。暗号プロファイルには、XML Management Interface の保護に使用する証明書が含まれる、識別資格情報が入ります。
以下の証明書を DomainZipFile.zip ファイルに追加します。
形式は次のとおりです。
- dataPowerHostName/certificateChainMember1.crt
- dataPowerHostName/certificateChainMember2.pem
- dataPowerHostName/certificateChainMember(n).crt
マルチドメイン・シナリオを使用する場合は、同ファイルに、2 つの異なる
dataPowerHostName ディレクトリーを含め、DataPower 証明書チェーンごとに以下のようなファイルを追加することができます。
- clientCertificate.crt clientKeyFile.key
- dataPowerHostName/certificateChainMember1.crt
- dataPowerHostName/certificateChainMember2.pem
- dataPowerHostName/certificateChainMember(n).crt
- dataPowerHostName2/certificateChainMember1a.crt
- dataPowerHostName2/certificateChainMember2a.pem
- dataPowerHostName2/certificateChainMember2(n).crt
注: DataPower 証明書チェーン・ファイルは、タイプが .crt または .pem で、証明書そのものだけが入っていなければなりません。ここで使用されている .crt または .pem ファイルの名前は例です。ファイル名にスペースを含めることはできません。
オプション: サーバー認証のみを、Basic Runtime および Advanced Runtime パターンによって使用される SOA Policy Gateway 2.0.0.0 - Security パッケージ・スクリプトで、または Basic Runtime Sample パターンの SOA Policy Gateway 2.0.0.0 - Sample スクリプトで必要とする場合は、それらのスクリプトに含まれる以下のパラメーターの値として
Unset
を使用してください。
- CLIENT_PUBLIC_KEY_file
- CLIENT_PUBLIC_KEY_password
- パスワードの確認
- CLIENT_PRIVATE_KEY_file
- CLIENT_PRIVATE_KEY_password
- パスワードの確認
オプション: cli スクリプトが必要な場合は、以下を行います。
使用する cli スクリプト・ファイルを、DomainZipFile.zip ファイルのルートに置きます。
DomainZipFile.zip ファイルの構造の例を以下に示します。
/cli.cli
このファイルは、DataPower Domain スクリプト・パッケージの最後で実行されます。cli.cli は、ファイル名の例です。
ファイル名にスペースを含めることはできません。
ケース 4: DataPower アプライアンスによる相互認証が必要
このケースでは、クライアントと DataPower サーバーが、互いの証明書の妥当性検査を行う必要があります。これが必要になるのは、XML Management Interface の SSL プロキシー・プロファイルで DataPower ホストが、クライアントの証明書を妥当性検査するように構成されている場合のみです。
以下の証明書を DomainZipFile.zip ファイルに追加します。
形式は次のとおりです。
- clientCertificate.crt
- clientKeyFile.key
- dataPowerHostName/certificateChainMember1.crt
- dataPowerHostName/certificateChainMember2.pem
- dataPowerHostName/certificateChainMember(n).crt
- dataPowerHostName2/certificateChainMember1a.crt
- dataPowerHostName2/certificateChainMember2a.pem
- dataPowerHostName2/certificateChainMember2(n).crt
注: DataPower 証明書チェーン・ファイルは、タイプが .crt または .pem で、証明書そのものだけが入っていなければなりません。ここで使用されている .crt または .pem ファイルの名前は例です。ファイル名にスペースを含めることはできません。
クライアント証明書ファイルおよびクライアント鍵ファイルでは、証明書ファイルまたは鍵ファイルのデータを、ファイル内の次のように示された行の前に配置することができます。-----BEGIN
CERTIFICATE-----。
オプション: サーバー認証を、Basic Runtime および Advanced Runtime パターンによって使用される SOA Policy Gateway 2.0.0.0 - Security パッケージ・スクリプトで、または Basic Runtime Sample パターンの SOA Policy Gateway 2.0.0.0 - Sample スクリプトで必要とする場合は、それらのスクリプトに含まれる以下のパラメーターの値として
Unset
を使用してください。
- CLIENT_PUBLIC_KEY_file
- CLIENT_PRIVATE_KEY_file
- CLIENT_PRIVATE_KEY_password
- パスワードの確認
公開鍵ファイルのパスワードがない場合は、以下の値として
Unset
を指定できます。
- CLIENT_PUBLIC_KEY_password
- パスワードの確認
スクリプト・パッケージによって使用される curl コマンドは、ファイル・タイプが .pem であることを前提としているため、--key-type と --cert-type はデフォルトで PEM に設定されます。証明書ファイルおよび鍵ファイルでは、この内容を、特定の証明書ファイルまたは鍵ファイル内の -----BEGIN CERTIFICATE----- の前に配置できます。
オプション: cli スクリプトが必要な場合 (Basic Runtime または Advanced Runtime パターンを使用) は、以下を行います。
使用する cli スクリプト・ファイルを、DomainZipFile.zip ファイルのルートに置きます。
DomainZipFile.zip ファイルの構造の例を以下に示します。
/cli.cli
このファイルは、DataPower Domain スクリプト・パッケージの最後で実行されます。cli.cli は、ファイル名の例です。
ファイル名にスペースを含めることはできません。
ケースを選択することにより、DomainZipFile.zip ファイルを使用または不使用で、適切なレベルのセキュリティーが構成されました。