| ファイアウォール機能 リファレンスマニュアル |
|
目次
索引
|
| 第1章 証明書の運用(Solaris版/Windows版) | > 1.2 証明書の環境設定 |
証明書運用を行う場合の Interstage Security Director/Safegate 集中管理/Safegate client 上の環境設定方法について説明します。
環境設定で使用するコマンドやメッセージの詳細は、コマンドおよびメッセージを参照してください。また、認証クライアント上での環境設定方法については、認証クライアントに添付されているマニュアルを参照してください。
証明書運用を行う場合、ファイアウォール機能のセットアップなどの環境設定の他に、証明書や秘密鍵を利用するための環境設定が必要になります。以下の手順で環境設定を行います。
Interstage Security Director の環境設定( IKE ゲートウェイの設定)
以下の管理環境を作成する必要があります。
管理ディレクトリの作成
秘密鍵管理環境の作成
証明書/CRL 管理環境の作成および設定
備考CRL( Certificate Revocation List )とは、無効となった証明書のリストです。CRL の中には発行者名、発行時刻、無効証明書のリストなどの情報が含まれています。
以下の作業が必要になります。
鍵ペアおよび証明書取得申請書の作成
証明書/CRL の取得
証明書、CRL および秘密鍵をそれぞれの管理環境に登録します。
なお、環境設定はすべてコマンドで行います。コマンドの詳細は、コマンドを参照してください。
以下に、それぞれの作業の概要および手順について説明します。
発行局証明書、および、SDFW証明書/ユーザ証明書を取得する場合の注意事項については、環境設定の"証明書作成時の注意事項"を参照してください。
以下の作業が必要になります。
新しい鍵ペアおよび証明書取得申請書の作成
新しい証明書取得
古い証明書の削除
新しい証明書の登録
Interstage Security Director の環境設定( IKE ゲートウェイの設定)
以下の管理環境を作成する必要があります。
管理ディレクトリの作成
秘密鍵管理環境の作成
証明書/CRL 管理環境の作成および設定
備考CRL( Certificate Revocation List )とは、無効となった証明書のリストです。CRL の中には発行者名、発行時刻、無効証明書のリストなどの情報が含まれています。
以下の作業が必要になります。
新しい PKCS#12 データの入手
古い証明書の削除
新しい PKCS#12 データの登録
以下に、管理ディレクトリの作成、秘密鍵管理環境の作成および証明書/CRL 管理環境の作成および設定について説明します。
証明書および秘密鍵の管理を行う場合、以下の管理用ディレクトリが必要になります。 これらのディレクトリは、Interstage Security Director/Safegate 集中管理/Safegate client のパッケージインストール時に作成されます。
|
種別 |
初期値 |
|---|---|
|
スロット情報ディレクトリ |
($PATH)/cert/sctldir |
|
運用管理ディレクトリ |
($PATH)/cert/cmidir |
|
証明書管理ディレクトリ |
($PATH)/cert/cmidir/cert |
|
CRL管理ディレクトリ |
($PATH)/cert/cmidir/crl |
ここで、PATHは、Interstage Security Director(/var/opt/FSUNfwipなど)/Safegate 集中管理/Safegate clientインストールディレクトリを表します。
また、「Interstage Security Director (Windows版)」の場合、上記の「/」は、「\」に読み替えてください。
上記ディレクトリを変更する場合は、以下の手順で行ってください。
エクスプローラなどを使用して、必要なディレクトリを作成する。
"証明書環境の設定"コマンドを使用して、管理ディレクトリの設定値を変更する。
注
ディレクトリの作成は、システム管理者の権限で行ってください。
以下に、管理用ディレクトリの構造および概念(スロットおよびトークン)について説明します。
SDFW証明書/ユーザ証明書運用では、以下のディレクトリ環境を利用して証明書および鍵を管理しています。
以下に、それぞれのディレクトリについて説明します。
スロット情報ディレクトリ
スロット情報ディレクトリは、Interstage Security Director/Safegate 集中管理/Safegate client の秘密鍵が登録されるディレクトリです。証明書の登録を行うと、証明書の中のInterstage Security Director/Safegate 集中管理/Safegate client の秘密鍵および秘密鍵の情報がこのディレクトリに格納されます。
運用管理ディレクトリ
運用管理ディレクトリには、証明書の情報を管理する"証明書管理ディレクトリ"および CRL の情報を管理する"CRL 管理ディレクトリ"があります。
Interstage Security Director/Safegate 集中管理/Safegate client の秘密鍵は、スロットとトークンと呼ばれる概念で管理されます。"スロット"とは暗号装置を装着する物理的な口を抽象化したものであり、"トークン"とはスロットに装着する暗号装置を抽象化したものです。Interstage Security Director/Safegate 集中管理/Safegate client の秘密鍵は、トークン内部で管理され、1つのトークンに対して複数の秘密鍵を登録することができます。
以下に、トークンとスロットおよび秘密鍵の関係について示します。
スロットは“スロットパスワード”で保護されていて、スロットの情報を操作する場合(トークンの生成など)に使用されます。また、トークンの情報を操作する場合(秘密鍵にアクセスする場合など)には "SO-PIN" または"ユーザ PIN" が必要になります。SO-PIN は設定時に利用するだけですが、ユーザ PIN は秘密鍵にアクセスするたびに利用されます。また、ユーザ PIN はトークン単位で存在するため、トークンの中に複数の秘密鍵が存在する場合、1つのユーザ PIN で複数の秘密鍵の情報にアクセスできることになります。
以下に、スロット、トークンと SO-PIN およびユーザ PIN の関係について示します。
|
種別 |
数 |
用途 |
|---|---|---|
|
スロットパスワード |
スロットに対して1個 |
スロットの生成(mkslt or makeslot) |
|
SO-PIN |
トークンに対して1個 |
トークンの生成(mktkn or maketoken) |
|
ユーザPIN |
トークンに対して1個 |
秘密鍵・証明書取得申請書の作成(cmmakecsr) |
秘密鍵管理環境の作成と設定は、以下のコマンドで行います。
UTF-8証明書を使用する場合としない場合で、使用するコマンドが異なります。
|
コマンド |
説明 |
|---|---|
|
mkslt |
秘密鍵をトークンとして管理するためのスロットの生成およびスロット情報ディレクトリの初期設定を行います。本コマンドは、秘密鍵管理環境の新規作成時に実行する必要があります。 |
|
mktkn |
秘密鍵を管理するトークンの初期設定を行います。本コマンドは、秘密鍵管理環境の新規作成時に実行する必要があります。 |
|
コマンド |
説明 |
|---|---|
|
makeslot |
秘密鍵をトークンとして管理するためのスロットの生成およびスロット情報ディレクトリの初期設定を行います。本コマンドは、秘密鍵管理環境の新規作成時に実行する必要があります。 |
|
maketoken |
秘密鍵を管理するトークンの初期設定を行います。本コマンドは、秘密鍵管理環境の新規作成時に実行する必要があります。 |
[注意]
"UTF-8証明書を使用する場合"のコマンド(makeslot,maketoken)を使用して作成した秘密鍵管理環境は、UTF-8証明書をサポートしていない本製品の以前のバージョンでは使用できません。
コマンドの詳細は、コマンドを参照してください。
証明書および CRL の管理に必要な証明書/CRL 管理環境の作成と設定が必要です。証明書/CRL管理環境の作成と設定コマンドは、以下の種類があります。
|
コマンド |
説明 |
|---|---|
|
cmmkenv |
証明書/CRL 管理環境の作成を行います。 |
|
cmsetenv |
証明書/CRL 管理環境の設定を行います。 |
コマンドの詳細は、コマンドを参照してください。
SDFW証明書またはユーザ証明書を使用するには、証明書発行局に証明書の発行を依頼し、証明書を取得する必要があります。
以下に、証明書発行局から証明書を取得する手順について説明します。
証明書発行局へ証明書の発行を依頼するための証明書取得申請書(CSR)を作成します。証明書取得申請書の作成は、証明書取得申請コマンドで行います。コマンドに、SDFW証明書/ユーザ証明書の情報、秘密鍵を登録するトークンのトークンラベルおよびユーザ PIN を指定すると、証明書取得申請書の作成および公開鍵/秘密鍵の鍵ペアが作成されます。
鍵ペアおよび証明書取得申請の作成コマンドを以下に示します。
|
コマンド |
説明 |
|---|---|
|
cmmakecsr |
秘密鍵の作成、証明書取得申請書の作成を行います。 |
コマンドの詳細は、コマンドを参照してください。
作成した証明書取得申請書を証明書発行局へ送り、SDFW証明書/ユーザ証明書の発行を依頼します。依頼方法は、証明書発行局の指示に従います。
以下に、InfoCA に対する証明書の発行依頼例を示します。
Web ブラウザを起動し、InfoCA のWeb ページにアクセスします。
あらかじめ作成しておいた証明書取得申請書をエディタなどを使用して表示します。
InfoCA の「鍵・証明書の作成」画面の申請書指定のフィールドに、2)で表示したデータを貼り付けます。
必要に応じて、証明書の有効期間、バージョン、署名アルゴリズムを指定したうえで、証明書の発行を依頼します。
注本製品がインストールされた PC 上で作業する場合は、本製品から 認証局 に対するhttps サービスの通過条件を設定する必要があります。
証明書発行局から署名済の証明書を取得します。取得方法は、証明書発行局の指示に従います。
なお、証明書/CRL は、証明書を取得する証明書サーバ(InfoCA)の CA 運用管理利用者機能のWeb ツールを使用します。詳細は、"InfoCA 説明書"を参照してください。
作成した証明書および発行局証明書を退避する場合、必ず "DER 形式(バイナリ形式)"を選択して退避してください。ただし、SystemWalker/PkiMGRを使用して、項目に日本語を含む証明書を作成した場合はPKCS#12形式で退避してください。
InfoCAまたはSystemWalker/PkiMGRを利用して発行局証明書、および SDFW証明書/ユーザ証明書を取得する場合、取得する証明書の内容によっては、証明書の登録および表示が正しく行えない場合、または通信時に不具合が発生する場合があります。その場合、以下の条件で証明書を取得してください。
各証明書のDNに日本語を入れると、WWWブラウザの種別によっては正しく通信を行うことができない場合があります。使用するWWWブラウザがUTF-8証明書をサポートしているかについては、各製品の開発元等にご確認ください。
SDFW証明書を発行する発行局の証明書の "DN"に、"英字肩書き名(title)"および"電話番号"の項目を指定しないでください。
SDFW証明書を発行する発行局の証明書の"拡張情報"に、"CA 鍵識別子"および"所有者鍵識別子"を指定していない場合、SDFW証明書の拡張情報にも"CA 鍵識別子"および"所有者鍵識別子"を指定しないでください。
SDFW証明書の証明書取得申請書の作成時に、"英字氏名"には Interstage Security Director(ファイアウォール機能)が動作するサーバのホスト名をドメイン名付きの形式で指定してください。
SDFW証明書の証明書取得申請書の作成時に、"電話番号"の項目は指定しないでください。
SystemWalker/PkiMGRで、エンコード方法がUTF8String型のSDFW証明書を作成する場合は、所有者別名の"DNS名"にサーバ名を設定してください。
取得した発行局証明書および SDFW証明書を証明書/CRL管理環境に登録します。これらの証明書の登録は、証明書/CRL および秘密鍵の登録コマンドで行います。
証明書/CRL および秘密鍵の登録コマンドを指定する場合、証明書を識別するための"ニックネーム"を指定する必要があります。
証明書/CRL および秘密鍵の登録コマンドには、以下の種類があります。
|
コマンド |
説明 |
|---|---|
|
cmentcert |
取得した証明書を証明書/鍵管理環境へ登録します。 |
|
cmentcrl |
取得した CRL(証明書失効リスト)を証明書/鍵管理環境へ登録します。 |
|
setpkcs12 |
PKCS#12形式データを解析し、証明書および秘密鍵を証明書管理環境、鍵管理環境へ登録します。 |
コマンドの詳細は、コマンドを参照してください。
[注意]
証明書の登録は、IKEゲートウェイ機能を停止してから行ってください。
証明書の更新は以下の手順で行います。
証明書環境で証明書申請書(CSR)を再作成します。
証明書発行局からDER形式の証明書(有効期限満了前のすべての証明書)を入手します。
古い証明書を cmrmcert コマンドを使用して削除します。
新しい証明書を cmentcert コマンドを使用して登録します。
[注意]
証明書の更新手続きは、"IPsec SA管理デーモン"および"IPsec oakleyデーモン"を停止してから行ってください。
SDFW証明書環境設定ファイルの編集
登録した証明書および秘密鍵を Interstage Security Director/Safegate 集中管理/Safegate client のサービスが使用できるように、環境定義ファイルに定義します。証明書環境の設定コマンドを使用するか、または、証明書環境定義ファイルを編集してください。
証明書環境定義ファイル(FWCert)
[必要な情報]:
スロット情報ディレクトリ
運用管理ディレクトリ
証明書管理ディレクトリ
CRL 管理ディレクトリ
トークンラベル
Interstage Security Director 証明書のニックネーム
― certpinコマンド
ユーザ PIN (Interstage Security Director のみ)
SystemWalker/PkiMGR から PKCS#12 データを取得します。
詳細は、“SystemWalker/PkiMGR 説明書”を参照してください。
取得した PKCS#12 データおよび CRL を証明書/CRL管理環境に登録します。
PKCS#12/CRL の登録コマンドには、以下の種類があります。
|
コマンド |
説明 |
|---|---|
|
setpkcs12 |
取得した PKCS#12 を証明書/鍵管理環境へ登録します。 |
|
cmentcrl |
取得した CRL(証明書失効リスト)を証明書/鍵管理環境へ登録します。 |
コマンドの詳細は、コマンドを参照してください。
注証明書の登録は、IKEゲートウェイ機能を停止してから行ってください。
証明書の更新は以下の手順で行います。
新しいPKCS#12 データを入手します。
古い証明書を cmrmcert コマンドを使用して削除します。
新しい証明書を setpkcs12 コマンドを使用して登録します。
注証明書の更新手続きは、"IPsec SA管理デーモン"および"IPsec oakleyデーモン"を停止してから行ってください。
本製品の以前のバージョンで構築された証明書環境を利用してUTF-8証明書を使用した証明書運用を行う場合は、証明書や秘密鍵などの資源を移行する必要があります。資源の移行は、既存資源からPKCS#12データを作成し、そのデータを登録することにより行います。PKCS#12データの作成と登録は、以下のコマンドで行います。
|
コマンド |
説明 |
|---|---|
|
cmmkpfx |
証明書/秘密鍵を取り出してPKCS#12データを作成します。 |
|
setpkcs12 |
取得した PKCS#12 を証明書/鍵管理環境へ登録します。 |
コマンドの詳細は、コマンドを参照してください。
証明書環境の作成
mkslt, mktkn, cmmkenv, cmsetenv
証明書の登録まで (申請書を作成して証明書を登録する場合)
mkslt, mktkn, cmmkenv, cmsetenv, certpin, cmmakecsr,
(CA局から証明書を入手), cmentcert
証明書の登録まで(PKCS#12を登録する場合)
mkslt, mktkn, cmmkenv, cmsetenv, certpin, setpkcs12
証明書の再登録
cmmakecsr, (CA局から証明書を入手), cmrmcert, cmentcert
|
目次
索引
|