1.2.2 運用手順

ファイアウォール機能リファレンスマニュアル

目次索引

1.2.2 運用手順

ここでは、証明書運用を行う場合の運用手順と、運用形態ごとに必要な作業について説明します。

証明書申請を作成して証明書を登録する方法と、PKCS#12 を使用して証明書を登録する方法について説明します。 PKCS#12 は、暗号化されたデータ形式ファイルで、CA 証明書、SDFW証明書／ユーザ証明書、および秘密鍵を含むものです。PKCS#12 の作成方法は、"SystemWalker/PkiMGR 使用手引書"を参照してください。

証明書運用環境の設定で使用するコマンドは、システム管理者権限で行ってください。

コマンドの詳細についてはコマンドを参照してください。

■証明書申請を作成して証明書を登録する場合

作業内容	証明書利用システム
作業内容	SDFW	SgCL	SgCO
1. 証明書運用ポリシーの決定
1-1. 証明書運用ポリシーの決定
証明書利用範囲の決定	○	○	○
証明書形式の決定（ユーザ名、証明書識別名など）	○	○	○
2. 証明書運用環境の設定
2-1. 秘密鍵／証明書／CRL管理環境の作成
格納ディレクトリの作成	○	○	○
秘密鍵管理環境の作成 (mkslt／mktkn) or (makeslot／maketoken)	○	○	○
証明書／CRL管理環境の作成及び設定(cmmkenv／cmsetenv)	○	○	○
2-2. 秘密鍵／公開鍵の生成
秘密鍵／公開鍵／証明書取得申請の作成(cmmakecsr)	○	○	○
2-3. 証明書発行申請
証明書申請（CSR）の操作	○	○	○
2-4. 証明書取得
発行局証明書の取得	○	○	○
SDFW 証明書の取得	○	－	－
ユーザ証明書の取得	－	○	○
2-5. 証明書の登録
発行局証明書の登録 (cmentcert)	○	○	○
SDFW 証明書の登録 (cmentcert)	○	－	－
ユーザ証明書の登録 (cmentcert)	－	○	○
2-6. SDFW 証明書環境設定ファイルの編集
環境設定ファイルの編集	○	○	○
ユーザPINの登録 (certpin)	○	－	－
3. 証明書運用環境のメンテナンス
3-1. CRLの取得
CRLの取得	△	△	△
3-2. CRLの登録
CRLの登録 (cmentcrl)	△	△	△
3-3. 証明書の更新
証明書の再登録	○	○	○
3-4. 証明書・鍵の退避
PKCS#12の作成	△	△	△

○：必須

△：運用に応じて

－：対象外

表中のSDFW、SgCL、SgCOは、それぞれ、Interstage Security Director、Safegate client、Safegate 集中管理を意味します。

■PKCS#12を使用して証明書を登録する場合

作業内容	証明書利用システム
作業内容	SDFW	SgCL	SgCO
1. 証明書運用ポリシーの決定
1-1. 証明書運用ポリシーの決定
証明書利用範囲の決定	○	○	○
証明書の形式の決定（ユーザ名、証明書識別名など）	○	○	○
2. SystemWalker／PkiMGR側の設定
2-1. PKCS#12データの作成
PKCS#12データの作成	○	○	○
3. 証明書運用環境の設定
3-1. 秘密鍵／証明書／CRL管理環境の作成
格納ディレクトリの作成	○	○	○
秘密鍵管理環境の作成 (mkslt／mktkn／certpin) or (makeslot／maketoken／certpin)	○	○	○
証明書／CRL管理環境の作成及び設定 (cmmkenv／cmsetenv)	○	○	○
3-2. SDFW証明書環境設定ファイルの編集
環境設定ファイルの編集証明書環境の設定コマンド	○	○	○
ユーザPINの登録証明書環境の設定コマンド (certpin)	○	－	－
3-3. PKCS#12データの取得
SDFW証明書 PKCS#12データの移入	○	－	－
ユーザ証明書 PKCS#12データの移入	－	○	○
3-4. PKCS#12データの登録
PKCS#12データの登録証明書環境の設定コマンド (setpkcs12)	○	○	○
4.証明書運用環境のメンテナンス
4-1. CRLの取得
CRLの取得	△	△	△
4-2. CRLの登録
CRLの登録 (cmentcrl)	△	△	△
4-3. 証明書の更新
証明書の再登録	○	○	○
4-4. 証明書・鍵の退避
PKCS#12の作成	△	△	△

○：必須

△：運用に応じて

－：対象外

表中のSDFW、SgCL、SgCOは、それぞれ、Interstage Security Director、Safegate client、Safegate 集中管理を意味します。

■証明書運用ポリシーの決定

セキュリティ責任者は、どのような運用形態で証明書を利用するかを決定します。ユーザ認証機能で証明書を利用する場合、該当するユーザ情報として以下の情報を事前に決めておきます。

ユーザ名（アカウント名）

Interstage Security Director のユーザ認証機能を使用する際にアクセスユーザを識別するための名前（アカウント名）です。

注
Safegate client で証明書運用を構築する場合、ここで設定したユーザ名を証明書および秘密鍵を格納するトークンラベル、ニックネームに設定する必要があります。

証明書識別名

発行する証明書の CommonName に設定するデータです。

Interstage Security Director では、証明書の所有者を識別するための情報としてCommonName を使用します。

注
証明書発行申請時には、CommonName がユニークな値となるように設定してください。

■証明書運用環境の設定

◆秘密鍵／証明書／CRL 管理環境の作成

証明書を使用するホスト上に、秘密鍵／証明書／CRL を格納するための環境を作成します。

管理ディレクトリの作成

Interstage Security Director／Safegate 集中管理／Safegate client のパッケージをインストールすると、自動的に管理ディレクトリが作成されます。したがって、管理ディレクトリを変更する場合、必要に応じて新たにディレクトリを作成する必要があります。
秘密鍵管理環境の作成

SMEEおよび Interstage Security Director ファイアウォール機能のコマンドを使用し、秘密鍵の管理環境を作成します。
- mksltコマンド（秘密鍵を管理するスロットの作成）
  
  ［必要な情報］：スロット情報ディレクトリ名
  
  スロットパスワード
- mktknコマンド（トークンの生成およびスロットへの組み込み）
  
  ［必要な情報］：スロット情報ディレクトリ名
  
  スロットID
  
  トークンラベル
  
  スロットパスワード
  
  SO-PIN
  
  User-PIN
- 証明書環境の設定コマンド（User-PIN の登録）
  
  ［必要な情報］：User-PIN

注
User-PIN を事前に登録する必要があるのは、Interstage Security Director で証明書を使用する場合のみです。Safegate 集中管理および Safegate client では事前登録は行いません。

証明書／CRL 管理環境の作成および設定

SMEE のコマンドを使用して、証明書／CRL の管理環境を作成します。
- cmmkenvコマンド（証明書／CRL 管理環境の作成）
  
  ［必要な情報］：運用管理ディレクトリ名
  
  証明書管理ディレクトリ名
  
  CRL 管理ディレクトリ名
- cmsetenvコマンド（証明書／CRL 管理環境の設定）
  
  ［必要な情報］：運用管理ディレクトリ名
  
  スロット情報ディレクトリ名
  
  日本語コード系

◆秘密鍵／公開鍵／証明書取得申請書の作成

証明書を使用するホスト上で、秘密鍵、公開鍵および証明書取得申請書（CSR）を作成します。

cmmakecsrコマンド（申請書作成）

［必要な情報］：

運用管理ディレクトリ名

スロット情報ディレクトリ名

出力フォーマット

証明書発行者の情報（Country、CommonName、Organization、OrganizationUnit、EMailAddress など）

トークンラベル

鍵の長さ

申請書の出力ファイル名

◆証明書発行申請

証明書発行局に対して証明書発行申請書（CSR）を送り、証明書の発行を依頼します。

InfoCA に対して証明書の発行依頼をする場合、以下の情報が必要となります。

［必要な情報］：

証明書取得申請書

証明書の有効期間

証明書バージョン

署名アルゴリズム

◆証明書取得

証明書発行局から、署名済みの発行局証明書、および、SDFW証明書／ユーザ証明書を取得します。

取得方法は、証明書発行局の指示に従います。

◆証明書の登録

取得した発行局証明書、および SDFW証明書／ユーザ証明書を、証明書／CRL管理環境に登録します。

証明書の移入

InfoCA からダウンロードした証明書を、以下の方法でInterstage Security Director／Safegate 集中管理／Safegate clientがインストールされている PC へ移入します。

Webブラウザを使用して、InfoCA からローカルディスクにダウンロードする
他のホストにダウンロードした後、ネットワーク経由でファイル転送する
他のホストにダウンロードした後、フロッピーディスクなどの外部媒体を使用する

発行局証明書の登録

発行局証明書が未登録である場合は、最初に発行局証明書を登録します。F3FSSMEEのコマンドを使用して登録してください。

cmentcertコマンド（証明書の登録）

［必要な情報］：

証明書のファイル名

運用管理ディレクトリ名

ニックネーム

SDFW証明書／ユーザ証明書の登録

発行局証明書を登録した後で、SDFW証明書およびユーザ証明書を登録します。SDFW証明書は、IKE ゲートウェイと認証ゲートウェイで共用できます。

cmentcertコマンド（証明書の登録）

［必要な情報］：

証明書のファイル名

運用管理ディレクトリ名

ニックネーム

■SDFW証明書環境設定ファイルの編集

登録した証明書および秘密鍵を Interstage Security Director／Safegate 集中管理／Safegate client のサービスが使用できるように、環境定義ファイルに定義します。以下のコマンドを使用して定義してください。

証明書環境定義ファイル(FWCert)

［必要な情報］：

スロット情報ディレクトリ

運用管理ディレクトリ

証明書管理ディレクトリ

CRL 管理ディレクトリ

トークンラベル

SDFW証明書のニックネーム
certpinコマンド

ユーザ PIN （Interstage Security Director のみ）

■PKCS#12データの作成

SystemWalker/PkiMGR を利用して Interstage Security Director ／Safegate 集中管理／Safegate client の証明書環境を構築する場合、あらかじめ PKCS#12 データを作成しておく必要があります。PKCS#12 の作成方法は、“SystemWalker/PkiMGR 説明書”を参照してください。

■PKCS#12データの取得

Interstage Security Director 運用マシン以外の他の PC 上において、PKCS#12 データをダウンロードします。ダウンロードしたPKCS#12 データを、以下の方法でInterstage Security Director／Safegate 集中管理／Safegate client 運用マシンに移入します。

ネットワーク経由でファイル転送する（ftp）
フロッピーディスクなどの外部媒体を使用する

注
Interstage Security Director がインストールされた PC 上からPKCS#12 データをダウンロードするには、Interstage Security Director から CA局に対するhttps サービスの通過条件を設定する必要があります。

デフォルトのPKCS#12 移入先は以下の通りです。

「Interstage Security Director (Solaris版)」の場合：($PATH)/data/pkcs12 （“pkcs12”は、ファイル名。）
「Interstage Security Director (Windows版)」の場合：($PATH)\data\pkcs12 （“pkcs12”は、ファイル名。）

ここで、PATHは、Interstage Security Director／Safegate 集中管理／Safegate client インストールディレクトリを表します。