| Interstage Application Server セキュリティシステム運用ガイド |
|
目次
索引
|
| 第3部 SSLによる暗号化通信 | > 第7章 SMEEコマンドによる証明書/鍵管理環境の構築と利用 | > 7.1 証明書/鍵管理環境で使用できるSSLライブラリについて |
SSL(Secure Socket Layer)使用時の動作環境である証明書/鍵管理環境について説明します。
SSLを使用するためには、認証局の証明書(発行局証明書)、サイト証明書、それに対応する秘密鍵が必要となります。また、証明書の有効性を確認するために、CRL(証明書失効リスト)が利用されます。
X.509またはRFC2459に準拠し、RSA鍵が使用されている証明書・CRLが使用できます。
認証局からの配布や、バックアップなどの手段として、PKCS#12データが用いられることがあります。PKCS#12データには、証明書とそれに対応する秘密鍵と、その証明書の検証に必要な証明書が含まれており、パスワード文字列で暗号化されています。
証明書/鍵管理環境では、以下のPKCS#12データを移入する(登録する)ことができます。
また、証明書/鍵管理環境から移出されたPKCS#12データは、以下の環境に移入することができます。
証明書を作成するためには、認証局(証明書発行局)が必要です。
証明書/鍵管理環境では、以下で発行された証明書をサポートしています。
Systemwalker PkiMGRについては、Systemwalker PkiMGRのカタログやマニュアルを参照してください。
上記以外の認証局が発行する証明書については、X.509またはRFC2459に準拠しているものであれば扱うことができると考えられます。しかし、証明書の入手方法も含め、Interstage Application Serverとして動作確認を行っていないため、サポート対象とはしていません。
証明書/鍵管理環境は以下のようになっています。
秘密鍵管理では、秘密鍵をスロット、トークンの概念で扱います。
スロットは暗号装置を装着する物理的な口を抽象化したものであり、トークンとはスロットに装着する暗号装置を抽象化したものです。
1つのスロットには1つのトークンが割り当てられますが、1つのトークンには複数の秘密鍵を登録できます。
このスロット、トークン、秘密鍵の関係を以下に示します。
スロットの情報を処理する操作にはスロットパスワードが、トークンの情報を処理する操作には、SO-PIN、またはユーザPINが必要であり、それぞれスロットの生成時、トークンの生成時に設定されます。なお、SO-PINは、設定だけであり通常の運用では使用しません。
ユーザPINは、トークン内の秘密鍵にアクセスする際(cmmakecsrコマンドで秘密鍵を生成する場合やcmenterkeyコマンドで秘密鍵を登録する場合)に必要となる認証のための情報です。なお、ユーザPINはトークン単位で存在するため、1つのトークンに複数の秘密鍵が登録されている場合には、1つのユーザPINで複数の秘密鍵情報にアクセスできることになります。
スロット、トークンに関するパスワードとPINの関係を以下に示します。
|
種別 |
個数 |
主な用途 |
|---|---|---|
|
スロットパスワード |
スロットに1個 |
トークンの生成 |
|
SO-PIN |
トークンに1個 |
− |
|
ユーザPIN |
トークンに1個 |
秘密鍵アクセス、 |
|
目次
索引
|