セキュリティー・トラブルシューティング・チェックリスト

TLS または SSL のトラブルシューティングの手順
SSH トラブルシューティング手順
COMM662、COMM663、または COMM666 エラー・メッセージが表示されますか?
IKEYMAN の開始時にドライバーがロードされる場合にレジストリーを編集していますか?
IKEYMAN で 2 つのスマート・カード・リーダーを使用していますか
クライアント証明書の追加を検討
スマート・カードで自己署名証明書を作成することを検討
z/OS ユーティリティー gskkyman を使用してエクスポートされた証明書が無効であったり壊れていたりするようですか
チェコ語に関して Keytool.exe を実行するとエラーが発生しますか?
AIX での証明書管理ユーティリティー制限を検討
他のセキュリティー製品と Z and I Emulator for Web の併用の検討

TLS または SSL のセキュリティー・トラブルシューティングの手順
サーバーへの TLS/SSL 接続を確立できない場合は、次のことを確認します。
1. 使用する証明書の種類は?
  - 自己署名
  - CA
2. 証明書の保管場所は (例えば、サーバーの鍵リング内ですか)?
3. 証明書を Z and I Emulator for Web サーバーの鍵リング・データベースに追加しましたか? コマンド・プロンプトから keyrng コマンドを発行します。構文は次のとおりです。
  keyrng x connect server_name:port_number ftp
  
  各部の意味は以下のとおりです。
  - x は総称クラス名です。
  - server_name は、Z and I Emulator for Web サーバーのホスト名です。
  - port_number は、サーバーが listen しているポートです。FTP 以外の接続の場合、デフォルトは 443 です。FTP 接続の場合、デフォルトは 990 です。
  - ftp は、FTP サーバーに接続するように指示します。
  パスワード・プロンプトで Enter を押します。サーバーの鍵リング・データベースにある証明書がすべてリストで表示されます。
4. データベースのパスワードの有効期限が切れていないことと、パスワードが隠されていることを確認します。
5. 証明書を追加した場合は、証明書の有効日付を確認して、証明書の有効期限が切れているかどうかを判断します。
6. 証明書がまだ有効である場合は、証明書を Z and I Emulator for Web サーバー鍵リングに追加します。サービス・マネージャーを停止して再始動します。
7. クライアントからアクセスできるように証明書をクライアント鍵リングに追加します。
8. keyrng ユーティリティーを使用して、証明書と有効日付が正しいことを確認します。以下に例を示します。
```
keyrng CustomizedCAs verify
```
9. keyrng コマンドを使用して、SSL ポート 12173 経由でサーバーに接続します。以下に例を示します。
```
keyrng x connect servername:12173 
```
10. SSL ポート (12173 など) 経由でサーバーに接続するように、クライアント上の TLS/SSL セッションを構成します。
11. Z and I Emulator for Web クライアントを除去したり、一時インターネット・ファイルを削除したりしてから、再試行します。一時インターネット・ファイルを削除すると、現行 CustomizedCAs.class が除去されます。
12. 可能であれば、接続を試みて接続を確認します。(トラブルシューティングのヒントについては、『クライアントが接続に失敗しましたか?』を参照してください。)
13. 自己署名証明書を使用する場合は、 CustomizedCAs.class が \zieforweb\ZIEWeb ディレクトリーにあることを確認します。自己署名証明書、または無名の CA によって発行された証明書を使用する場合は、証明書を抽出して CustomizedCAs.class ファイルに組み込みます。このファイルは Z and I Emulator for Web パブリッシュ・ディレクトリーにあり、クライアントがこのファイルにアクセスできるようになっています。このファイルは、Z and I Emulator for Web クライアントがダウンロードされるたびにダウンロードされます。
14. リダイレクターで SSL に関する問題が発生する場合は、Z and I Emulator for Web サーバー鍵データベース、 CustomizedCAs.class が作成されていて、Z and I Emulator for Web リダイレクターが実行されているコンピューター上に存在していることを確認します。詳しくは、『リダイレクター・トラブルシューティング・チェックリスト』を参照してください。
SSH トラブルシューティング手順
サーバーへの SSH 接続を確立できない場合は、以下のことを確認してください。
1. サーバーのアドレスとポート番号が正しいことを確認します。SSH サーバーの標準ポート番号は 22 ですが、別の番号になっている可能性もあります。
2. クライアントにおける JVM レベルを確認します。Z and I Emulator for Web の SSH 機能には、Java Cryptography Extension (JCE) を搭載した Java 2 JVM が必要です。これは、クライアント・サイドで JDK 1.4 以降の JVM に組み込まれています。古い JVM (例えば、JCE がない JDK 1.1 または JDK 1.3 レベルの JVM) を使用している場合は、JVM を JDK 1.4 レベルにアップグレードしてください。
3. SSH バージョン 2 プロトコルがサーバーで使用可能になっていることを確認します。古い SSH サーバーでサポートされるのは SSH バージョン 1.x プロトコルのみです。Z and I Emulator for Web はこのプロトコルを認識しません。
4. 公開鍵認証を有効にしている場合は無効にして、パスワード認証のみを使用してみます。これは、公開鍵認証の構成がより複雑であり、エラーを招きやすいためです。
5. パスワード認証が機能する場合は、公開鍵認証用の構成を再確認します。多くの場合、ファイル許可など、サーバー上の構成が正しくありません。手順は SSH サーバーによって異なります。詳しくは、ご使用の SSH サーバーの資料を参照してください。
6. 公開鍵認証に使用される秘密鍵と公開鍵のペアは各クライアントのファイル・システムに保管されます。3 つ以上のクライアントから公開鍵認証を使用する必要がある場合は、鍵ストア・ファイル (通常は、ユーザーのホーム・ディレクトリーにある .keystore ファイル) を他のマシンにコピーする必要があります。
7. 多くの SSH サーバーには、独自のデバッグ・モードがあります。問題を特定することが困難な場合は、デバッグ・モードを使用することをお勧めします。詳しくは、ご使用の SSH サーバーの資料を参照してください。
COMM662、COMM663、または COMM666 エラー・メッセージが表示されますか?
詳しくは、以下の COMM エラー・メッセージを参照してください。
1. COMM662: ホストのサイト証明書の署名者証明書が、Z and I Emulator for Web サーバー上の CustomizedCAs.class に追加されていません。このエラーは、自己署名証明書を使用していて、zieweb 以外のパスワードを指定した場合に発生することがあります。
2. COMM663: サーバー上の証明書で、そのインターネット名と一致しない名前が使用されることがあります。
3. COMM666: 証明書の有効期限が切れている可能性があります。
IKEYMAN の開始時にドライバーがロードされる場合にレジストリーを編集
Windows 2000 上の Z and I Emulator for Web サーバーで IKEYMAN を起動し、その起動中に slbck.dll をロードすると、エラー・メッセージが表示されます。Schlumberger スマート・カード・リーダーを最初にインストールして、次にアンインストールする必要があります。Schlumberger のエントリーがいくつかレジストリーに残っている可能性があります。このメッセージが表示されないようにするには、ユーザーはレジストリーからすべての Schlumberger エントリーを消去するか、または Z and I Emulator for Web でファイルを編集する必要があります。

スマート・カードにアクセスする前に、追加の構成が必要となることがあります。Z and I Emulator for Web は、インストール時に、スマート・カードがシステムに存在するかどうかを判別します。現時点で Z and I Emulator for Web で認識されるのは、IBM セキュリティー・カード、および Cryptoflex Security Kit V3.0c と共にインストールされる Schlumberger Reflex リーダーです。

Z and I Emulator for Web で IBM セキュリティー・カードが認識された場合は、次の行がプロパティー・ファイルに記載されています。
```
DEFAULT_CRYPTOGRAPHIC_MODULE=w32pk2ig.dll
```
Z and I Emulator for Web で Schlumberger カードが認識された場合は、次のような行がプロパティー・ファイルに記載されています。
```
DEFAULT_CRYPTOGRAPHIC_MODULE=C:Program FilesSchlumbergerSmart Cards and TerminalsCommon Filesslbck.dll
```
別のセキュリティー装置が dll を使用して PKCS11 インターフェースを実装する場合は、ikminit_hod.properties ファイルで dll の名前と場所を変更することにより、その装置をテストできます。

システムからセキュリティー装置が除去された場合は、から起動時に次のエラーが報告されます。
```
暗号トークンの初期化に失敗しました。
```
このエラーが表示されないようにするには、ikminit_hod.properties ファイルから DEFAULT_CRYPTOGRAPHIC_MODULE ステートメントを除去します。
IKEYMAN で 2 つのスマート・カード・リーダーを使用していますか?
同一コンピューター上に複数のスマート・カードをインストールすると、Z and I Emulator for Web のスマート・カード・サポートが正しく機能しないことがあります。

ご使用のコンピューターに Schlumberger スマート・カードが以前にインストールされていたことがあると、レジストリーに値が残っていることがあります。それが原因で、IBM セキュリティー・カードのドライバーが正しく機能しないことがあります。そのような場合、Z and I Emulator for Web 証明書マネージャーは IBM セキュリティー・カードを開くことができなくなります。

この問題を修正するには、レジストリーのバックアップを作成し、Schlumberger カードのアンインストール後も残る以下のキーをすべて慎重に削除します。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Readers\Schlumberger ...
- HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Cryptography¥Calais¥SmartCards¥Schlumberger ...
- HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Cryptography¥Defaults¥Provider¥Schlumberger ...
- HKEY_LOCAL_MACHINESOFTWARESchlumber ...
クライアント証明書の追加を検討
Z and I Emulator for Web クライアントが、クライアント証明書を要求する SSL サーバー (クライアント認証モードの Communications Server for Windows NT、Communications Server for AIX、Communications Server for OS/390 など) に接続すると、Z and I Emulator for Web クライアントが MSCAPI インターフェースを起動して、使用可能なクライアント証明書をすべて要求することがあります。MSCAPI から、登録されているすべての証明書が (その証明書が MSCAPI データベースに完全に保管されているのか、MSCAPI を使用してスマート・カードやサムプリント・リーダーなどのセキュリティー装置に関連付けられているのかに関係なく) 返されます。MSCAPI データベースに現在登録されている証明書のリストは以下の方法で表示できます。
1. Internet Explorer 5.x ブラウザーを開始します。
2. メニュー・バーで「ツール」を選択してから、「インターネットオプション」を選びます。
3. 「インターネットオプション」パネルの上部にある「コンテンツ」タブを選択します。
4. 「コンテンツ」パネルで「証明書」ボタンをクリックします。
5. 「証明書」パネルの上部にある「個人」タブを、まだ選択していなければ選択します。そこにある証明書は、Z and I Emulator for Web セッション構成パネルや「サーバー要求証明書」パネルのドロップダウン・リストに表示されるものです。このリストに含まれていない証明書は、Z and I Emulator for Web でクライアント認証に使用できません。
MSIE によって認識されるスマート・カードやセキュリティー装置は、Z and I Emulator for Web でクライアント認証に使用できます。通常、証明書を入手するには、MSIE ブラウザーで Web ページにアクセスし、Web ページ上でフォームに入力し、新しい証明書をブラウザーのデータベース、またはセキュリティー装置に保管します。

例えば、MSIE ブラウザーに http://freecerts.entrust.com/webcerts/ag_browser_req.htm をロードします。要求された情報を入力して「ステップ 2 に進む (Proceed to Step 2)」を押し、続いて「ステップ 3 に進む (Proceed to Step 3)」を押します。このページの下部にはドロップダウン・リストがあり、証明書を置く場所を指定できます。

「Microsoft Base Cryptographic Provider 1.0」を選択すると、証明書は MSCAPI データベースに配置されます。その証明書にアクセスするために追加のハードウェアは不要です。

「Schlumberger Cryptographic Service Provider」または「Gemplus GemSAFE Card CSP v1.0」を選択すると、証明書はスマート・カードに配置されます。この宛先を選択した場合は、証明書が MSCAPI データベースに配置されたときと同様に、証明書の名前が MSIE の「証明書」ウィンドウに表示されます。ただし、この証明書にアクセスできるのは、証明書のダウンロード先のスマート・カードに接続した場合に限られます。

freecerts.entrust.com から入手した証明書はテスト目的にのみ使用します。証明書をダウンロードした後で、MSIE の「証明書」ウィンドウにアクセスし、「信頼されたルート証明機関」タブをクリックします。Entrust PKI デモンストレーション証明書に対して発行された証明書を見つけるまで、リストをスクロールダウンします。その証明書を強調表示してファイルにエクスポートします。次に、エクスポートしたファイルを、クライアント認証 SSL サーバーの信頼リストに追加します。この構成では、SSL サーバーは Z and I Emulator for Web クライアントから戻される Entrust 証明書を信頼することになります。この演習はテスト目的でのみ使用してください。また、Entrust PKI デモンストレーション証明書は、すべての実動サーバーから除去してください。

スマート・カードで自己署名証明書を作成することを検討

スマート・カードにアクセスする前に、追加の構成が必要となることがあります。Z and I Emulator for Web は、インストール時に、スマート・カードがシステムに存在するかどうかを判別しようとします。現在、認識されるスマート・カードは、IBM セキュリティー・カード、および Cryptoflex Security Kit V3.0c とともにインストールされる Schlumberger Reflex リーダーのみです。

IBM セキュリティー・カードが認識された場合は、次の行がプロパティー・ファイルに示されます。

 DEFAULT_CRYPTOGRAPHIC_MODULE=w32pk2ig.dll

IBM セキュリティー・カードは検出されずに、Schlumberger カードが検出された場合は、次のような行が表示されます。

 DEFAULT_CRYPTOGRAPHIC_MODULE=C:Program FilesSchlumbergerSmart Cards and TerminalsCommon Filesslbck.dll

dll を使用して PKCS11 インターフェースを実装する別のセキュリティー装置がある場合は、ikminit_hod.properties ファイルで dll の名前と場所を変更することにより、その装置をテストできます。スマート・カードをシステムから除去する場合は、これらの行を ikminit_hod.properties から除去する必要があります。

IBM セキュリティー・カードおよび Schlumberger カードの両方で自己署名証明書を作成できます。Schlumberger カードの場合、 .pfx ファイルにある証明書をカードにインポートすることもできます。

自己署名証明書を作成する場合は、証明書の公開部分を抽出 (エクスポートではない) して、証明書を要求する SSL サーバーの信頼リストに追加する必要があります。

自己署名証明書を IBM セキュリティー・カードに作成する場合は、その証明書を MSCAPI に登録する必要があります。これを行うには、GemSAFE Card Details ツールを開始します。このツールはカードを検査し、カードにある証明書が MSCAPI に登録されていないことが判明すると、その証明書を登録するかどうか尋ねてきます。

HCL のテストでは、すべてのリーダーが、すべてのプラットフォーム上で行われるすべての操作をサポートしているわけではありませんでした。どのリーダーがどのプラットフォームでテストされたのかを以下に表で示します。

	Entrust	自己署名	.p12 の追加	Windows 98/NT オペレーティング・システム	Windows 2000 オペレーティング・システム
IBM セキュリティー・カード PCMCIA リーダー	X	X		X
IBM セキュリティー・カード・シリアル・リーダー	X			X
Schlumberger Reflex 20 リーダー	X	X	X	X	X
Schlumberger Reflex 72 リーダー	X	X	X	X
Schlumberger Reflex Lite	X	X	X		X

z/OS ユーティリティー gskkyman を使用してエクスポートされた証明書が無効であったり壊れていたりするようですか
Z and I Emulator for Web とそのユーティリティーは、z/OS ユーティリティー gskkyman でエクスポートされた PKCS12 ファイルを読み取りません。問題は、gskkyman が PKCS12 ファイルに PFX v1 フォーマットを使用するのに対して、Z and I Emulator for Web とそのユーティリティーが PKCS12 ファイルに PFX v3 フォーマットを使用することです。

障害が発生する例を以下に示します。
1. z/OS サーバーでシステム管理者が次の操作を行います。
2. クライアント上でユーザーが次の操作を行います。
3. クライアント上で、3270 ディスプレイ・セッション開始プログラムから次のエラー・メッセージが表示されます。
  Certificate password was incorrect or certificate found at <path of PKCS12 file> was corrupted. (ECL0034)
外部リストの /ol

障害が発生する別のシナリオとして、いずれの Z and I Emulator for Web 証明書ユーティリティーでも証明書を読み取ることができないことが考えられます。

これを解決するには、PKCS12 ファイルをユーザーに送信する前、および PKCS12 ファイルを任意の Z and I Emulator for Web ユーティリティーまたはセッションで使用する前に、PKCS12 ファイルを PFX v3 フォーマットに変換します。フォーマットを変換するには、以下の手順を実行します。

Netscape 4.x または Netscape 6.x ブラウザーがインストールされているワークステーションに証明書をダウンロードします。
Netscape を使用して、PKCS12 ファイルから証明書をインポートします。Netscape は PFX v1 フォーマットを読み取ることができます。Netscape 4.x を使用してファイルをインポートするには、次のようにします。
1. 「Communicator」「ツール (Tools)」「セキュリティー情報 (Security Info)」をクリックします。
2. 「証明書」で「ユーザー」をクリックします。
3. 「証明書のインポート...(Import a Certificate...)」をクリックし、指示に従って PKCS12 ファイルから証明書をインポートします。
内部リストの終わり
Netscape を使用して、証明書を PKCS12 ファイルにエクスポートします。Netscape は、PFX v3 フォーマットで証明書をエクスポートします。Netscape 4.x を使用してファイルをエクスポートするには、次のようにします。
1. 「Communicator」「ツール (Tools)」「セキュリティー情報 (Security Info)」をクリックします。
2. 「証明書」で「ユーザー」をクリックします。
3. インポートした証明書をクリックします。
4. 「証明書のエクスポート...(Export a Certificate...)」をクリックし、指示に従って PKCS12 ファイルに証明書をエクスポートします。
チェコ語に関して Keytool.exe を実行するとエラーが発生しますか?

Keytool.exe は、JRE に組み込まれている Windows 用のバイナリー実行可能ファイルで、Z and I Emulator for Web と共にインストールされます。keytool.exe を実行すると、チェコ語の変換エラーが発生します。

この問題を解決するには、Z and I Emulator for Web サービス・キー Web サイトにある最新の IBM JRE にアップグレードします。

AIX での証明書管理ユーティリティー制限を検討
AIX 上の証明書管理ユーティリティーには JRE 1.1.8 が必要です。JVM 1.3 を実行している場合は、次のエラー・メッセージが表示されます。
スレッド "main" java.lang.VerifyError で例外が発生しました (Exception in thread "main" java.lang.VerifyError)

JRE 1.1.8 がインストールされている AIX 上で証明書管理ユーティリティーを使用するには、"CertificateManagement" スクリプトを実行する前に、JAVA_HOME 環境変数が Java 1.1.8 インストール済み環境を指し示すように設定します。
他のセキュリティー製品と Z and I Emulator for Web の併用の検討
ファイルをロックまたは上書きする他のベンダーのセキュリティー製品 (Netscape の Mission Control など) を使用している場合は、新しいバージョンの Z and I Emulator for Web にアップグレードするときに、編集済みのクライアント構成ファイルが原因で問題が発生することがあります。

例えば、signed.db ファイルがロックまたは上書きされている場合は、前のバージョンの Z and I Emulator for Web の署名証明書が提示されます。その結果、正しくないバージョンの証明書が提示され続けるため、ユーザーがログインしようとするたびに、新しいバージョンの Z and I Emulator for Web アプレットへのアクセスを認可または否認するように求められます。「この決定を記憶する (Remember this decision)」チェック・ボックスを選択しても、効果はありません。他の症状としては、Netscape の Java/Javascript 証明書リストにブランク行や未定義の 16 進数の証明書情報が入ることなどがあります。

これを解決するには、新しいバージョンの Z and I Emulator for Web の署名証明書を使用するために構成を取り込み直す方法についてセキュリティー・プログラムの説明に従い、その後でユーザーに配布します。