て済みの証明書のみが表示されます。「証明書」ビューには、アクセス可能 かどうかに関わらず、証明書の総数が表示されます。「割り当てられた証明 書」の一覧には、アクセス権限に応じて使用可能な証明書の数が表示されま す。
証明書を変更するには、ユーザーが所属するコンテナに対する「フルアクセス権」
が必要です。
9.3.1 CA 証明書と証明書失効リストをインポートする
CA 証明書を使用している場合は、証明書失効リスト (CRL) を含む、完全な CA 階層
を SafeGuard データベースにインポートしてくださ。CA 証明書をトークンから取得
することはできず、一方、ファイルとして SafeGuard Enterprise データベースにイン ポートできる必要があります。証明書失効リスト (CRL) についても同様です。
1. SafeGuard Management Center を開き、「鍵と証明書」をクリックします。
2. 「証明書」をクリックして、ツールバーで「
CA証明書をインポートする」
アイコンをクリックします。インポートする CA 証明書ファイルを参照し ます。
インポートした証明書が、右側の作業ペインに表示されます。
3. 「証明書」をクリックして、ツールバーで「
CRLのインポート」アイコン をクリックします。インポートする CRL ファイルを参照します。
インポートした CRL が、右側の作業ペインに表示されます。
4. CA と CRL が正しく、また一致することを確認してください。当該のコン
ピュータにユーザーがログオンするには、 CA 証明書が CRL と一致する必 要があります。SafeGuard Enterprise では、この確認は行われません。
9.3.2 自己署名証明書のアルゴリズムを変更する
前提条件:SafeGuard Enterprise のコンポーネントすべてが、バージョン 6.1 である必 要があります。
企業証明書、マシン証明書、セキュリティ担当者証明書、ユーザー証明書など、
SafeGuard Enterprise によって生成される証明書は、初回のインストールにおけるセ キュリティを強化するため「SHA-256ハッシュ アルゴリズムで署名されています。
SafeGuard Enterprise 6 以前からアップグレードする場合、デフォルトで、「SHA-1」
ハッシュアルゴリズムが自己署名証明書に使用されます。アップグレード完了後、
セキュリティを強化するため、手動で「SHA-256」に変更可能です。
注: SafeGuard Enterprise のコンポーネントすべてとエンドポイントが、最新バージョ
ンにアップグレード済みの場合のみ、アルゴリズムを「SHA-256」に変更するよう にしてください。「SHA-256」は、SafeGuard Management Center 6.1 によって SafeGuard
Enterprise 6 エンドポイントが管理されているなど、バージョンが混在した環境には
対応していません。バージョンが混在した環境では、ここで説明するタスクを実行 して、アルゴリズムを「SHA-256」に変更しないようにしてください。
自己署名証明書のアルゴリズムを変更する手順は次のとおりです。
■ ハッシュ アルゴリズムを変更する。
■ Certificate Change Order (CCO) を作成する。
■ CCO を含む構成パッケージを作成する。
■ SafeGuard Enterprise (データベース) サーバーを再起動する。
■ エンドポイントに構成パッケージを配布し、展開する。
自己署名証明書のアルゴリズムを変更する方法は次のとおりです。
1. SafeGuard Management Center で、「ツール
>オプション」を選択します。
2. 「全般」タブの「証明書」で、必要なアルゴリズムを「証明書生成用ハッ シュアルゴリズム」で選択して、「OK」をクリックします。
3. 「証明書」タブの「要求」で、「更新」をクリックします。「企業証明書 の更新」で、CCO の名前を入力し、バックアップのパスも指定します。
P12 ファイル用のパスワードを入力して、確認入力します。コメントを入 力した後 ( 任意 ) 、「作成」をクリックします。
4. いったんこの変更を行うと元に戻すことができず、また、この企業証明書 の更新後に作成する構成パッケージを、すでにインストール済みのエンド ポイントで使用するには、この CCO を含める必要がある、という内容の ダイアログが表示されたら確定します。
5. 更新に成功し、すべての構成パッケージに含める必要のある CCO が作成 された、という内容のダイアログが表示されたら確定します。「
OK」を クリックします。
6. 「ツール」メニューの「構成パッケージ ツール」をクリックします。
7. 必要な種類のエンドポイント構成パッケージを次から選択します。「管理 型クライアント用パッケージ」、「スタンドアロン クライアント用パッ ケージ」。
8. 「構成パッケージの追加」をクリックし、任意の構成パッケージ名を入力 します。
9. 先ほど作成した「
CCO」を選択します。
10. 必要に応じてさらに設定を行います。
11. 構成パッケージ (MSI) の出力パスを指定します。
12. 「構成パッケージの作成」をクリックします。
これで、指定したディレクトリに構成パッケージ (MSI) が作成されまし た。
13. すべての SafeGuard Enterprise (データベース) サーバーを再起動します。
14. このパッケージを SafeGuard Enterprise の管理対象エンドポイントに配布し て、展開します。
SafeGuard Enterprise によって生成される証明書は、変更後のアルゴリズムで署名さ れるようになります。
詳細は、http://www.sophos.com/ja-jp/support/knowledgebase/116791.aspxを参照してく ださい。
9.4 企業証明書とマスター セキュリティ担当者証明書のエク スポート
SafeGuard Enterprise のインストールでは、次の 2つのファイルは重要なため、安全
な場所にバックアップしておく必要があります。
■ SafeGuard データベースに保存された企業証明書。
■ SafeGuard Management Center がインストールされているコンピュータの証明書ス
トアにあるマスター セキュリティ担当者 (MSO) の証明書。
どちらの証明書も、バックアップを目的として .p12 ファイルでエクスポートできま す。インストールを復元するには、関連する企業およびセキュリティ担当者の証明
書を .p12 ファイルとしてインポートし、新しいデータベースの設定時に使用しま
す。このようにすると、データベース全体を復元する必要がありません。
注
:このタスクは、 SafeGuard Management Center の初期設定を終えたら、す ぐに実行することを推奨します。
9.4.1 企業証明書をエクスポートする
注: マスター セキュリティ担当者のみが、バックアップ等の目的のために、企業証 明書をエクスポートできます。
1. SafeGuard Management Center で、「ツール
>オプション」を選択します。
2. 「証明書」タブを選択し、「企業証明書」セクションの「エクスポート」
をクリックします。
3. エクスポートされたファイルを保護するために、パスワードを入力するよ うに求められます。パスワードを入力し、確認のために再入力して、
「
OK」をクリックします。
4. ファイルの名前と保存場所を入力して、「
OK」をクリックします。
企業証明書が .p12 ファイルとして指定した場所にエクスポートされ、復旧作業に使 用できるようになります。
9.4.2 マスター セキュリティ担当者証明書をエクスポートする
SafeGuard Management Center にログオンしている MSO のマスター セキュリティ担 当者証明書をバックアップする方法は次のとおりです。
1. SafeGuard Management Center で、「ツール
>オプション」を選択します。
2. 「証明書」タブを選択し、「
<管理者
>の証明書」セクションで「エクス
ポート」をクリックします。
3. エクスポートされたファイルを保護するために、パスワードを入力するよ うに求められます。パスワードを入力し、確認のために再入力して、
「
OK」をクリックします。
4. ファイルの名前と、エクスポートされるファイルの保存場所を入力し、
「
OK」をクリックします。
現在ログオンしている MSO のマスター セキュリティ担当者証明書が .p12 ファイル として指定した場所にエクスポートされ、復旧作業に使用できるようになります。
9.5 仮想クライアント
注: 仮想クライアントは、SafeGuard フルディスク暗号化と SafeGuard Power-on Authentication (POA)のみで使用できます。
仮想クライアントは、特定の暗号化された鍵ファイルで、必要なユーザー情報を使 用できず、通常はチャレンジ/レスポンスを使用できない場合に (例: SafeGuard POA が破損したとき)、チャレンジ/レスポンスでの復旧に使用することができます。
このような複雑な復旧操作でチャレンジ/レスポンスを有効にするには、仮想クライ アントと呼ばれるファイルを作成します。そして、チャレンジ/レスポンスセッショ ンを開始する前に、このファイルをユーザーに配布する必要があります。仮想クラ イアントを使用すると、エンドポイント コンピュータ上の鍵修復ツールを使って チャレンジ/レスポンスを開始することができます。ユーザーは、必要な鍵の情報を ヘルプデスク担当者に渡してレスポンスコードを入力するだけで、暗号化されたボ リュームに再びアクセスできるようになります。
1つの鍵、または複数の鍵を含む暗号化鍵ファイルを使用することで、復旧が可能 です。
SafeGuard Management Center の「鍵と証明書」ペインで、以下を行うことができま す。
■ 仮想クライアントを作成してエクスポートする。
■ 複数の鍵を含む暗号化された鍵ファイルを作成し、エクスポートする。
■ 仮想クライアントおよびエクスポートされた鍵ファイルを表示、フィルタする。
■ 仮想クライアントを削除する。
9.5.1 仮想クライアントを作成する
仮想クライアント ファイルは、異なる複数のコンピュータで、複数のチャレンジ/
レスポンス セッションに使用できます。