C.1 SSL使用時の動作環境設定

IIOPアプリケーションゲートウェイ説明書 (運用管理Webサーバ編)

目次索引

付録C 証明書／鍵管理環境の作成／設定ツール

C.1 SSL使用時の動作環境設定

　本章では、SSL(Secure Socket Layer)使用時の動作環境である証明書／鍵管理環境について説明します。

　SSLを使用するためには、発行局(CA局)証明書、Interstage Proxy証明書、Interstage Proxy秘密鍵が必要となります。

発行局証明書
発行局が発行した証明書を保証するための、発行局自身の証明書です。
Interstage Proxy証明書
サーバ(Interstage Proxy)の身元を保証するために、発行局が発行した証明書です。サーバ(Interstage Proxy)に関する情報と発行局に関する情報が含まれています。Interstage Proxy証明書は、必ずこれを発行した発行局の証明書を組み合わせて使用する必要があります。
Interstage Proxy秘密鍵
Interstage Proxy証明書の中に含まれる、暗号化のための秘密鍵です。

　証明書を作成するためには、証明書サーバ(発行局)が必要です。Interstage Proxyでは、InfoCAという証明書サーバをサポートしています。
　InfoCAについては、InfoCA説明書V1.0を参照してください。

　SSLを使用するための証明書／鍵管理環境設定は、以下の手順で行います。

秘密鍵管理環境の作成と設定
証明書／CRL管理環境の作成と設定
鍵ペア、証明書取得申請書の作成
証明書／CRLの取得
証明書／CRLの登録

　秘密鍵管理環境、証明書／CRL管理環境の作成についての概要を図C.1に示します。

図C.1　証明書／鍵管理環境の作成

C.1.1 秘密鍵管理環境の作成と設定

　秘密鍵管理では、秘密鍵をスロット、トークンの概念で扱います。スロットは暗号装置を装着する物理的な口を抽象化したものであり、トークンとはスロットに装着する暗号装置を抽象化したものです。一つのスロットには一つのトークンが割り当てられますが、一つのトークンには複数の秘密鍵を登録できます。このスロット、トークン、秘密鍵の関係を以下に示します。

図C.2　スロット、トークン、秘密鍵の関係

　スロットの情報を処理する操作にはスロットパスワードが、トークンの情報を処理する操作には、SO-PIN、またはユーザPINが必要であり、それぞれスロットの生成(mksltコマンド)時、トークンの生成(mktknコマンド)時に設定されます。なおSO-PINは、設定だけであり通常の運用では使用しません。
　ユーザPINは、トークン内の秘密鍵にアクセスする際(cmmakecsrコマンドで秘密鍵を生成する場合やcmenterkeyコマンドで秘密鍵を登録する場合)に必要となる認証のための情報です。なおユーザPINはトークン単位で存在するため、一つのトークンに複数の秘密鍵が登録されている場合には、一つのユーザPINで複数の秘密鍵情報にアクセスできることになります。

　表C.1：スロット、トークンに関するパスワードとPIN

種別	個数	主な用途
スロットパスワード	スロットに１個	トークンの生成
SO-PIN	トークンに１個	－
ユーザPIN	トークンに１個	秘密鍵アクセス、 (cmmakecsr,cmenterkey) ユーザPINの変更 (setpin)

　秘密鍵管理環境の作成と設定は、以下のコマンドで行います。

コマンド	説明
mkslt	秘密鍵をトークンとして管理するためのスロットの生成およびスロット情報ディレクトリの初期設定を行います。本コマンドは、秘密鍵管理環境の新規作成時に実行する必要があります。
mktkn	秘密鍵を管理するトークンの初期設定を行います。本コマンドは、秘密鍵管理環境の新規作成時に実行する必要があります。
initkn	トークンの初期化を行います。本コマンドは、秘密鍵管理環境の新規作成時は必要ありません。鍵を削除する等の理由で、トークンを初期状態に戻す場合に使用します。
setpin	トークンのPINの変更を行います。本コマンドは、秘密鍵管理環境の新規作成時は必要ありません。トークンのPIN(SO-PIN、ユーザPIN)が漏洩した等の理由で、PINを変更する場合に使用します。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

C.1.2 証明書／CRL管理環境の作成と設定

　証明書／CRL管理環境の作成と設定は以下のコマンドで行います。

コマンド	説明
cmmkenv	証明書／CRL管理環境の作成を行います。
cmsetenv	証明書／CRL管理環境の設定を行います。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

C.1.3 鍵ペア、証明書取得申請書の作成

　鍵ペア、証明書取得申請書の作成は以下のコマンドで行います。

コマンド	説明
cmmakecsr	秘密鍵の作成、証明書取得申請書の作成を行います。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

C.1.4 証明書／CRLの取得

　証明書／CRLは、証明書サーバから取得します。証明書を取得するには、以下の方法があります。

証明書サーバ(InfoCA)のCA運用管理利用者機能のWebツールを使用して取得する。

　証明書／CRLの取得方法の詳細については、InfoCA説明書V1.0の第４章利用者機能を参照してください。

C.1.5 証明書／CRLの登録

　証明書／CRLおよび鍵の登録は以下のコマンドで行います。

コマンド	説明
cmentcert	取得した証明書を証明書／鍵管理環境へ登録します。
cmentcrl	取得したCRL(証明書失効リスト)を証明書／鍵管理環境へ登録します。
cmenterkey	PKCS#8形式の鍵を証明書／鍵管理環境に登録します。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

C.1.6 証明書／CRLの管理

　利用者の証明書には有効期限があるため、証明書の再取得、再登録が必要となります。そのため、証明書の管理を行うためのコマンドが用意されています。証明書の管理は、以下のコマンドで行います。

コマンド	説明
cmlistcert	証明書／鍵管理環境に登録されている証明書の一覧を表示します。
cmdspcert	指定された証明書の内容を表示します。
cmlistcrl	証明書／鍵管理環境に登録されているCRLの一覧を表示します。
cmrmcert	証明書／鍵管理環境に登録されている証明書を削除します。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

目次索引