実行スクリプト取扱説明書

(1)

PKI 相互運用テストスィート

実行スクリプト取扱説明書

コマンド実行方法

Ver s i on 1. 0

情報処理振興事業協会セキュリティセンター

(2)

1 テストスィートの概要... 2

1. 1 テストスィートの構成... 2

1. 2 テストの分類... 2

2 テストスィートの実行... 4

2. 1 テスト実施環境生成スクリプト... 4

2. 2 テスト実行スクリプト... 5

2. 3 実行例... 5

3_GPKI証明書検証サーバを用いたテスト... 7

3. 1_GPKI証明書検証サーバシミュレータ設定スクリプト... 8

3. 2_GPKI証明書検証クライアント... 8

3. 3 実行例... 9

(3)

1 テストスィートの概要

本文書では、テストスイートを利用するにあたり、テスト実施者が起動するコマンドの実行方法を解説する。また、_GPKI証明書検証サーバ（以下_GCVS）を利用したテストの実行方法についても説明する。

1. 1 テストスィートの構成

テストスィートは、大きく分けて以下の２つの要素によって構成されている。

(1) テストを実行するために必要なデータを格納するデータベース（以下、DB と書く）。必要であれば、テストの実行結果を格納することもできる

(2) DB の内容を元にテスト実行に必要なデータ群（証明書、ＣＲＬ、OCSP/GCVS 応答データなど）と、テストを実行するスクリプト群などの各種ファイルを生成するためのスクリプト・プログラム群。

テストの実行には、オンラインモードとオフラインモードの、２つの実行形態がある。オンラインモードでは、事前にテストの実行に必要な証明書、_{CRL 及び} ARL が LDAP サーバ（リポジトリ）に登録された上で、パス検証が行われる。従ってテスト対象プログラムは、パス検証に必要となる証明書、CRL 及び ARL は、リポジトリから取得する。

これに対しオフラインモードでは、証明書、CRL 及び ARL は LDAP サーバへは登録されない。テスト対象プログラムはこれらの情報を、ローカルファイルから取得する。

1. 2 テストの分類

DB には、以下に示す通り、大きく分けて３種類のテストケースが納められている。

項目「OCSP を利用したテストケース」または「GCVS を利用したテストケース」が「有」となっている場合、OCSP または GCVS（GPKI 証明書検証サーバ）を利用するテストケースが一部含まれていることを意味する

(4)

カテゴリ番号カテゴリ

オン

ライン

オフ

ライン

OCSP を利用した

テストケース

GCVS を利用した

テストケース

１ NIST テストケース ^不可 ^可 ^無 ^無

２ GPKI テストケース ^可 ^可 ^有 ^有

３オリジナルテストケース可可有無

OCSP または GCVS を利用したテストケースをオフラインモードでテストすると、OCSP レスポンダシミュレータまたは GCVS サーバシミュレータへの問い合わせが行われず、テスト結果が期待通りにならないことがあるので注意が必要である。

以下で、各カテゴリについて順に説明する。

(1) NIST テストケース

NIST テストケースは、米国国立標準技術研究所の公表している X.509 Path Validation Test Suite（http://csrc.nist.gov/pki/testing/x509paths.html^{参照）を元に作成} されたテストケースである。NIST の各テストにはテストレベル（テストの難易度）が設定されている。NIST テストケースの詳細については、GPKI テストケース設計書の３章「NIST パス検証と同等のテストケース」を参照のこと。

(2) GPKI テストケース

GPKI テストケースは、日本の政府認証基盤（http://www.gpki.go.jp/）における様々なパス検証のシチュエーションを考慮して作成したテストケースである。テストケースによっては、OCSP を利用するものや、GCVS を利用するものも存在する。GPKI テストケースの詳細については、GPKI テストケース設計書の２章

「GPKI 模擬テストケース」に書かれている。

(3) オリジナルテストケース

オリジナルテストケースは、NameRollover や KeyUpdate といった作業を含む、高度なパス検証を実験するためのテストケースである。テストケースによっては、 OCSP を利用するものが存在する。オリジナルテストケースの詳細については、 GPKI テストケース設計書の４章「オリジナルテストケース」に示す。

(5)

2 テストスィートの実行

ユーザは、以下の３つの手順でテストを実行する。

(1) ユーザは初めに、DB が起動しているマシン上（以下、サーバと書く）で、テスト実施環境生成スクリプトを起動する。テスト実施環境生成スクリプトは、テストスィートの各種スクリプト・プログラム群を順番に起動することで、指定されたテストの実行に必要なデータ群、及びテストを実行するスクリプト群（以下、これらをまとめてデータ群・スクリプト群と書く）を、テストデータ領域に生成する。従ってユーザは、テストデータ領域の生成に際しては、テスト実施環境生成スクリプトのみを使用すれば良く、逆にそれ以外の各種スクリプトを直接起動する必要は無い。

(2) 次にユーザは、テストデータ領域に生成されたデータ群・スクリプト群を用いて、テストを実行する。テストを実行するマシンをクライアントと呼ぶ。サーバマシンとクライアントマシンとが異なる場合、ユーザは_{ftp コマンド} などを用いて、あらかじめテストデータ領域をコピーする必要がある。

(3) クライアント上でのテストの実行には、テスト実行スクリプトを用いる。テスト実行スクリプトは、個々のテストケースごとに用意されたテストケース実行スクリプトを順番に起動し、テスト結果を保存する機能を持つ。従ってユーザは、テストの実行に際し、テスト実行スクリプトのみを使用すれば良い。

一連の手順において、ユーザが起動するテストスィートのプログラムは、テスト実施環境生成スクリプト及びテスト実行スクリプトの２つのみである。

2. 1 テスト実施環境生成スクリプト

ユーザは、テスト実施環境生成スクリプトを起動することによって、テスト実行に必要なデータ群・スクリプト群を生成できる。起動の際、代表的なオプションとして以下が挙げられる。

(6)

形式説明

-c ^{対象テストカテゴリ}ID 複数指定する場合はスペースで区切る、指定のない場合は全て -l 対象テストレベル複数指定する場合はスペースで区切る、指定のない場合は全て -m アクセスモード_(on|off) _LDAPなどを用いたテストをするか選択する、デフォルトは_on

オプション「-c」、「-i」あるいは「-l」で、データ群・スクリプト群を生成する対象となるテストケースを指定できる。何も指定の無い場合は、全てのテストケースが対象となる。

2. 2 テスト実行スクリプト

ユーザは、テスト実行スクリプトを実行することによって、テスト実施環境生成スクリプトによって生成されたデータ群・スクリプト群を元に、テストを実行することができる。起動の際の代表的なオプションとして以下が挙げられる。

形式説明

-lh LDAPホスト名オンラインでのテスト実行時にLDAP ホスト名を指定

-s DBサーバ名テスト結果をDB へ格納する場合に指定

テスト実行スクリプトは、テストケース毎に用意された、テストケース実行スクリプトを順番に起動することで、テストの実行を行う。さらに指定されていれば、データベースへの実行結果の登録を行う。

2. 3 実行例

以下で、テスト実施環境生成スクリプト及びテスト実行スクリプトの実行例を示す。

＜実行例１＞

テスト実施環境生成スクリプトを用いて、_NIST のテストケースをオフラインモードで生成し、テストを実行する。

$ ./targetenvgen.pl -m off -c 1

(7)

Access mode : off-line Given constraints;

Testcase IDs : ALL Test Category: 1 Test Level(s): ALL

Creating test environment for following testcases into /home/ishigaki/server/Data ID Category Level Name

--- 1000100 1 1 TE.CP.01.01 (NIST)

1000200 1 1 TE.CP.01.02 (NIST) 1000300 1 1 TE.CP.01.03 (NIST) 1000400 1 1 TE.CP.02.01 (NIST) 1000500 1 1 TE.CP.02.02 (NIST) 1000600 1 2 TE.CP.02.03 (NIST) 1000700 1 2 TE.CP.02.04 (NIST) 1000800 1 2 TE.CP.02.05 (NIST) 1000900 1 1 TE.CP.03.01 (NIST) 1001000 1 2 TE.CP.03.02 (NIST) 1001100 1 2 TE.CP.03.03 (NIST) 1001200 1 1 TE.CP.03.04 (NIST) 1001300 1 1 TE.CP.04.01 (NIST) 1001400 1 1 TE.CP.04.02 (NIST) 1001500 1 1 TE.CP.04.03 (NIST) 1001600 1 3 TE.CP.04.04 (NIST) 1001700 1 3 TE.CP.04.05 (NIST) 1001800 1 3 TE.CP.04.06 (NIST) 1001900 1 1 TE.CP.05.01 (NIST) 1002000 1 1 TE.CP.06.01 (NIST) 1002100 1 1 TE.CP.06.02 (NIST) 1002200 1 1 TE.IC.01.01 (NIST)

（途中略）

$ ./testrun.pl

bin/testrun.pl: running in off-line mode

bin/testrun.pl: examining testcase No.1000100 ...

（途中略）

$

＜実行例２＞

テスト実施環境生成スクリプトを用いて、_GPKI 及びオリジナルのテストケースをオンラインモードで生成し、テストを実行する。テスト結果にtest_comment というコメントを付け、ＤＢへ格納する。

./targetenvgen.pl -m on -c 2 3 Access mode : on-line

Given constraints; Testcase IDs : ALL Test Category: 2 3 Test Level(s): ALL

---

2000100 2 10 METI.METI.OK (模擬経済産業省のEEが他の模擬経済産業省のEEの署名データを検証できることを確認する。₎

2000200 2 10 METI.MPHPT.OK (模擬経済産業省のEEが模擬総務省のEEの署名データを検証できることを確認する。)

2000300 2 10 METI.MLIT.OK (^{模擬経済産業省の}EE^{が模擬国土交通省の}EE^{の署名データ} を検証できることを確認する。)

2000400 2 10 METI.Asign.OK (模擬経済産業省のEEが模擬A-Sign2のEEの署名データ

(8)

を検証できることを確認する。)

2000500 2 10 METI.GID.OK (模擬経済産業省のEEが模擬G-IDのEEの署名データを検証できることを確認する。)

2000600 2 10 METI.CR.OK (模擬経済産業省のEEが模擬商業登記認証局のEEの署名データを検証できることを確認する。)

（途中略）

$ ./testrun.pl -lh ldap1 -o 1 -c test_comment ./testrun.pl: running in on-line mode

./testrun.pl: flushing all repositories via rsh ./testrun.pl: examining testcase No.2000500 ...

（途中略）

3 _GPKI証明書検証サーバを用いたテスト

テストスィートにおいて、GPKI 証明書検証サーバシミュレータ（以下、GCVS シミュレータと書く）を用いたテストを実行するためには、上で示した手順とは異なる手順が必要である。

GCVS シミュレータを用いたテストが可能なのは、以下に示す９つのテストケースのみである。個々のテストケースについては、GPKI テストケース設計書に詳しく書かれている。

テストケース番号

トラストアンカ検証対象

検証対象証明書（_EE）の状態

2000700 MPHPT METI ^正常

2001000 MPHPT Asign2 ^正常

2001200 MPHPT MOJ ^正常

2003400 MPHPT METI ^失効

2003700 MPHPT Asign2 ^失効

2003900 MPHPT MOJ ^失効

2006100 MPHPT METI ^期限切れ

2006400 MPHPT Asign2 ^期限切れ

2006600 MPHPT MOJ ^期限切れ

GCVSシミュレータを用いたテストを実行するためにはまず、_GPKI証明書検

(9)

証サーバシミュレータ設定スクリプトを起動する。これによって、テストの事前準備を行う。このスクリプトは、_GCVSクライアントによる問い合わせに対して、事前に応答のために必要なデータを用意する機能を持つ。簡単に言えば、テストスイートにおける、テスト実施環境生成スクリプトのようなものである。

ユーザは_GPKI証明書検証サーバシミュレータ設定スクリプトを実行した後に、 GCVSクライアントを実行することで、テストを行うことができる。

3. 1 _GPKI証明書検証サーバシミュレータ設定スクリプト

GPKI 証明書検証サーバシミュレータ設定スクリプトは、_GPKI の証明書検証サーバを利用したテストを実行する際に、事前に_GPKI証明書検証サーバシミュレータへ、応答すべき情報を登録するスクリプトである。以下に実行形式を示す。

$ cvsenvgen.pl [-t] TestcaseID:PORT [TestcaseID:PORT]...

TestcaseID:PORT

TestcaseIDで指定したテストケースにおける証明書検証要求を、_PORT で指定したポート番号で受け付けるように設定する。_TestcaseID と PORT ^{のセットはコロン（}:）で区切って指定する。また、複数のセットをスペースで区切って指定することもできる。

-t 応答すべき情報を登録後、_TestcaseID で指定した全てのテストケースについて、以下の形式でテスト実施環境生成スクリプトを実行する。

$ targetenvgen.pl –m on –i TestcaseID [TestcaseID]...

3. 2 _GPKI証明書検証クライアント

GPKI 証明書検証クライアントの詳細については、「_{GPKI CVS} クライアントサンプル実装仕様書」を参照のこと。本節では、その実行方法についてだけ、簡単に説明する。以下は、_GPKI証明書検証クライアントの実行形式である。

java GCVSClient [options] ^{トラストアンカー} ^{検証対象証明書} URL

「トラストアンカー」では、アンカー証明書ファイルを指定する。「検証対象証明書」では、象証明書ファイルを指定する。また「_URL」では、証明書検証サーバの_URLを指定する。

(10)

オプションの一覧を以下に示す。

-ic ^{ファイル名} ^{中間証明書}

「_-ic」に続きファイル名を入力。複数の証明書を指定する場合、同一ファイルに複数の PEM形式の証明書を持つファイル名を入力。

-tac CA(TrustAnchor)^識別情報

本オプションを指定した場合は引数で指定したトラストアンカー証明書を設定する。指定しない場合には本オプションは設定しない。

-rp [oid/any] ^{満たすべきポリシ}

「_-rp」に続き_OID、もしくは"any"^を入力。any ^{の場合は「}2.5.29.32.0^{」が自動的に設定} される。複数の_OIDを設定する場合は「_{1.2 1.2.3}」のように空白文字区切りで入力する。 -rep require-explicit-policy^の初期値

本オプションを指定した場合は「₁」、指定しない場合には本オプションは設定しない。但し、「満たすべきポリシ」オプションが指定された場合は常に「₀」を設定する。

-ipm inhibit-policy-mapping^の初期値

本オプションを指定した場合は「₁」、指定しない場合には本オプションは設定しない。 -rf 応答フォーマット

本オプションを指定した場合は「1」、指定しない場合には本オプションは設定しない。 -req ^「-req」に続き、要求データを保存するファイル名を入力。本オプションが無い場合は

「./request.der」ファイルに保存する。

-res ^「-res」に続き、応答データを保存するファイル名を入力。本オプションが無い場合は

「./response.der」ファイルに保存する。

3. 3 実行例

＜実行例１＞

GPKI 証明書検証サーバシミュレータ設定スクリプトを起動し、テスト環境を整備する。

$ ./cvsenvgen.pl -t 2000700:2401 2001000:2402 2001200:2403 2003400:2404 2003700: 2405 2003900:2406 2006100:2407 2006400:2408 2006600:2409

./cvsenvgen.pl: port 2401 is assigned to testcase No.2000700 ./cvsenvgen.pl: port 2402 is assigned to testcase No.2001000 ./cvsenvgen.pl: port 2403 is assigned to testcase No.2001200 ./cvsenvgen.pl: port 2404 is assigned to testcase No.2003400 ./cvsenvgen.pl: port 2405 is assigned to testcase No.2003700 ./cvsenvgen.pl: port 2406 is assigned to testcase No.2003900 ./cvsenvgen.pl: port 2407 is assigned to testcase No.2006100 ./cvsenvgen.pl: port 2408 is assigned to testcase No.2006400 ./cvsenvgen.pl: port 2409 is assigned to testcase No.2006600

./cvsenvgen.pl: certgen executed for cert No.9200000 in testcase No.2003900

(11)

./cvsenvgen.pl: certgen executed for cert No.9200000 in testcase No.2006100 ./cvsenvgen.pl: certgen executed for cert No.9200000 in testcase No.2006400 ./cvsenvgen.pl: certgen executed for cert No.9200000 in testcase No.2006600 ./cvsenvgen.pl: certgen executed for cert No.9200000 in testcase No.2000700 ./cvsenvgen.pl: certgen executed for cert No.9200000 in testcase No.2001000 ./cvsenvgen.pl: certgen executed for cert No.9200000 in testcase No.2001200 ./cvsenvgen.pl: certgen executed for cert No.9200000 in testcase No.2003400 ./cvsenvgen.pl: certgen executed for cert No.9200000 in testcase No.2003700 ./cvsenvgen.pl: executing targetenvgen script...

Access mode : on-line Given constraints;

Testcase IDs : 2003900 2006100 2006400 2006600 2000700 2001000 2001200 2003400 2003700

Test Category: ALL Test Level(s): ALL

---

2000700 2 10 MPHPT.METI.OK (模擬総務省のEEが模擬経済産業省のEEの署名データを検証できることを確認する。₎

2001000 2 10 MPHPT.Asign.OK (模擬総務省のEEが模擬A-Sign2のEEの署名データを検証できることを確認する。)

2001200 2 10 MPHPT.CR.OK (^{模擬総務省の}EEが模擬商業登記認証局の_EEの署名データを検証できることを確認する。)

2003400 2 20 MPHPT.METI.RVK (模擬総務省のEEが模擬経済産業省のEEの失効した署名データを検証できることを確認する。₎

2003700 2 20 MPHPT.Asign.RVK (模擬総務省のEEが模擬A-Sign2のEEの失効した署名データを検証できることを確認する。)

（以下略）

＜実行例２＞

実行例１のデータを元に、GPKI 証明書検証クライアントを起動し、テストケース番号 2000700 について、GPKI 証明書検証サーバシミュレータを利用したテストを実行する。

$ java GCVSClient -tac -ic $PKITESTROOT/Data/tc2000700/intermediate.2.2000700.5 ¥ .crt -rp any -rep -ipm -req request.der -res responce.der ¥

$PKITESTROOT/Data/tc2000700/trust.2.2000700.crt ¥

$PKITESTROOT/Data/tc2000700/target.2.2000700.crt http://cvs:2401 -- Initial Info --

ServerURL [http://cvs:2401]

TrustAnchor [OU=MPHPT Certification Authority, OU="Ministry of Public Management, Home Affa

irs, Posts and Telecoms", O=Japanese Government, C=JP]

Target [CN=Minister, OU="Ministry of Economy, Trade and Industry", O=Japanese Governme

nt, C=JP]

-- end of Initial Info -- -- Options --

IntermedCerts

[/home/ishigaki/server/Data/tc2000700/intermediate.2.2000700.5.crt] TrustAnchorCert [ON]

RequiredPolicy [any ]

RequireExplicitPolicy [0] Since RequiredPolicy is set.

InhibitPolicyMaping [ON] * WARNING * Can't be set this option in GPKI. ResponseFormat [OFF]

---

filename for request [request.der] filename for response [responce.der] ---

(12)

-- end of Options -- -- Check the Response --

Nonce Check [match] Verify the Response [good] Verify the signerCert [good] CertPathStatus code [0] -- end of Check the Response --