サーバー間の接続を保護する

Sametime コミュニティー・サーバー ポート 1516 は、サーバー・アプリケーション (スタンドアロン Mux、Sametime プロキシサーバーなど) からの接続と、ピアの Sametime コミュニティー・サーバー からの接続を受け入れます。Sametime Community Server ポートで TLS を有効または無効にするには、このタスクを実行します。また、このタスクを使用して、listen するアドレスとポートを変更することもできますが、デフォルトのポート番号 1516 を使用することをお勧めします。

追加のオプションのセキュリティー機能

クライアントから証明書を要求

オプションの設定「STSRV_TLS_CLIENT_AUTH」は、サーバーがクライアントからの証明書を必要とするかどうかを指定します。この場合、クライアントはスタンドアロン MUX や Sametime プロキシサーバーなどの Sametime アプリケーションです。この設定は sametime.ini の [Config] セクションに記述します。

クライアント認証は、ポート 1516 で接続を受け入れる場合にクライアント証明書を要求するように Community Server に指示します。Community Server と同じコンピュータ上にあるサーバーコンポーネントは、Community Server と同じ鍵ストアファイルをこの目的のために使用できます。リモートサーバーコンポーネントは、Community Server の鍵ストアファイルのコピーか、Community Server によって信頼された CA (認証局) が署名した証明書が含まれる鍵ストアが必要です。

Community Mux (ポート 1533 でクライアント接続を受け入れる) も同様にクライアント認証を要求するように構成できます。ただし、これは一般的な方法ではありません。既に Sametime クライアントがパスワード (またはトークン) を使用して認証するためです。クライアント認証を要求するように Mux を構成する場合 (これは、このフィールドを [必須] に設定することにより行います)、各クライアントに、Mux によって信頼された CA (認証局) が署名した個人証明書を提供する必要があります。

Sametime コミュニティー・サーバーへの暗号化接続が有効なスタンドアロン Mux が必要な環境では、スタンドアロン Mux サーバーの sametime.ini で同じ手順を実行する必要があります。

証明書に基本制約拡張が含まれていることを確認する

TLS を使用して Sametime コミュニティー・サーバー 上のトラフィックを暗号化する際に、コミュニティー・サーバー は、コミュニティー・サーバー に接続するすべての Sametime サーバーアプリケーションに対して、TLS ハンドシェークの実行時に証明書を提示します。TLS ハンドシェークの一環として Sametime Community Server の証明書の署名者の有効性をサーバーアプリケーションで検証できるようにするには、サーバーアプリケーションが使用するトラストストアにその署名者の証明書が存在している必要があります。サーバー証明書の署名者に属する証明書に基本制限拡張が含まれていることと、cA フラグが TRUE に設定されていることを確認してください。

cA フラグが TRUE に設定されたオプションの基本制限拡張を署名者の証明書に含めることをお勧めします。この拡張により、証明書の所有者が認証局であることが指定されます。この拡張が署名者の証明書に含まれていない場合は、Sametime Community Server の sametime.ini ファイルの [Config] セクションに ST_TLS_TRUST_MANAGER_FACTORY_ALGORITHM フラグを追加してください。このフラグを設定すると、すべてのサーバーアプリケーションが Sametime Community Server に接続できるようになります。

このフラグを追加するには、以下の手順を実行します。