サーバーへの TLS/SSL 接続を確立できない場合は、次のことを確認します。
keyrng
コマンドを発行します。構文は次のとおりです。 keyrng x connect server_name:port_number ftp
各部の意味は以下のとおりです。
x
は総称クラス名です。server_name
は、Z and I Emulator for Web サーバーのホスト名です。port_number
は、サーバーが listen しているポートです。FTP 以外の接続の場合、デフォルトは 443 です。FTP 接続の場合、デフォルトは 990 です。 ftp
は、FTP サーバーに接続するように指示します。パスワード・プロンプトで Enter を押します。サーバーの鍵リング・データベースにある証明書がすべてリストで表示されます。
keyrng
ユーティリティーを使用して、証明書と有効日付が正しいことを確認します。以下に例を示します。keyrng CustomizedCAs verify
keyrng
コマンドを使用して、SSL ポート 12173 経由でサーバーに接続します。以下に例を示します。keyrng x connect servername:12173
サーバーへの SSH 接続を確立できない場合は、以下のことを確認してください。
詳しくは、以下の COMM エラー・メッセージを参照してください。
Windows 2000 上の Z and I Emulator for Web サーバーで IKEYMAN を起動し、その起動中に slbck.dll をロードすると、エラー・メッセージが表示されます。Schlumberger スマート・カード・リーダーを最初にインストールして、次にアンインストールする必要があります。Schlumberger のエントリーがいくつかレジストリーに残っている可能性があります。このメッセージが表示されないようにするには、ユーザーはレジストリーからすべての Schlumberger エントリーを消去するか、または Z and I Emulator for Web でファイルを編集する必要があります。
スマート・カードにアクセスする前に、追加の構成が必要となることがあります。Z and I Emulator for Web は、インストール時に、スマート・カードがシステムに存在するかどうかを判別します。現時点で Z and I Emulator for Web で認識されるのは、IBM セキュリティー・カード、および Cryptoflex Security Kit V3.0c と共にインストールされる Schlumberger Reflex リーダーです。
Z and I Emulator for Web で IBM セキュリティー・カードが認識された場合は、次の行がプロパティー・ファイルに記載されています。
DEFAULT_CRYPTOGRAPHIC_MODULE=w32pk2ig.dll
Z and I Emulator for Web で Schlumberger カードが認識された場合は、次のような行がプロパティー・ファイルに記載されています。
DEFAULT_CRYPTOGRAPHIC_MODULE=C:Program FilesSchlumbergerSmart Cards and TerminalsCommon Filesslbck.dll
別のセキュリティー装置が dll を使用して PKCS11 インターフェースを実装する 場合は、ikminit_hod.properties ファイルで dll の名前と場所を変更することにより、その装置をテストできます。
システムからセキュリティー装置が除去された場合は、から起動時に次のエラーが報告されます。
暗号トークンの初期化に失敗しました。
このエラーが表示されないようにするには、ikminit_hod.properties ファイルから DEFAULT_CRYPTOGRAPHIC_MODULE ステートメントを除去します。
同一コンピューター上に複数のスマート・カードをインストールすると、Z and I Emulator for Web のスマート・カード・サポートが正しく機能しないことがあります。
ご使用のコンピューターに Schlumberger スマート・カードが以前にインストールされていたことがあると、レジストリーに値が残っていることがあります。それが原因で、IBM セキュリティー・カードのドライバーが正しく機能しないことがあります。そのような場合、Z and I Emulator for Web 証明書マネージャーは IBM セキュリティー・カードを開くことができなくなります。
この問題を修正するには、レジストリーのバックアップを作成し、Schlumberger カードのアンインストール後も残る 以下のキーをすべて慎重に削除します。
Z and I Emulator for Web クライアントが、クライアント証明書を要求する SSL サーバー (クライアント認証モードの Communications Server for Windows NT、Communications Server for AIX、Communications Server for OS/390 など) に接続すると、Z and I Emulator for Web クライアントが MSCAPI インターフェースを起動して、使用可能なクライアント証明書をすべて要求することがあります。MSCAPI から、登録されているすべての証明書が (その証明書が MSCAPI データベースに完全に保管されているのか、MSCAPI を使用して スマート・カードやサムプリント・リーダーなどのセキュリティー装置に関連付けられているのかに関係なく) 返されます。MSCAPI データベースに現在登録されている証明書のリストは以下の方法で表示できます。
MSIE によって認識されるスマート・カードやセキュリティー装置は、Z and I Emulator for Web でクライアント認証に使用できます。通常、証明書を入手するには、MSIE ブラウザーで Web ページにアクセスし、Web ページ上でフォームに入力し、 新しい証明書をブラウザーのデータベース、またはセキュリティー装置に保管します。
例えば、MSIE ブラウザーに http://freecerts.entrust.com/webcerts/ag_browser_req.htm をロードします。要求された情報を入力して「ステップ 2 に進む (Proceed to Step 2)」を押し、 続いて「ステップ 3 に進む (Proceed to Step 3)」を押します。 このページの下部にはドロップダウン・リストがあり、証明書を置く場所を指定できます。
「Microsoft Base Cryptographic Provider 1.0」を選択すると、証明書は MSCAPI データベースに配置されます。その証明書にアクセスするために追加のハードウェアは不要です。
「Schlumberger Cryptographic Service Provider」または「Gemplus GemSAFE Card CSP v1.0」を選択すると、 証明書はスマート・カードに配置されます。この宛先を選択した場合は、証明書が MSCAPI データベースに配置されたときと同様に、証明書の名前が MSIE の「証明書」ウィンドウに表示されます。ただし、この証明書にアクセスできるのは、証明書のダウンロード先のスマート・カードに接続した場合に限られます。
freecerts.entrust.com から入手した証明書はテスト目的にのみ使用します。証明書をダウンロードした後で、MSIE の「証明書」ウィンドウにアクセスし、「信頼されたルート証明機関」タブをクリックします。Entrust PKI デモンストレーション証明書に対して発行された証明書を見つけるまで、リストをスクロールダウンします。その証明書を強調表示してファイルにエクスポートします。次に、エクスポートしたファイルを、クライアント認証 SSL サーバーの信頼リストに追加します。この構成では、SSL サーバーは Z and I Emulator for Web クライアントから戻される Entrust 証明書を信頼することになります。この演習はテスト目的でのみ使用してください。 また、Entrust PKI デモンストレーション証明書は、すべての実動サーバーから除去してください。
スマート・カードにアクセスする前に、追加の構成が必要となることがあります。Z and I Emulator for Web は、インストール時に、スマート・カードがシステムに存在するかどうかを判別しようとします。現在、認識されるスマート・カードは、IBM セキュリティー・カード、および Cryptoflex Security Kit V3.0c とともに インストールされる Schlumberger Reflex リーダーのみです。
IBM セキュリティー・カードが認識された場合は、次の行がプロパティー・ファイルに示されます。
DEFAULT_CRYPTOGRAPHIC_MODULE=w32pk2ig.dll
IBM セキュリティー・カードは検出されずに、Schlumberger カードが検出された場合は、次のような行が表示されます。
DEFAULT_CRYPTOGRAPHIC_MODULE=C:Program FilesSchlumbergerSmart Cards and TerminalsCommon Filesslbck.dll
dll を使用して PKCS11 インターフェースを実装する別のセキュリティー装置がある場合は、ikminit_hod.properties ファイルで dll の名前と場所を 変更することにより、その装置をテストできます。スマート・カードをシステムから除去する場合は、これらの行を ikminit_hod.properties から除去する必要があります。
IBM セキュリティー・カードおよび Schlumberger カードの両方で自己署名証明書を作成できます。Schlumberger カードの場合、 .pfx ファイルにある証明書をカードにインポートすることもできます。
自己署名証明書を作成する場合は、証明書の公開部分を抽出 (エクスポートではない) して、証明書を要求する SSL サーバーの信頼リストに 追加する必要があります。
自己署名証明書を IBM セキュリティー・カードに作成する場合は、その証明書を MSCAPI に登録する必要があります。これを行うには、GemSAFE Card Details ツールを開始します。このツールはカードを検査し、カードにある証明書が MSCAPI に登録されていないことが判明すると、その証明書を登録するかどうか尋ねてきます。
HCL のテストでは、すべてのリーダーが、すべてのプラットフォーム上で行われるすべての操作をサポートしているわけではありませんでした。どのリーダーがどのプラットフォームでテストされたのかを以下に表で示します。
Entrust | 自己署名 | .p12 の追加 | Windows 98/NT オペレーティング・システム | Windows 2000 オペレーティング・システム | |
---|---|---|---|---|---|
IBM セキュリティー・カード PCMCIA リーダー | X | X | X | ||
IBM セキュリティー・カード・シリアル・リーダー | X | X | |||
Schlumberger Reflex 20 リーダー | X | X | X | X | X |
Schlumberger Reflex 72 リーダー | X | X | X | X | |
Schlumberger Reflex Lite | X | X | X | X |
Z and I Emulator for Web とそのユーティリティーは、z/OS ユーティリティー gskkyman でエクスポートされた PKCS12 ファイルを読み取りません。問題は、gskkyman が PKCS12 ファイルに PFX v1 フォーマットを使用するのに対して、Z and I Emulator for Web とそのユーティリティーが PKCS12 ファイルに PFX v3 フォーマットを使用することです。
障害が発生する例を以下に示します。
Certificate password was incorrect or certificate found at <path
of PKCS12 file> was corrupted. (ECL0034)
障害が発生する別のシナリオとして、いずれの Z and I Emulator for Web 証明書ユーティリティーでも証明書を読み取ることができないことが考えられます。
これを解決するには、PKCS12 ファイルをユーザーに送信する前、および PKCS12 ファイルを任意の Z and I Emulator for Web ユーティリティーまたはセッションで使用する前に、PKCS12 ファイルを PFX v3 フォーマットに変換します。フォーマットを変換するには、以下の手順を実行します。
Keytool.exe は、JRE に組み込まれている Windows 用のバイナリー実行可能ファイルで、Z and I Emulator for Web と共にインストールされます。keytool.exe を実行すると、チェコ語の変換エラーが発生します。
この問題を解決するには、Z and I Emulator for Web サービス・キー Web サイトにある最新の IBM JRE にアップグレードします。
AIX 上の証明書管理ユーティリティーには JRE 1.1.8 が必要です。JVM 1.3 を実行している場合は、次のエラー・メッセージが表示されます。
スレッド "main" java.lang.VerifyError で例外が発生しました (Exception in thread "main" java.lang.VerifyError)
JRE 1.1.8 がインストールされている AIX 上で証明書管理ユーティリティーを使用するには、"CertificateManagement" スクリプトを 実行する前に、JAVA_HOME 環境変数が Java 1.1.8 インストール済み環境を指し示すように設定します。
ファイルをロックまたは上書きする他のベンダーのセキュリティー製品 (Netscape の Mission Control など) を使用している場合は、新しいバージョンの Z and I Emulator for Web にアップグレードするときに、編集済みのクライアント構成ファイルが原因で問題が発生することがあります。
例えば、signed.db ファイルがロックまたは上書きされている場合は、前のバージョンの Z and I Emulator for Web の署名証明書が提示されます。その結果、正しくないバージョンの証明書が提示され続けるため、ユーザーがログインしようとするたびに、新しいバージョンの Z and I Emulator for Web アプレットへのアクセスを認可または否認するように求められます。「この決定を記憶する (Remember this decision)」チェック・ボックスを選択しても、効果はありません。他の症状としては、Netscape の Java/Javascript 証明書リストにブランク行や未定義の 16 進数の証明書情報が入ることなどがあります。
これを解決するには、新しいバージョンの Z and I Emulator for Web の署名証明書を使用するために構成を取り込み直す方法についてセキュリティー・プログラムの説明に従い、その後でユーザーに配布します。