C.1 SSL使用時の動作環境設定

キャッシュ機能説明書 (統合環境設定編)

目次索引

付録C 証明書／鍵管理環境の作成／設定ツール

C.1 SSL使用時の動作環境設定

　本章では、SSL(Secure Sockets Layer)使用時の動作環境である証明書／鍵管理環境について説明します。

　SSLを使用するためには、発行局(CA局)証明書、InfoProxy証明書、InfoProxy秘密鍵が必要となります。

発行局証明書
発行局が発行した証明書を保証するための、発行局自身の証明書です。
InfoProxy証明書
サーバ(InfoProxy)の身元を保証するために、発行局が発行した証明書です。サーバ(InfoProxy)に関する情報と発行局に関する情報が含まれています。InfoProxy証明書は、必ずこれを発行した発行局の証明書を組み合わせて使用する必要があります。
InfoProxy秘密鍵
InfoProxy証明書の中に含まれる、暗号化のための秘密鍵です。

　証明書を作成するためには、証明書サーバ(発行局)が必要です。InfoProxyでは、InfoCAまたはSystemWalker/PkiMGRで発行する証明書、および日本ベリサイン株式会社、日本認証サービス株式会社が発行する証明書をサポートしています。
　InfoCAについては、“InfoCA説明書”を参照してください。SystemWalker/PkiMGRについては、“SystemWalker/PkiMGR説明書”を参照してください。

　SSLを使用するための証明書／鍵管理環境設定は、以下の手順で行います。

秘密鍵管理環境の作成と設定
証明書／CRL管理環境の作成と設定
鍵ペア、証明書取得申請書の作成
証明書／CRLの取得
証明書／CRLの登録

　秘密鍵管理環境、証明書／CRL管理環境の作成についての概要を図C.1に示します。

図C.1　証明書／鍵管理環境の作成

C.1.1 秘密鍵管理環境の作成と設定

　秘密鍵管理では、秘密鍵をスロット、トークンの概念で扱います。スロットは暗号装置を装着する物理的な口を抽象化したものであり、トークンとはスロットに装着する暗号装置を抽象化したものです。一つのスロットには一つのトークンが割り当てられますが、一つのトークンには複数の秘密鍵を登録できます。このスロット、トークン、秘密鍵の関係を以下に示します。

図C.2　スロット、トークン、秘密鍵の関係

　スロットの情報を処理する操作にはスロットパスワードが、トークンの情報を処理する操作には、SO-PIN、またはユーザPINが必要であり、それぞれスロットの生成時、トークンの生成時に設定されます。なおSO-PINは、設定だけであり通常の運用では使用しません。
　ユーザPINは、トークン内の秘密鍵にアクセスする際(cmmakecsrコマンドで秘密鍵を生成する場合)に必要となる認証のための情報です。なおユーザPINはトークン単位で存在するため、一つのトークンに複数の秘密鍵が登録されている場合には、一つのユーザPINで複数の秘密鍵情報にアクセスできることになります。

　表C.1：スロット、トークンに関するパスワードとPIN

種別	個数	主な用途
スロットパスワード	スロットに1個	トークンの生成
SO-PIN	トークンに1個	－
ユーザPIN	トークンに1個	秘密鍵アクセス (cmmakecsr) ユーザPINの変更 (setpin)

　秘密鍵管理環境の作成と設定は、以下のコマンドで行います。
UTF-8証明書を使用する場合としない場合で、使用するコマンドが異なります。

■UTF-8証明書を使用しない場合

コマンド	説明
mkslt	秘密鍵をトークンとして管理するためのスロットの生成およびスロット情報ディレクトリの初期設定を行います。本コマンドは、秘密鍵管理環境の新規作成時に実行する必要があります。
mktkn	秘密鍵を管理するトークンの初期設定を行います。本コマンドは、秘密鍵管理環境の新規作成時に実行する必要があります。

[注意]
Linux版では、mksltコマンドおよびmktknコマンドをサポートしていないため、UTF-8証明書を使用しない場合でも、“UTF-8証明書を使用する場合”のコマンド(makeslot,maketoken)を使用してください。
Solaris10 では、mksltコマンドおよびmktknコマンドをサポートしていないため、UTF-8証明書を使用しない場合でも、“UTF-8証明書を使用する場合”のコマンド(makeslot,maketoken)を使用してください。

■UTF-8証明書を使用する場合

コマンド	説明
makeslot	秘密鍵をトークンとして管理するためのスロットの生成およびスロット情報フォルダの初期設定を行います。本コマンドは、秘密鍵管理環境の新規作成時に実行する必要があります。
maketoken	秘密鍵を管理するトークンの初期設定を行います。本コマンドは、秘密鍵管理環境の新規作成時に実行する必要があります。

[注意]
“UTF-8証明書を使用する場合”のコマンド(makeslot,maketoken)を使用して作成した秘密鍵管理環境は、UTF-8証明書をサポートしていない本製品の以前のバージョンまたはInfoDirectory等では使用できません。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

C.1.2 証明書／CRL管理環境の作成と設定

　証明書／CRL管理環境の作成と設定は以下のコマンドで行います。

コマンド	説明
cmmkenv	証明書／CRL管理環境の作成を行います。
cmsetenv	証明書／CRL管理環境の設定を行います。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

C.1.3 鍵ペア、証明書取得申請書の作成

　鍵ペア、証明書取得申請書の作成は以下のコマンドで行います。

コマンド	説明
cmmakecsr	秘密鍵の作成、証明書取得申請書の作成を行います。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

C.1.4 証明書／CRLの取得

　証明書／CRLは、証明書サーバから取得します。証明書を取得するには、以下の方法があります。

証明書サーバ(InfoCAまたはSystemWalker/PkiMGR)のCA運用管理利用者機能のWebツールを使用して取得する。
詳細については、“InfoCA説明書”、“SystemWalker/PkiMGR”を参照してください。
日本ベリサイン株式会社に証明書／CRLの取得を依頼する。
詳細については、日本ベリサイン株式会社にお問い合わせください。
日本認証サービス株式会社に証明書／CRLの取得を依頼する。
詳細については、日本認証サービス株式会社にお問い合わせください。

C.1.5 証明書／CRLの登録

　証明書／CRLおよび鍵の登録は以下のコマンドで行います。

コマンド	説明
cmentcert	取得した証明書を証明書／鍵管理環境へ登録します。
cmentcrl	取得したCRL(証明書失効リスト)を証明書／鍵管理環境へ登録します。
cmentpfx	pfx(PKCS#12形式)データを解析し、証明書および秘密鍵を証明書管理環境、鍵管理環境へ登録します。UTF-8証明書を登録する場合に使用します。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

C.1.6 証明書／CRLの管理

　利用者の証明書には有効期限があるため、証明書の再取得、再登録が必要となります。そのため、証明書の管理を行うためのコマンドが用意されています。証明書の管理は、以下のコマンドで行います。

コマンド	説明
cmlistcert	証明書／鍵管理環境に登録されている証明書の一覧を表示します。
cmdspcert	指定された証明書の内容を表示します。
cmlistcrl	証明書／鍵管理環境に登録されているCRLの一覧を表示します。
cmrmcert	証明書／鍵管理環境に登録されている証明書を削除します。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

C.1.7 pfxデータの作成と登録

　pfxデータの作成と登録は、以下のコマンドで行います。証明書や秘密鍵などの資源の移行は、既存資源からpfxデータを作成し、そのpfxデータを登録することにより行います。

コマンド	説明
cmmkpfx	証明書／秘密鍵を取り出してpfxデータを作成します。
cmentpfx	pfxデータを登録します。

　コマンドの書式、使用方法については、“C.2 証明書／鍵管理環境の作成／設定コマンド”を参照してください。

[注意]
本製品の以前のバージョンで構築されたSSL環境は、以下の条件に該当する場合に移行が必要です。

UTF-8証明書を使用しないSSL環境からUTF-8証明書を使用するSSL環境に変更する場合
UTF-8証明書を使用しないSSL環境をSolaris 10に移行する場合

目次索引