証明書 / 鍵管理環境で使用できる SSL ライブラリについて

上記以外のサービスを利用する場合は、「第4部 SSLによる暗号化通信」を参照し、関連する章を参照してください。

・ CRL(証明書失効リスト)

CRLは認証局が発行し、その認証局が発行したが無効になった証明書の一覧が含まれています。証明書を無効にする (失効する)のは、秘密鍵が盗まれた場合や、利用資格がなくなった場合、などがあります。

SSL通信で利用する場合には、接続先のサイトやクライアントの証明書が無効になっていないかを確認する場合に参照 されます。

CRLは定期的に発行され、認証局の管理しているWebサーバやディレクトリサーバなどに公開されます。公開方法は、

認証局の運用によって異なるため、認証局に確認してください。なお、証明書の中に公開場所が記載されている場合も あります。

認証局からの配布や、バックアップなどの手段として、PKCS#12データが用いられることがあります。PKCS#12データには、

証明書とそれに対応する秘密鍵と、その証明書の検証に必要な証明書が含まれており、パスワード文字列で暗号化され ています。

証明書/鍵管理環境では、以下のPKCS#12データを移入する(登録する)ことができます。

・ Systemwalker PKI Managerで作成されたPKCS#12データ

・ Interstage証明書環境からscsexppfxコマンドで移出された(取り出された)PKCS#12データ

・ 証明書/鍵管理環境からcmmkpfxコマンドで移出されたPKCS#12データ

また、証明書/鍵管理環境から移出されたPKCS#12データは、以下の環境に移入することができます。

・ Interstage証明書環境(scsimppfxコマンドを利用)

・ 証明書/鍵管理環境(cmentpfxコマンドを利用)

認証局(証明書発行局)

証明書は、認証局(証明書発行局)が発行します。

認証局への証明書取得申請(CSR)に必要な情報やその申請方法、発行された証明書の取得方法、証明書に取り込まれる 情報は、認証局の運用に依存して異なります。そのため、運用開始前に、認証局が公開しているテスト用証明書などを利用し、

証明書/鍵管理環境に登録できるか確認しておくことを推奨します。

なお、本バージョンの証明書/鍵管理環境では、以下の条件を満たす証明書を扱うことができます。

・ X.509またはRFC3280に準拠

・ RSA暗号アルゴリズムを利用し、その鍵長が4096bit以下

・ ハッシュアルゴリズムには下記を利用

－ MD5

－ SHA-1

－ SHA-256

－ SHA-384

－ SHA-512

参考

下記の証明書については、本製品で利用できることを確認済みです。

・ プライベート認証局（社内用など、利用範囲を限定した証明書発行サービス）

－ Systemwalker PKI Managerの発行する証明書

(インターネット/イントラネットで証明書管理を実現する、当社のソフトウェア)

・ パブリック認証局（信頼された第三者として証明書発行サービスを行う認証局）

－ 合同会社シマンテック・ウェブサイトセキュリティ (注) - ^{セキュア・サーバ}ID

- セキュア・サーバID EV(EV SSL証明書)

－ サイバートラスト株式会社 - SureServer for SSL証明書

－ GMOグローバルサイン株式会社

- クイック認証SSLの証明書 - 企業認証SSLの証明書

－ 政府認証基盤（ＧＰＫＩ）

- 「政府認証基盤相互運用性仕様書」で定める証明書プロファイルの証明書 注) デジサート・ジャパン合同会社に社名変更前に発行された証明書を示します。

証明書/鍵管理環境のイメージ

証明書/鍵管理環境は以下のようになっています。

秘密鍵の管理方法

秘密鍵管理では、秘密鍵をスロット、トークンの概念で扱います。

スロットは暗号装置を装着する物理的な口を抽象化したものであり、トークンとはスロットに装着する暗号装置を抽象化し たものです。

1つのスロットには1つのトークンが割り当てられますが、1つのトークンには複数の秘密鍵を登録できます。

このスロット、トークン、秘密鍵の関係を以下に示します。

スロットの情報を処理する操作にはスロットパスワードが、トークンの情報を処理する操作には、SO-PIN、またはユーザPINが 必要であり、それぞれスロットの生成時、トークンの生成時に設定されます。なお、SO-PINは、設定だけであり通常の運用では 使用しません。

ユーザPINは、トークン内の秘密鍵にアクセスする際(cmmakecsrコマンドで秘密鍵を生成する場合やSSL通信を行うために 秘密鍵を使用するときに必要となる認証のための情報です。なお、ユーザPINはトークン単位で存在するため、1つのトー クンに複数の秘密鍵が登録されている場合には、1つのユーザPINで複数の秘密鍵情報にアクセスできることになります。

スロット、トークンに関するパスワードとPINの関係を以下に示します。

種別 個数 主な用途

スロットパスワード スロットに1個 トークンの生成

SO-PIN トークンに1個 －

ユーザPIN トークンに1個 秘密鍵アクセス (cmmakecsr、SSL通信)