FUJITSU Software Systemwalker PKI Manager V12.0 ご紹介 2018 年 12 月 富士通株式会社
PKI 概要 ネットワークにおける脅威 PKI により実現されるセキュリティ 認証局とは 認証局構成モデル 1
ネットワークにおける脅威 ネットワーク上を使用した情報のやり取りには 以下の 4 つの脅威がある 商談があります 盗聴 そうか 契約が成立しました 改ざん だめだったか 横取りしてやろう NG にしてやろう 書類は後で作ろう なりすまし 早いな そんな報告はしていないよ 否認 おかしいな 頼まれた書類です 2
PKI により実現されるセキュリティ 盗聴 改ざん なりすまし 否認 の脅威を防止する 盗聴防止 通信内容 文書内容の秘匿の仕組み暗号化 改ざん防止 なりすまし防止 文書作成者の明示と改ざん検出の仕組み電子署名 PKI 否認防止 通信相手の本人確認の仕組み証明書 PKI(Public Key Infrastructure) 証明書 / 公開鍵暗号の技術によって実現される 暗号化や認証 本人確認を行うセキュリティ基盤 3
認証局とは PKI システムの中心 公開鍵 ( 証明書 ) が確かにその人のものであることを証明する機関 認証局は 個人の情報と公開鍵に署名し 証明書を発行 公開鍵を登録 鍵ペアを生成 認証局 暗号ファイル 証明書を発行 (PKCS#10/7 方式 ) イントラネット / インターネット 証明書を発行 (PKCS#12 方式 ) 鍵ペアを生成 暗号通信 4
認証局構成モデル EE (End Entity) 利用者 1. 証明書発行要求 (PKCS#10) 7. 証明書配付 (PKCS#7) RA(Registration Authority) 2. 鍵ペア生成 RAO(RA Operator) 3. 証明書発行審査 登録局 4. 証明書発行依頼 (CMP) 5. 証明書発行 IA (Issuing Authority) 認証サーバ (VPN,SSL,Web-SSO) 8. 認証局証明書と CRL を取得して EE 証明書の有効性を確認 Repository ディレクトリサーバ 認証局 CA (Certification Authority) 6. 証明書 /CRLを格納 / 公開 (LDAP) 発行局 PKCS: Public Key Cryptography Standard CMP: Certificate Management Protocol LDAP: Lightweight Directory Access Protocol CRL: Certificate Revocation List 5
ご紹介 製品紹介 Systemwalker PKI Manager 製品体系 構成例 証明書発行処理フロー 対応アルゴリズム 認証局構築での主な検討事項 6
このイメージは 現在表示できません このイメージは 現在表示できません このイメージは 現在表示できません このイメージは 現在表示できません 製品紹介 Systemwalker PKI Manager ~ 公開鍵基盤 (PKI) を担う IA RA 機能 ~ IA( 発行局 ) 機能 証明書 CRL( 証明書失効リスト ) を発行 X.509 V3 準拠の証明書 /X.509 V2 準拠の CRL を発行ディレクトリサーバ連携による証明書 CRL の配付階層型 IA 組織別 用途別の柔軟な導入 IA 間の相互認証 (CSR の SHA2 署名にも対応 ) 複数 IA 1 サーバ内に複数 IA の構築することによるコストダウン 証明書管理部門 RA/KR オペレータ 運用管理部門 FUJITSU Software Systemwalker Centric Manager イベント / 監視 認証局 RA( 登録局 ) 機能 証明書発行 / 失効申請 RA 操作員からの発行申請 (GUI) 発行 / 失効コマンドを使用したアプリ連携による自動申請 IA への証明書の発行 / 失効依頼証明書データの作成 PKCS#12 形式データとして作成スマートカードとして作成スマートカード工場向け発行データを作成信頼性一括発行申請者と承認者との RA オペレータの役割分離 KR(Key Recovery) オペレータによる鍵破損等からの回復 共通機能 イベント監視 Systemwalker Centric Manager メッセージ連携による監視監査機能監査ログを採取し 不正運用がされていないことを検証 カード工場 申請の審査証明書データ作成信頼性運用 認証局管理者 カード工場発行での証明書 秘密鍵の大量発行 証明書発行申請 IA/RA Systemwalker PKI Manager 証明書 /CRL 公開 PKCS#12 格納 LDAPテ ィレクトリサーハ PKCS#12 形式の証明書と秘密鍵をディレクトリから取得 エント ユーサ 7
製品体系 Systemwalker PKI Manager メディアパック 12.X Systemwalker PKI Manager 12.x( 基本 ) サーバライセンス (1 年間 24 時間サポート付 ) 100ユーザ付 Systemwalker PKI Manager 12.x( オプション ) ユーザ追加ライセンス (1 年間 24 時間サポート付 ) 500, 1000, 2000, 5000, 10000, 20000, 50000, 100000の8パターン PKI Manager 12.x オプション PKI Manager 12.x 基本メディアパック 8
証明書発行処理フロー ( 小規模 ) ~ 個別申請の場合 ~ RA オペレータ 1/2 2. 証明書発行依頼 (PKCS#10) 1. アプリケーションにて鍵ペアと申請書作成 (PKCS#10) RA Web サーバ等管理者 IA 3. 発行申請 (RAO2) 5. 証明書 4. 発行承認 (RAO1) 発行要求 6.. 証明書発行 8. 証明書取得 (RAO2) (PKCS#7 ダウンロード ) 9. 証明書 (PKCS#7) を受け取る 登録局管理者 10. 証明書 (PKCS#7) をアプリケーションへインポート DB 7. 証明書取得 DB 1. 証明書利用者はアプリケーションにて鍵ペアと申請書 (PKCS#10) を作成 2. 証明書利用者は作成した申請書 (PKCS#10) を RA オペレータ 2 に提供し 証明書発行を依頼 ( オフライン ) 3. RA オペレータ 2 が RA に発行申請する 4. RA オペレータ 1 が証明書発行申請を承認すると 承認情報が RA サーバに通達される 5. RA サーバは IA サーバに対して証明書発行を要求する 6. IA サーバは証明書を発行する 7. RA サーバは IA サーバから証明書を取得 8. RA オペレータ 2 が RA から証明書 (PKCS#7) を取得 9. 証明書利用者は RA オペレータ 2 から証明書 (PKCS#7) を受取る ( オフライン ) 10. 証明書利用者は証明書をアプリケーションにインポート 9
証明書発行処理フロー ( 大規模 審査有 ) ~ 管理者による一括発行 ~ 12.PKCS#12 送信 PKCS#12 Downloader 12.PKCS#12 取得 証明書利用者 11.PIN 通知 (RAO2) 13. 証明書をアプリケーションへインポート 発行 公開 PKCS#12 配付用 Directory 10. 証明書と秘密鍵を格納 (PKCS#12) (RAO1) 2. 発行申請 (RAO2) 3. 発行承認 (RAO1) RA オペレータ 1/2 RA 4. 鍵ペア作成 8.PKCS#12 入手 (RAO1) 9.PIN 入手 (RAO2) 1. 申請者一覧情報の抽出 LDIF 人事情報 DB 5.. 証明書発行要求 7. 証明書取得 Directory 10 IA 6. 証明書発行 DB 1. Directory サーバまたは人事データベースから抽出した LDIF 情報を元に 申請者一覧を作成 2. RA オペレータ 2 が一度に複数の証明書発行申請を一括で申請 3. RA オペレータ 1 が証明書発行申請を承認 4. RA サーバにて鍵ペアが作成される 5. RA サーバは IA サーバに対して証明書発行を要求 6. IA サーバは証明書を発行 7. RA サーバは IA サーバより証明書を取得 8. RA オペレータ 1 の要求で PKCS#12 ( 証明書と秘密鍵 ) が RA オペレータ 1 に渡される 9. RA オペレータ 2 は RA サーバより自動生成された PIN を取得 10. RA オペレータ 1 は作成された PKCS#12( 証明書と秘密鍵 ) を Directory サーバに格納 11. RA オペレータ 2 は PIN を証明書利用者に通知 12. 証明書利用者は PIN を利用して PKCS#12Downloader 経由でディレクトリサーバから PKCS#12 をダウンロード 13. 証明書利用者は証明書 (PKCS#12) をアプリケーションにインポート
対応アルゴリズム 下記のアルゴリズムで 証明書と CRL を発行できます 鍵長 公開鍵アルゴリズム 署名アルゴリズム スペック従来製品 PKI Manager RSA512bit RSA1024bit RSA2048bit RSA4096bit RSAEncryption RSASSA-PSS md5withrsaencryption sha1withrsaencryption sha256withrsaencryption sha384withrsaencryption sha512withrsaencryption RSASSA-PSS - - - - - - - - 11
認証局構築での主な検討事項 1. 証明書の用途 何のサービスに PKI を利用したいのか (VPN/Web /TLS 通信 / 暗号メール / 電子署名 ) 証明書に記載する発行者 所有者 有効期間 鍵用途等を検討 暗号アルゴリズム ( 鍵長 / 署名 ) は 証明書利用アプリや機器の対応スケジュールを踏まえて検討 2. 証明書の発行 配付の運用 証明書の秘密鍵は どこで管理するのか (PC(HDD/TPM)/IC カード /USB トークン ) 誰が 誰に どのように証明書を配付するのか ( オンライン / 外部媒体 (CDR/IC カード /USB トークン )) 発行申請データの作成方法の検討 (CSV/LDIF) 発行申請方法の検討 ( 個別発行方式 / 一括発行方式 ) 3. 証明書の失効の運用 証明書の失効管理を行うかを検討 失効情報 (CRL) をアプリや機器にどのように反映させるか ( 更新時刻やサイクル 配付方法 ) 4. 認証局の設備 認証局を構成するサーバや端末 ネットワーク構成 認証局機器を設置するラック / 部屋とその入退出管理の検討 5. CP/CPS( 証明書ポリシ / 運用管理規定 ) の作成 CP/CPS は RFC で規定された形式に従い 認証局の運用方針について ドキュメント化したもの 記述例 : 運用管理体制 発行する証明書の内容 証明書発行 失効時の手順等を規定 認証局は CP/CPS を公開することで 証明書の利用者にその認証局の信頼性を明示する 特に GtoG GtoC BtoB BtoC 等の社外取引等で証明書を利用する場合は 必須の規定となる 12
導入事例 IC カードを使用した PKI 認証基盤 Web システムの認証用証明書の配付 高セキュアな認証ソリューション SafetyMAM による IC カード発行の自動運用 FUJITSU Software Systemwalker Operation Manager と業務アプリによる自動運用 13
事例紹介 IC カードを使用した PKI 認証基盤 職員証 (IC カード ) を使った職員ポータル及び SSO システムの構築 IC カード発行運用管理システム (SafetyMAM) との自動連携にて IC カードを発行 14
事例紹介 Web システムの認証用証明書の配付 利用者登録時に証明書発行を行い 利用者 PC(Windows) の証明書管理領域に自動インポート 証明書更新時にも 証明書を再配付するとともに旧証明書を自動失効 利用者削除時には 証明書を自動失効 ポータル 利用者の登録 削除 利用者管理 利用者の登録 更新 削除 利用者登録 利用者削除 証明書更新 証明書発行 証明書失効 証明書の即時配付 証明書管理 (URP) 発行 / 失効要求 利用者 証明書の自動格納ですぐに使用可能 (Java アフ レット ) 利用者 (PKCS#12) 発行 / 更新 証明書配付 失効 証明書取得 認証局 (Systemwalker PKI Manager CA/RA) URP:User Request Program( 有償のカスタマイズサービス ) 15
事例紹介 高セキュアな認証ソリューション 生体認証 + IC カード + PKI を使った最高レベルのセキュリティシステムが実現できます 生体情報にて IC カードへのアクセスを認証できます IC カード内に証明書ペアを格納しておくことで 2 要素認証を実現できます IC カードを紛失しても 生体情報から自動算出された強固な PIN が設定されており不正利用は不可能です Windows ログオン用プロファイルを証明書に設定しておくことで スマートカードログオンも実現できます SSO サーバ等の Web 認証サーバに対しても証明書認証が行えます 1 個人認証 ( 生体認証 /IC カード認証 ) 2Windows スマートカードログオン認証 3 業務認証 (SSL v3 クライアント認証 ) 手のひら静脈センサ 利用者 PC <Windows8> Windows ドメインコントローラ Web 認証サーバ SafetyCLIC ( 生体情報から一意の PIN に変換 ) PIN 認証 認証情報 認証情報 生体情報にて IC カードへのアクセスを認証 ユーサ 用秘密鍵 ユーサ 用証明書 Windows ログオンは以下の Microsoft 情報にて実現します サードパーティの CA を用いてスマートカードログオンを有効にするガイドライン https://support.microsoft.com/ja-jp/help/281245/guidelines-for-enabling-smart-card-logon-with-third-party-certificatio サードパーティの証明書を NTAuth ストアにインポートする方法 https://support.microsoft.com/ja-jp/help/295663/how-to-import-third-party-certification-authority-ca-certificates-into 16
事例紹介 SafetyMAM による IC カード発行の自動運用 SafetyMAM 等の IC カード発行管理システムに 証明書発行 / 失効コマンドを登録することで カード発行や廃棄のイベントと連動して 証明書の発行 / 失効を自動化できます 認証局連携サーバ < Windows Server > IC カード管理者 管理操作 券面情報の入力 ( 氏名,ID, 写真等 ) SafetyMAM カード発行 発行カード更新 発行 / 失効紛失 / 廃棄 失効 申請情報 / 実行結果 証明書 (PKCS#12) Systemwalker PKI Manager RAO ( 証明書発行 / 失効コマント ) 発行 / 失効申請 証明書取得 認証局 Systemwalker PKI Manager CA/RA ファイル渡し 券面印刷され証明書も格納された IC カードが自動発行される IC カード発行機 SafetyMAM は富士通の IC カード運用管理システムです https://www.fujitsu.com/jp/solutions/business-technology/security/secure/physical-security/iccard/safetymam/ 17
事例紹介 Systemwalker Operation Manager と業務アプリによる自動運用 Systemwalker Operation Manager 等のジョブ管理システムに 証明書発行 / 失効コマンドを登録しておくことで 証明書の発行 / 失効を自動化できます 業務アプリにて 申請情報の生成機能 と コマンド実行結果の解析機能 を実装することで 自動運用が実現できます 認証局連携サーバ < Windows Server > 利用者 会員登録 / 削除申請 証明書 (PKCS#12) タ ウンロート 業務アプリ ( 会員管理 / ワークフロー ) ID 追加 発行 ID 削除 失効 申請情報 (CSV), 実行結果 証明書 (PKCS#12) ファイル渡し Systemwalker Operation Manager Systemwalker PKI Manager RAO ( 証明書発行 / 失効コマント ) 承認された証明書だけバッチジョブとして一括申請する 発行 / 失効申請 証明書取得 認証局 Systemwalker PKI Manager CA/RA 審査 / 承認 18
付録 公開鍵暗号に関する標準 公開鍵暗号に関する標準 PKCS#12 とは 19
公開鍵暗号に関する標準 旧 RSA Security 社は PKCS(Public-Key Cryptography Standards) と呼ばれる公開鍵暗号に関する標準を策定したため 赤字の規格が現在もよく使われます #1 :RSA 暗号に関する標準 (RFC3447) #5 : パスワードベース暗号に関する標準 (RFC2898) #7 : 暗号メッセージ構文に関する標準 (RFC2315) #8 : 秘密鍵の形式に関する標準 (RFC5208) #10: 証明書の申請構文に関する標準 (RFC2986) #11: 暗号インターフェースに関する標準 #12: 個人情報交換構文に関する標準 #13: 楕円曲線暗号に関する標準 #15: スマートカードに関する標準 (ISO/IEC 7816-15) 証明書の申請 / 配付とPKCSの関係 PKCS#10/7 方式 PKCS#12 方式 証明書発行申請書 (PKCS#10) CA 証明書 (PKCS#7) 鍵ペア生成 CA PKCS#12 鍵ペア生成 利用者 管理者 IC カート PKCS#11 CSR(Certificate Signing Request: 署名リクエスト ) ともいう 20
公開鍵暗号に関する標準 PKCS#12 とは 利用者が使用する証明書 ( 公開鍵 ) と秘密鍵が格納されているファイル トラストポイント ( 信頼点 ) までの認証局証明書も格納できるファイル パスワード (PIN:Personal Identification Number) にて暗号化 PKCS#12 形式のファイル ルート認証局証明書 ( 公開鍵 ) 中間認証局証明書 ( 公開鍵 ) パスワードにて暗号化 利用者証明書 ( 公開鍵 ) 利用者証明書の秘密鍵 鍵ペア 21
22 Copyright 2013 FUJITSU LIMITED