| キャッシュ機能説明書 (統合環境設定編) |
|
目次
索引
|
| 第4章 運用前の準備 |
通常のInfoProxyが使用する通信プロトコルではセキュリティが行われていないため、ネットワーク上でデータを第三者に傍受、改ざんされる危険性があります。SSL(Secure Sockets Layer)セキュリティではInfoProxyの通信プロトコル部分をSSLプロトコルに置き換え、これらの危険を回避し、InfoProxy−WWWブラウザ間およびInfoProxy−WWWサーバ間でセキュアな通信を行うことができます。InfoProxyは、SSLバージョン2.0とバージョン3.0をサポートしています。
■SSLによるセキュリティの特長
■ネットワークの危険性
通常、InfoProxyがWWWブラウザまたはWWWサーバと通信する場合、ネットワーク上に流れるデータは第三者に傍受される危険があります。パスワード、秘密文書、クレジットカード番号などの極秘なデータが悪意を持った第三者に傍受されると本人の利害を侵したり、データの改ざんによる情報の混乱を起こしかねます。ネットワークの危険はインターネット上ではもちろんのことイントラネットでも危険はあります。
そのため、InfoProxy−WWWブラウザ間またはInfoProxy−WWWサーバ間の通信にセキュリティをかける必要があります。InfoProxyのセキュリティには、世界で広く使われているNetscape Communications Corporationが提唱するSSLプロトコルを搭載しています。SSLプロトコルは、以下に示す機能を持つセキュリティを実現しています。
■公開鍵暗号方式
平文のデータを暗号化するためには、鍵が必要です。公開鍵暗号方式では、データのやりとりをするために、秘密鍵と公開鍵という2種類の暗号鍵を使います。秘密鍵と公開鍵は常にペアで使用されます。秘密鍵はその名のとおり他人には知られないように秘密に管理し、パスワードで保護されます。公開鍵は平文のデータを暗号化する時に使用され、秘密鍵は暗号データを平文にもどす(この処理を復号化と呼ぶ)ために使用します。
■証明書
証明書とは公開鍵が間違いなく本人(サーバ、WWWブラウザ)のものであることを証明するためのものです。証明書の中には、名前、公開鍵等の情報が格納され、発行局の電子署名が付加されています。
■機密性
ネットワーク上を流れるデータは第三者に傍受される可能性があります。第三者に情報を読まれたくないが、ネットワークを通じて遠隔地の相手同士で通信を行う方法が要求されてきました。そこで、データをある鍵で変換して暗号化したデータ通信を行うことで、第三者が見ても分からない方法が必要になりました。InfoProxyが搭載しているSSLプロトコルでは公開鍵暗号方式を用いてデータを暗号化します。
InfoProxyは、この公開鍵暗号方式を使用してその時の通信だけ有効な鍵(セション鍵)を生成し、その鍵を使用して暗号化を行います。こうすることで第三者にデータを傍受されることを防ぐことができます。
■改ざん検出
ネットワークを流れるデータは、悪意を持った第三者によって改ざんされる可能性があります。暗号化されていてもデータが故意に変更され、送ったデータが本当のデータなのかWWWブラウザはわかりません。そこで、InfoProxyから送ったすべてのデータから電子署名を作成してWWWブラウザにその署名もデータと一緒に送ります。WWWブラウザは受け取ったデータから電子署名を作成し、InfoProxyから受け取った電子署名と一致していれば改ざんはなかったと判断できます。電子署名は、送ったデータが少しでも違っていると大きく変わるようになっていますので、改ざん検出が行えます。
InfoProxy−WWWサーバ間の通信についても同じことが言えます。
■なりすまし防止
公開鍵は、証明書と呼ばれる本人の身元を証明するデータ(本人の名前、メールアドレスなどを含む)の中に格納されます。通信を行う場合、InfoProxyはInfoProxy証明書をWWWブラウザに送ります。しかし、WWWブラウザは、InfoProxy証明書が本当にそのサーバのものなのかわかりません。そこで、第三者的な存在で証明書を発行する機関として発行局(CA局(Certification Authority)とも言う)があります。
InfoProxy証明書の中には発行局の秘密鍵で作った電子署名も含まれるためWWWブラウザは、その電子署名を発行局の公開鍵(実際には発行局の証明書)で復号化することによりInfoProxy証明書がその発行局で発行された証明書と認証します。
またWWWブラウザは、InfoProxy証明書に含まれるサーバの公開鍵で暗号化したデータをサーバに送り、サーバが秘密鍵を使って復号化して通信が確立した場合にサーバが本人であることを認証します。
第三者機関としての発行局が身元を保証することによって、第三者がある本人になりすますことを防止できます。
SSLのバージョン3.0ではクライアント認証の機能を使用し、WWWブラウザのなりすましを防止することができます。また、InfoProxyではWWWブラウザの証明書の内容によりアクセスを制限することができます。
InfoProxy−WWWサーバ間の通信についても同じことが言えます。
■CRL
CRL(Certificate Revocation List)とは、無効となった証明書のリストです。CRLの中には発行者名、発行時刻、無効証明書のリスト等の情報が含まれています。
SSLを使用するためには、InfoProxy、WWWブラウザ、WWWサーバそれぞれで環境設定が必要になります。以下にその手順を示します。
SSLを使用するための動作環境の設定は、以下の手順で行います。
|
↓ |
|
↓ |
|
↓ |
(1) 証明書/鍵管理環境の作成と設定
SSL使用時の動作環境である証明書/鍵管理環境を作成します。
管理ディレクトリの作成
証明書、秘密鍵管理に必要な管理ディレクトリを作成します。
詳細については“C.2 証明書/鍵管理環境の作成/設定コマンド”を参照してください。
秘密鍵管理環境の作成と設定
秘密鍵の管理に必要な秘密鍵管理環境の作成と設定を行います。
詳細については“C.1 SSL使用時の動作環境設定”を参照してください。
証明書/CRL管理環境の作成と設定
証明書およびCRLの管理に必要な証明書/CRL管理環境の作成と設定を行います。
日本ベリサイン株式会社または日本認証サービス株式会社が発行する証明書を使用する場合は、日本ベリサイン株式会社および日本認証サービス株式会社のルート証明書(発行局証明書)の登録を行います。
詳細については“C.1 SSL使用時の動作環境設定”を参照してください。
証明書および秘密鍵の取得/登録方法は以下のとおりです。
InfoProxyで、証明書発行局が発行した証明書を使用するには、証明書発行局に証明書の発行を依頼し、証明書を取得する必要があります。
InfoProxyで使用できる証明書は、InfoCAまたはSystemWalker/PkiMGRで発行する証明書、および日本ベリサイン株式会社、日本認証サービス株式会社が発行する証明書です。
証明書発行局から証明書を取得する手順は以下のとおりです。
図4.10 証明書取得手順
(手順1)証明書取得申請書の作成
証明書発行局へ証明書の発行を依頼するための、証明書取得申請書を作成します。
証明書取得申請書の作成は、証明書/CRL取得申請コマンドで行います。コマンドに、InfoProxy証明書の情報、InfoProxy秘密鍵を登録するトークンのトークンラベルおよびユーザPINを指定することにより、証明書取得申請書の作成が行われ、同時に公開鍵と秘密鍵の鍵ペアが作成されます。
ここで指定したトークンラベルは、SSL制御設定のトークンラベル入力項目に設定します。また、ユーザPINはSSL制御設定のユーザPIN入力項目で使用します。
証明書/CRL取得申請コマンドの詳細は、“C.2.3 証明書/CRL取得申請コマンド”を参照してください。
(手順2)証明書の発行依頼
証明書取得申請書を証明書発行局へ送り、InfoProxy証明書の発行を依頼します。
依頼方法は証明書発行局に従ってください。
(手順3)証明書の取得
証明書発行局により署名された証明書を取得します。
取得方法は証明書発行局に従ってください。
[注意]
発行局証明書、InfoProxy証明書を証明書/CRL管理環境に登録します。
証明書の登録は、証明書/CRL管理コマンドで行います。証明書/CRL管理コマンドに、証明書を識別するためのニックネームを指定することにより、証明書が証明書/CRL管理環境に登録されます。
ここで指定したInfoProxy証明書のニックネームは、SSL制御設定のInfoProxy証明書のニックネーム入力項目に設定します。
証明書/CRL管理コマンドの詳細は、“C.2.4 証明書/CRL管理コマンド”を参照してください。
InfoProxyのSSL代理中継機能で中継を行うための環境情報を設定します。
InfoProxyのSSL環境設定の詳細は、“9 SSL環境設定”を参照してください。
証明書発行局によって発行されたInfoProxy証明書を使用してWWWブラウザとSSLを使用した通信を行うためには、InfoProxy証明書を承認した発行局の証明書をWWWブラウザに登録する必要があります。登録方法は証明書発行局に従ってください。
[注意]
SSLバージョン3.0を使用してクライアント認証をするためには、WWWブラウザにクライアント証明書が必要です。また、そのクライアント証明書を発行したCA局の発行局証明書を証明書/CRL管理環境に登録する必要があります。
クライアント証明書は、証明書発行局に証明書の発行を依頼し、取得します。InfoProxyで使用できるクライアント証明書は、当社のインターネット/イントラネットで証明書管理を実現するソフトウェアであるInfoCAまたはSystemWalker/PkiMGRで発行する証明書、および日本ベリサイン株式会社、日本認証サービス株式会社が発行する証明書です。
InfoCAでのクライアント証明書の発行については“InfoCA説明書”を参照してください。SystemWalker/PkiMGRでのクライアント証明書の発行については“SystemWalker/PkiMGR説明書”を参照してください。
日本ベリサイン株式会社でのクライアント証明書の発行については、日本ベリサイン株式会社にお問い合わせください。
日本認証サービス株式会社でのクライアント証明書の発行については、日本認証サービス株式会社にお問い合わせください。
図4.11 クライアント証明書の取得
[注意]
クライアント証明書の発行局の証明書(クライアントCA証明書)を証明書/CRL管理環境に登録します。
クライアントCA証明書の登録については、“C.2.4 証明書/CRL管理コマンド”を参照してください。
日本ベリサイン株式会社または日本認証サービス株式会社が発行するクライアント証明書を使用する場合は、日本ベリサイン株式会社および日本認証サービス株式会社のルート証明書(発行局証明書)を登録します。日本ベリサイン株式会社および日本認証サービス株式会社のルート証明書(発行局証明書)の登録については、“C.2.2 証明書/CRL管理環境の作成/設定コマンド”を参照してください。
SSLバージョン2.0または3.0を使用してサーバ認証をするためには、WWWサーバにサイト証明書が必要です。また、そのサイト証明書を発行したCA局の発行局証明書を証明書/CRL管理環境に登録する必要があります。
サイト証明書は、証明書発行局に証明書の発行を依頼し、取得します。InfoProxyで使用できるサイト証明書は、当社のインターネット/イントラネットで証明書管理を実現するソフトウェアであるInfoCAまたはSystemWalker/PkiMGRで発行する証明書、および日本ベリサイン株式会社、日本認証サービス株式会社が発行する証明書です。
InfoCAでのサイト証明書の発行については“InfoCA説明書”を参照してください。SystemWalker/PkiMGRでのサイト証明書の発行については“SystemWalker/PkiMGR説明書”を参照してください。
日本ベリサイン株式会社でのサイト証明書の発行については、日本ベリサイン株式会社にお問い合わせください。
日本認証サービス株式会社でのサイト証明書の発行については、日本認証サービス株式会社にお問い合わせください。
図4.12 サイト証明書の取得
[注意]
サイト証明書の発行局の証明書(発行局証明書)を証明書/CRL管理環境に登録します。
発行局証明書の登録については、“C.2.4 証明書/CRL管理コマンド”を参照してください。
日本ベリサイン株式会社または日本認証サービス株式会社が発行するサイト証明書を使用する場合は、日本ベリサイン株式会社および日本認証サービス株式会社のルート証明書(発行局証明書)を登録します。日本ベリサイン株式会社および日本認証サービス株式会社のルート証明書(発行局証明書)の登録については、“C.2.2 証明書/CRL管理環境の作成/設定コマンド”を参照してください。
InfoCAまたはSystemWalker/PkiMGRを使用してInfoProxy証明書を発行する場合、WWWサーバに証明書を発行する場合と同様の手順で証明書を発行してください。ただし、証明書タイプは“標準”を選択してください。また、作成した証明書、および発行局証明書を退避する場合には、DER形式(バイナリ)を選択して退避してください。ただし、SystemWalker/PkiMGRを使用して、項目に日本語を含む証明書を作成した場合はPKCS#12形式で退避してください。
InfoCAまたはSystemWalker/PkiMGRを使用して発行局証明書(CA証明書)、InfoProxy証明書、WWWサーバのサイト証明書、WWWブラウザのクライアント証明書を作成する場合、WWWサーバやWWWブラウザによっては、作成する証明書の内容によって、登録や表示が正しく行えなかったり、通信時に不具合が発生することがあるため、以下の条件で証明書を作成してください。
本製品の以前のバージョンで構築されたSSL環境はそのまま使用することができます。
なお、以下の条件に該当する場合は、SSL環境の移行作業が必要です。
(1)既存の資源(証明書、秘密鍵)を取り出す
資源の取出しは、pfxデータ作成コマンドで行います。
コマンドの詳細は、“C.2.5 pfxデータ作成/登録コマンド”を参照してください。
pfxデータ作成コマンドでは、クライアントCA証明書、CRLの取出しはできません。
クライアントCA証明書、CRLが必要な場合は、通常の方法で登録しなおしてください。
(2)管理フォルダを作成する
証明書、秘密鍵管理に必要なフォルダを作成します。
詳細については、“C.2 証明書/鍵管理環境の作成/設定コマンド”を参照してください。
(3)秘密鍵管理環境の作成と設定
秘密鍵の管理に必要な秘密鍵管理環境の作成と設定を行います。
詳細については、“C.1 SSL使用時の動作環境設定”を参照してください。
(4)証明書/CRL管理環境の作成
証明書およびCRLの管理に必要な証明書/CRL管理環境の作成と設定を行います。
日本ベリサイン株式会社または日本認証サービス株式会社の証明書を使用する場合は、日本ベリサイン株式会社および日本認証サービス株式会社のルート証明書(CA証明書)の登録を行います。
詳細については、“C.1 SSL使用時の動作環境設定”を参照してください。
(5)(1)で取り出した資源を新規に作成した管理環境に登録する
資源の登録は、暗号化データ登録コマンドで行います。
コマンドの詳細は、“C.2.5 pfxデータ作成/登録コマンド”を参照してください。
(6)SSL環境設定を行う
SSL環境の移行後、“SSL環境設定”画面で設定を行ってください。
詳細については、“11.11.1 SSL環境設定の設定項目”を参照してください。
有効期限が切れると、運用や機能が停止してしまう場合があります。有効期限が切れる前に、事前に新しい証明書を入手し、登録しておく必要があります。
新しい証明書を入手したら、使用する証明書を新しい証明書に切りかえるのが一般的な運用です。その際、今まで使用していた古い証明書は、削除せずにそのまま残しておいてください。
手順は、“4.2.3 動作環境の設定”を再度実行することになります。
|
目次
索引
|