FUJITSU Software Systemwalker PKI Manager V12 紹介資料

2018年12月

富士通株式会社

FUJITSU Software

Systemwalker

PKI Manager V12.0

ご紹介



ネットワークにおける脅威



PKIにより実現されるセキュリティ



認証局とは



認証局構成モデル

ネットワークにおける脅威

 ネットワーク上を使用した情報のやり取りには、以下の4つの脅威がある だめだったか 契約が成立 しました

改ざん

ＮＧに してやろう そうか 商談があります

盗聴

横取り してやろう 早いな

なりすまし

書類は 後で作ろう おかしいな

否認

そんな報告は していないよ

PKI により実現されるセキュリティ

盗聴防止

改ざん防止

なりすまし防止

否認防止

通信内容、文書内容の 秘匿の仕組み

暗号化

通信相手の 本人確認の仕組み

証明書

文書作成者の明示と 改ざん検出の仕組み

電子署名

 「盗聴」「改ざん」「なりすまし」「否認」の脅威を防止する

PKI

PKI（Public Key Infrastructure）

証明書／公開鍵暗号の技術によって実現される、 暗号化や認証、本人確認を行うセキュリティ基盤

認証局は、個人の情報と公開鍵に署名し、証明書を発行 公開鍵（証明書）が確かにその人のものであることを証明する機関

認証局とは

認証局

鍵ペアを生成 証明書を発行 (PKCS#12方式) 暗号通信 公開鍵を登録 証明書を発行 (PKCS#10/7方式) イントラネット/インターネット PKIシステムの中心 鍵ペアを生成 暗号ﾌｧｲﾙ

5．証明書発行 1. 証明書 発行要求 (LDAP) 6． 証明書/CRLを 格納/公開 8．認証局証明書とCRLを 取得して、EE証明書の 有効性を確認 4．証明書発行依頼 7．証明書配付 ディレクトリサーバ 2．鍵ペア 生成

RA(Registration

Authority)

Repository

(CMP) (PKCS#10) 登録局 発行局

PKCS: Public Key Cryptography Standard LDAP: Lightweight Directory Access Protocol CMP: Certificate Management Protocol CRL: Certificate Revocation List

(PKCS#7)

IA (Issuing

Authority)

認証局

CA (Certification Authority)

認証局構成モデル

RAO(RA Operator)

3．証明書発行審査

EE (End

Ｅ

ntity)

認証サーバ (VPN,SSL,Web-SSO) 利用者

RA (Registration



製品紹介 Systemwalker PKI Manager



製品体系



構成例



証明書発行処理フロー



対応アルゴリズム



認証局構築での主な検討事項

ご紹介

イベント/監視 IA（発行局）機能 証明書、CRL(証明書失効リスト）を発行 X.509 V3準拠の証明書/X.509 V2準拠のCRLを発行 ディレクトリサーバ連携による証明書・CRLの配付 階層型IA 組織別、用途別の柔軟な導入 IA間の相互認証(CSRのSHA2署名にも対応) 複数IA 1サーバ内に複数IAの構築することによるコストダウン FUJITSU Software

Systemwalker Centric Manager

このイメージは、現在表示できません。 RA/KRオペレータ 証明書/CRL公開 PKCS#12格納 認証局管理者 証明書 発行申請 申請の審査 証明書データ作成 信頼性運用 このイメージは、現在表示できません。 カード工場発行での証明 書・秘密鍵の大量発行 PKCS#12形式の 証 明書と秘密鍵をディ レクトリから取得 RA（登録局）機能 証明書発行/失効申請 RA操作員からの発行申請(GUI) 発行/失効コマンドを使用したアプリ連携による自動申請 IAへの証明書の発行/失効依頼 証明書データの作成 PKCS#12形式データとして作成 スマートカードとして作成 スマートカード工場向け発行データを作成 信頼性 一括発行申請者と承認者とのRAオペレータの役割分離 KR(Key Recovery)オペレータによる鍵破損等からの回復 共通機能 イベント監視

Systemwalker Centric Managerメッセージ連携による監視 監査機能 監査ログを採取し、不正運用がされていないことを検証 運用管理部門 認証局 カード工場 証明書管理部門 ～公開鍵基盤(PKI)を担うIA、RA機能～

製品紹介 Systemwalker PKI Manager

IA/RA

LDAPﾃﾞｨﾚｸﾄﾘ

ｻｰﾊﾞ

ｴﾝﾄﾞﾕｰｻﾞ

Systemwalker PKI Manager

●▲■★

このイメージは、現在表示 できません。

PKI Manager 12.x 基本 PKI Manager 12.x オプション

Systemwalker PKI Manager 12.x（オプション）

・ユーザ追加ライセンス (1年間24時間サポート付)

500, 1000, 2000, 5000, 10000, 20000, 50000, 100000の８パターン

Systemwalker PKI Manager 12.x（基本）

・サーバライセンス (1年間24時間サポート付) ・100ユーザ付

製品体系

Systemwalker PKI Manager メディアパック 12.X

Webサーバ等管理者 RAオペレータ１/２ IＡ ＲＡ 5．証明書発行要求 1．アプリケーションにて 鍵ペアと申請書作成 (PKCS#10) 2．証明書 発行依頼 (PKCS#10) 8．証明書取得(RAO2) (PKCS#7ダウンロード) 7．証明書取得 3．発行申請（RAO2） 4．発行承認（RAO1） 6．.証明書発行 登録局管理者 1. 証明書利用者はアプリケーションにて鍵ペアと申請書（PKCS#10）を作成 2. 証明書利用者は作成した申請書 （PKCS#10）を、RAオペレータ２に 提供し、証明書発行を依頼(オフライン) 3. RAオペレータ２がRAに発行申請する 4. RAオペレータ１が証明書発行 申請を承認すると、承認情報が RAサーバに通達される 5. RAサーバはIAサーバに対して 証明書発行を要求する 6. IAサーバは証明書を発行する 7. RAサーバはIAサーバから証明書を取得 8. RAオペレータ２がRAから証明書 （PKCS#7）を取得 9. 証明書利用者はRAオペレータ２から 証明書（PKCS#7）を受取る(オフライン) 10. 証明書利用者は証明書を アプリケーションにインポート

証明書発行処理フロー(小規模)

9．証明書(PKCS#7)を 受け取る ～個別申請の場合～ 10．証明書(PKCS#7)を アプリケーションへインポート DB DB

ＰKCS#１２ Downloader ＲＡ 4．鍵ペア 作成 5..証明書 発行要求 12.PKCS#12取得 7.証明書 取得 2．発行申請（RAO２） 3．発行承認（RAO１） 6.証明書 発行 10.証明書と秘密鍵 を格納 (PKCS#12) （RAO１） 8.PKCS#12入手（RAO１） 9.PIN入手（RAO２） 11.PIN通知（RAO２） 12.PKCS#12 送信 発行・公開・ ＰKCS#１２配付用 Ｄｉｒｅｃｔｏｒｙ 証明書利用者 RAオペレータ１/２ Ｄｉｒｅｃｔｏｒｙ IＡ

証明書発行処理フロー(大規模・審査有)

1. Directoryサーバまたは人事データベース から抽出したLDIF情報を元に、申請者 一覧を作成 2. RAオペレータ２が一度に複数の証明書 発行申請を一括で申請 3. RAオペレータ１が証明書発行申請を承認 4. RAサーバにて鍵ペアが作成される。 5. RAサーバはIAサーバに対して証明書発行を 要求 6. IAサーバは証明書を発行 7. RAサーバはIAサーバより証明書を取得 8. RAオペレータ１の要求でPKCS#12 （証明書と秘密鍵）がRAオペレータ１に渡され る 9. RAオペレータ２はRAサーバより自動生成 されたPINを取得 10. RAオペレータ１は作成されたPKCS#12（証明 書と秘密鍵） をDirectoryサーバに格納 11. RAオペレータ２はPINを証明書利用者に 通知 12. 証明書利用者はPINを利用して PKCS#12Downloader経由でディレクトリ 人事情報 1．申請者一覧情報の抽出 LDIF ～管理者による一括発行～ DB DB

■ 下記のアルゴリズムで、証明書とCRLを発行できます スペック 従来製品 PKI Manager 鍵長 RSA512bit RSA1024bit RSA2048bit RSA4096bit ○ ○ ○ － － ○ ○ ○ 公開鍵アルゴリズム RSAEncryption RSASSA-PSS ○ － ○ ○ 署名アルゴリズム md5WithRSAEncryption sha1WithRSAEncryption sha256WithRSAEncryption sha384WithRSAEncryption sha512WithRSAEncryption RSASSA-PSS ○ ○ － － － － － ○ ○ ○ ○ ○

対応アルゴリズム

認証局構築での主な検討事項

1. 証明書の用途

・何のサービスにPKIを利用したいのか。(VPN/Web /TLS通信/暗号メール/電子署名) ・証明書に記載する発行者、所有者、有効期間、鍵用途等を検討。 ・暗号アルゴリズム(鍵長/署名)は、証明書利用アプリや機器の対応スケジュールを踏まえて検討。

2. 証明書の発行・配付の運用

・証明書の秘密鍵は、どこで管理するのか。(PC(HDD/TPM)/ICカード/USBトークン) ・誰が、誰に、どのように証明書を配付するのか。(オンライン/外部媒体(CDR/ICカード/USBトークン)) ・発行申請データの作成方法の検討。(CSV/LDIF) ・発行申請方法の検討。(個別発行方式/一括発行方式)

3. 証明書の失効の運用

・証明書の失効管理を行うかを検討。 ・失効情報(CRL)をアプリや機器にどのように反映させるか。(更新時刻やサイクル、配付方法)

4. 認証局の設備

・認証局を構成するサーバや端末、ネットワーク構成 ・認証局機器を設置するラック/部屋とその入退出管理の検討。

5. CP/CPS（証明書ポリシ/運用管理規定）の作成

・CP/CPSは、 RFCで規定された形式に従い、認証局の運用方針について、ドキュメント化したもの。



ICカードを使用したPKI認証基盤



Webシステムの認証用証明書の配付



高セキュアな認証ソリューション



SafetyMAMによるICカード発行の自動運用



FUJITSU Software Systemwalker Operation Managerと業務アプリによる

自動運用

事例紹介 ICカードを使用したPKI認証基盤

■ 職員証（ICカード）を使った職員ポータル及びSSOシステムの構築

事例紹介 Webシステムの認証用証明書の配付

利用者 利用者管理 証明書の即時配付 利用者登録 利用者の 登録・更新・削除 認証局 (Systemwalker PKI Manager CA/RA) 発行/失効要求 証明書取得 証明書 失効 証明書管理(URP) ・発行/更新 ・証明書配付 ・失効 証明書 更新 利用者の 登録・削除 証明書 発行 利用者削除 ポータル 利用者 (PKCS#12)

URP：User Request Program(有償のカスタマイズサービス)

■ 利用者登録時に証明書発行を行い、利用者PC(Windows)の証明書管理領域に自動インポート ■ 証明書更新時にも、証明書を再配付するとともに旧証明書を自動失効 ■ 利用者削除時には、証明書を自動失効 証明書の自動格納で すぐに使用可能 (Javaｱﾌﾟﾚｯﾄ)

事例紹介 高セキュアな認証ソリューション

③業務認証 (SSL v3クライアント認証) ②Windowsスマートカード ログオン認証※ ①個人認証 (生体認証/ICカード認証) 利用者PC <Windows8> Windowsドメイン コントローラ Web認証サーバ 認証情報 ﾕｰｻﾞ用 秘密鍵 ﾕｰｻﾞ用 証明書 認証情報 PIN認証 手のひら静脈センサ 生体情報にて ICカードへの アクセスを認証 SafetyCLIC (生体情報から一意のPINに変換) 「生体認証」＋「ICカード」＋「PKI」を使った最高レベルのセキュリティシステムが実現できます ■ 生体情報にてICカードへのアクセスを認証できます ■ ICカード内に証明書ペアを格納しておくことで、2要素認証を実現できます ■ ICカードを紛失しても、生体情報から自動算出された強固なPINが設定されており不正利用は不可能です ■ Windowsログオン用プロファイルを証明書に設定しておくことで、スマートカードログオンも実現できます ■ SSOサーバ等のWeb認証サーバに対しても証明書認証が行えます ●▲■★

●▲■★

事例紹介 SafetyMAMによるICカード発行の自動運用

認証局連携サーバ < Windows Server > 認証局 Systemwalker PKI Manager CA/RA 発行/ 失効 申請 証明書 取得 ■ SafetyMAM等のICカード発行管理システムに、証明書発行/失効コマンドを登録することで、 カード発行や廃棄のイベントと連動して、証明書の発行/失効を自動化できます 申請情報/ 実行結果 証明書 (PKCS#12) ﾌｧｲﾙ渡し Systemwalker PKI Manager RAO (証明書発行/ 失効ｺﾏﾝﾄﾞ) ICカード発行機 券面印刷され 証明書も格納さ れたICカードが 自動発行される 管理操作 SafeｔｙMAM※ ICカード管理者 _{(氏名,ID,写真等)}券面情報の入力 カード発行⇒発行 カード更新⇒発行/失効 紛失/廃棄⇒失効 ※ SafetyMAMは富士通のICカード運用管理システムです。 https://www.fujitsu.com/jp/solutions/business-technology/security/secure/physical-security/iccard/safetymam/

事例紹介 Systemwalker Operation Managerと業務アプリによる自動運用

利用者 認証局連携サーバ < Windows Server > 会員登録/ 削除申請 認証局 Systemwalker PKI Manager CA/RA 発行/ 失効 申請 証明書 取得 証明書 (PKCS#12)

■ Systemwalker Operation Manager等のジョブ管理システムに、証明書発行/失効コマンドを 登録しておくことで、証明書の発行/失効を自動化できます ■ 業務アプリにて、「申請情報の生成機能」と「コマンド実行結果の解析機能」を実装することで、 自動運用が実現できます 申請情報(CSV), 実行結果 証明書 (PKCS#12) ﾌｧｲﾙ渡し 業務アプリ (会員管理/ ﾜｰｸﾌﾛｰ) ID追加⇒発行 ID削除⇒失効 Systemwalker Operation Manager Systemwalker PKI Manager RAO (証明書発行/ 失効ｺﾏﾝﾄﾞ) ﾀﾞｳﾝﾛｰﾄﾞ 承認された証明書だけ バッチジョブとして



公開鍵暗号に関する標準



公開鍵暗号に関する標準・PKCS#12とは

旧RSA Security社は、 PKCS（Public-Key Cryptography Standards）と呼ばれる 公開鍵暗号に関する標準を策定したため、赤字の規格が現在もよく使われます #1 ：RSA暗号に関する標準 (RFC3447) #5 ：パスワードベース暗号に関する標準 (RFC2898) #7 ：暗号メッセージ構文に関する標準 (RFC2315) #8 ：秘密鍵の形式に関する標準 (RFC5208) #10：証明書の申請構文に関する標準 (RFC2986) #11：暗号インターフェースに関する標準 #12：個人情報交換構文に関する標準 #13：楕円曲線暗号に関する標準 #15：スマートカードに関する標準(ISO/IEC 7816-15)

公開鍵暗号に関する標準

証明書の申請/配付とPKCSの関係 CA 証明書 発行申請書 (PKCS#10)※ 鍵ペア生成 鍵ペア生成 PKCS#12 証明書 (PKCS#7) CA 【PKCS#10/7方式】 【PKCS#12方式】 ICｶｰﾄﾞ

PKCS#12形式のファイル 利用者証明書(公開鍵) 利用者証明書の秘密鍵 パスワードにて暗号化 ルート認証局証明書(公開鍵) 鍵ペア 中間認証局証明書(公開鍵) …

公開鍵暗号に関する標準・PKCS#12とは

■ 利用者が使用する証明書(公開鍵)と秘密鍵が格納されているファイル ■ トラストポイント(信頼点)までの認証局証明書も格納できるファイル