第5章 運用
A.1 S/MIME、SSLを使用するための設定
A.1.1 秘密鍵、証明書の作成
Systemwalker PkiMGR、およびInfoCAを使用して発行する場合に、各機能で 必要な秘密鍵と証明書を以下に示します。
Systemwalker PkiMGRを使用して発行する場合(運用モデルの場合)
対象システム 機能 必要な証明書/秘密鍵 ファイル
形式 運用管理サーバの証明書のCA局証明書 DER 運用管理サーバの証明書、および秘密 鍵
PKCS#12
業務サーバの証明書 DER
運用管理サーバ S/MIMEを使用したイ ベント監視
SSLを使用した認証、
および通信データの
暗号化 業務サーバの証明書のCA局証明書(※) DER 業務サーバの証明書のCA局証明書 DER 業務サーバの証明書、および秘密鍵 PKCS#12 運用管理サーバの証明書 DER 業務サーバ S/MIMEを使用したイ
ベント監視
SSLを使用した認証、
および通信データの 暗号化
運用管理サーバの証明書のCA局証明書
(※)
DER クライアント 資源配付クライアン
トのSSLによる認証
業務サーバの証明書のCA局証明書 DER
※:業務サーバと運用管理サーバの証明書のCA局証明書が異なる場合に必要
Systemwalker Centric Managerでは、自分の証明書として登録できる 証明書は、1台のサーバ(クライアント)に1つです。上記の複数の機能 を使用する場合は、自システムの証明書として、同じ証明書を使用して ください。
Systemwalker PkiMGRの詳細は、“Systemwalker PkiMGR 説明書”を参 照してください。
SystemWalker/CentricMGR V5.0L20、5.1以前と混在しない環境で使用 する場合
SystemWalker/CentricMGR V5.0L20 ( 以 降 V5.0L20 ) 以 前 、 ま た は SystemWalker/CentricMGR 5.1(以降、5.1)以前と混在しない環境で、証明書 を使用する場合は、以下の手順で作成してください。
CA局作成時の注意事項
CA 局 の 初 期 設 定 時 は 、 エ ン コ ー ド 方 法 と し て 、 必 ず
“PrintableString/BMPString”を選択してください。
A.1 S/MIME、SSLを使用するための設定
93 秘密鍵を含んだ証明書、証明書、CA局証明書の発行
秘密鍵を含んだ証明書、証明書、CA局証明書を作成し、ファイルに退避しま す。秘密鍵を含んだ証明書はPKCS#12形式、証明書とCA局証明書はDER形式で発 行します。Systemwalker Centric Managerで使用できる証明書のタイプを以下 に示します。
標準 S/MIME SSLサーバ
1. 秘密鍵を含んだ証明書を発行します。
電子メールアドレスを必ず指定します。発行後、PKCS#12形式でダウ ンロードします。
2. CA局証明書、証明書を取り出します。
Webの証明書管理画面で証明書を検索し、DER形式でダウンロードしま す。
SystemWalker/CentricMGR V5.0L20、5.1以前と混在する環境で使用す る場合
V5.0L20以前、5.1以前と混在する環境で、証明書を使用する場合は、以下の 手順で作成してください。
CA局作成時の注意事項
CA局の初期設定時に、以下の項目に注意してください。
エンコード方法として、必ず“PrintableString/BMPString”を選択し てください。
自己署名証明書のバージョンとして“V1”を選択してください。
秘密鍵、証明書、CA局証明書の発行
V5.0L20、5.1以前では、X.509バージョン3形式の証明書をサポートしていま せん。このため、SystemWalker/CentricMGR V5.0L30(以降、V5.0L30)、およ びSystemWalker/CentricMGR 5.2(以降、5.2)以降の環境で運用する場合では、
発行方法が異なる部分があります。発行方法を以下に示します。
1. 証明書タイプを追加します。
Systemwalker PkiMGRのCA管理機能のWeb画面で、証明書タイプを追加 します。エクステンションが入った証明書は使用できません。したがっ て、エクステンションを含まないタイプを作成します。
a) Systemwalker PkiMGR の [ 証 明 書 タ イ プ 管 理 ] メ ニ ュ ー か ら 、 Systemwalker Centric Manager用の証明書タイプ名を指定します。
“SW”のように任意の値を指定することができます。
b) 認証局鍵識別子(Authority Key Identifier)、所有者鍵識別子
(Subject Key Identifier)などのエクステンションに関するチ ェックボックスは、すべて選択をはずします。
c) [追加]ボタンをクリックし、証明書タイプを追加します。
付録A S/MIME、SSLを使用したデータの暗号化
94
2. 秘密鍵を含んだ証明書を発行します。
電 子 メ ー ル アド レ ス を 必 ず指 定 し ま す 。証 明 書 の タ イプ と し て Systemwalker Centric Manager用に登録した証明書タイプ名を選択して 発行します。発行後、PKCS#12形式でダウンロードします。
3. CA局証明書、証明書を取り出します。
Webの証明書管理画面で証明書を検索し、DER形式でダウンロードしま す。
V5.0L20、および5.1以前から移行する場合、以下の注意が必要です。
- 証明書管理環境を、作成し直す必要があります。
- メッセージデータの送信先サーバが、V5.0L20/5.1以前で、送信 元サーバが、V5.0L30、および5.2以降の場合は、S/MIMEを使用し たイベント監視は使用できません。
InfoCAを使用して発行する場合(運用モデルの場合)
対象 システム
機能 必要な証明書/秘密鍵 ファイル
形式 運用管理サーバの証明書のCA局証明書 DER 運用管理サーバの証明書 DER 運用管理サーバの証明書の秘密鍵 -
業務サーバの証明書 DER
運用管理 サーバ
S/MIMEを使用したイ ベント監視
SSLを使用した認証、
および通信データの
暗号化 業務サーバの証明書のCA局証明書(※) DER 業務サーバの証明書のCA局証明書 DER
業務サーバの証明書 DER
業務サーバの証明書の秘密鍵 - 運用管理サーバの証明書 DER 業務サー
バ
S/MIMEを使用したイ ベント監視
SSLを使用した認証、
および通信データの
暗号化 運用管理サーバの証明書のCA局証明書
(※)
DER クライア
ント
資源配付クライアン トのSSLによる認証
業務サーバの証明書のCA局証明書 DER
※:業務サーバと運用管理サーバの証明書のCA局証明書が異なる場合に必要
以下にInfoCA V1.0L10を使用する場合とInfoCA V1.1を使用する場合の証明 書発行方法を示します。
InfoCA V1.0L10を使用する場合
秘密鍵、証明書を作成し、DOS形式でフロッピーディスクに退避します。証 明書はDER形式で発行します。Systemwalker Centric Managerで使用する証明 書には、必ず電子メールアドレスを入れてください。
A.1 S/MIME、SSLを使用するための設定
95 InfoCA V1.1を使用する場合
V5.0L20、5.1以前では、X.509バージョン3形式の証明書をサポートしていま せん。このため、V5.0L30、および5.2以降の環境で運用する場合と、旧版が混 在する環境で運用する場合では、発行方法が異なる部分があります。
発行方法を以下に示します。InfoCAの詳細は、“InfoCA説明書”を参照して ください。V5.0L30、および5.2以前と混在する環境で使用する場合は、以下の 作業を行います。
1. InfoCAのCA管理機能のWeb画面で、証明書タイプを追加します。証明書 拡張情報が入った証明書は使用できません。したがって、拡張情報を含 まないタイプを作成します。
a) InfoCA の [ 証 明 書 タ イ プ 管 理 ] メ ニ ュ ー か ら 、 Systemwalker Centric Manager用の証明書タイプ名を指定します。“SW”のよう に任意の値を指定することができます。
b) CA 鍵 識 別 子 ( Authority Key Identifier )、 所 有 者 鍵 識 別 子
(Subject Key Identifier)などの証明書拡張情報に関するチェ ックボックスは、すべて選択をはずします。詳細は、“InfoCA説 明書”を参照してください。
c) [追加]ボタンをクリックし、証明書タイプを追加します。
2. 証明書を発行します。
電子メールアドレスを必ず指定します。V5.0L30、および5.2以前と混 在する環境で使用する場合は、証明書のタイプとしてSystemwalker Centric Manager用に登録した証明書タイプ名を選択して発行します。
3. 証明書を取り出します。
Web画面から証明書をダウンロードする場合は、DER形式を選択してく ださい。
4. 秘密鍵を取り出します。
秘密鍵はInfoCAサーバ上にあります。証明書発行時に秘密鍵ファイル として指定したファイルを取り出してください。
V5.0L20、および5.1以前から移行する場合、以下の注意が必要です。
- 証明書管理環境を、作成し直す必要があります。
- メッセージデータの送信先サーバが、V5.0L20/5.1以前で、送信 元サーバが、V5.0L30、および5.2以降の場合は、S/MIMEを使用し たイベント監視は使用できません。
付録A S/MIME、SSLを使用したデータの暗号化
96