i-filterオプション 製 品 i-filter SSL Adapter 基 本 設 定 例 デジタルアーツ 株 式 会 社 開 発 部 技 術 課
i-filter SSL Adapter の 設 定 (1) SSLデコード 設 定 オプションライセンスのご 購 入 とアクティベート ログ 出 力 設 定 SSLデコード 結 果 を 各 種 ロ グに 出 力 するかの 選 択 HTTPSアクセス 警 告 表 示 HTTPS 通 信 内 容 が 管 理 者 によって 監 視 されているこ とを 利 用 者 に 通 知 サーバー 証 明 書 の 確 認 HTTPSサイトの 証 明 書 を i-filter が 確 認
i-filter SSL Adapter の 設 定 (2) 証 明 書 インポート 生 成 または 取 得 した 秘 密 鍵 や 各 種 証 明 書 のファイルを 証 明 書 インポート 画 面 より i-filter に 設 定 する 操 作 後 設 定 を 有 効 にするため i-filter を 再 起 動 する( 右 上 のアイコンを 押 して 実 行 できます)
i-filter SSL Adapter の 設 定 (3) SSLデコード 除 外 ホスト デコードによる 暗 号 化 通 信 のログ 記 録 を 行 いたくないホスト(オンラインバンキング など)を 指 定 する 設 定 は i-filter 全 体 に 対 して 有 効
i-filter SSL Adapter の 設 定 (4) SSLデコード 対 象 グループ 暗 号 化 通 信 のデコードを 行 うグループを 選 択 する
秘 密 鍵 証 明 書 の 準 備 i-filter SSL Adapter を 使 用 するにあたり 必 要 な 情 報 サーバーの 秘 密 鍵 サーバー 証 明 書 ルート 証 明 書 i-filterサーバー 上 で OpenSSL(オープンソースソフトウェ ア)を 使 用 して 作 成 します i-filterサーバー 上 で OpenSSLを 使 用 して 上 記 の 秘 密 鍵 よ り 証 明 書 署 名 要 求 (CSR)を 作 成 し 認 証 局 の 署 名 を 加 えて 作 成 します 本 資 料 では 認 証 局 もi-FILTERサーバー 上 に 作 成 し 自 分 で 署 名 を 加 えるケースを 説 明 しています ( 自 己 署 名 証 明 書 の 作 成 ) Internet Explorerにあらかじめ 登 録 されているルート 証 明 書 を 取 得 します 本 資 料 で 説 明 している 秘 密 鍵 証 明 書 の 作 成 手 順 は 一 例 であり これらの 手 順 により 必 要 な 情 報 が 作 成 される ことを 保 証 するものではありません OpenSSLの 導 入 方 法 やコマンド 等 に 関 するお 問 い 合 わせについては 弊 社 ではお 受 けしかねます 本 資 料 が 示 す 手 順 に 沿 った 操 作 で 生 じた 結 果 については 弊 社 では 責 任 を 負 いかねます
秘 密 鍵 証 明 書 の 生 成 手 順 (1) 作 業 環 境 OS : CentOS 5.4(Serverのみを 指 定 してインストール) OpenSSL : 0.9.8e-fips-rhel5 01 Jul 2008( 上 記 の 指 定 でインストール 済 み) 1. サーバー 用 秘 密 鍵 を 作 成 する 緑 色 文 字 の 部 分 を 入 力 します # cd /etc/pki # mkdir server # cd server # openssl genrsa -out i-filter.key 1024 Generating RSA private key, 1024 bit long modulus...++++++...++++++ e is 65537 (0x10001) # この 操 作 により /etc/pki/server 下 にサーバー 用 秘 密 鍵 (i-filter.key)が 生 成 されます ここで 作 成 したサーバー 用 秘 密 鍵 は i-filter SSL Adapter の 証 明 書 インポート 画 面 から 設 定 す る 秘 密 鍵 ファイル に 該 当 します 作 業 ディレクトリや 秘 密 鍵 のファイル 名 は 上 記 のとおりでなくてもかまいません
秘 密 鍵 証 明 書 の 生 成 手 順 (2) 2. サーバー 用 証 明 書 を 作 成 する 2-1. 証 明 書 署 名 要 求 (CSR)を 作 成 する 緑 色 文 字 の 部 分 を 入 力 します # cd /etc/pki/server # openssl req -new -out i-filter.csr -key i-filter.key... Country Name (2 letter code) [GB]:JP State or Province Name (full name) [Berkshire]:Tokyo Locality Name (eg, city) [Newbury]:Chiyoda Organization Name (eg, company) [My Company Ltd]:Digital Arts Inc. Organizational Unit Name (eg, section) []:Development division Common Name (eg, your name or your server's hostname) []:proxy.example.com Email Address []:info@example.com... A challenge password []: ( 何 も 入 力 しない) An optional company name []: ( 何 も 入 力 しない) # この 操 作 により /etc/pki/server 下 にサーバー 用 証 明 書 署 名 要 求 (i-filter.csr)が 生 成 されます 認 証 局 の 署 名 を 加 える 場 合 は この 証 明 書 署 名 要 求 を 認 証 局 に 提 示 して 署 名 を 申 請 します 作 業 ディレクトリや 秘 密 鍵 証 明 書 署 名 要 求 のファイル 名 は 上 記 のとおりでなくてもかまいま せん
秘 密 鍵 証 明 書 の 生 成 手 順 (3) 2-2. 認 証 局 を 作 成 する 緑 色 文 字 の 部 分 を 入 力 します # cd /etc/pki/tls/misc #./CA -newca mkdir: ディレクトリ `../../CA' を 作 成 できません: ファイルが 存 在 します mkdir: ディレクトリ `../../CA/private' を 作 成 できません: ファイルが 存 在 します CA certificate filename (or enter to create) ( 何 も 入 力 しない)... Enter PEM pass phrase:(パスフレーズ) Verifying - Enter PEM pass phrase:(パスフレーズ)... Country Name (2 letter code) [GB]:JP State or Province Name (full name) [Berkshire]:Tokyo Locality Name (eg, city) [Newbury]:Chiyoda Organization Name (eg, company) [My Company Ltd]:Digital Arts Inc. Organizational Unit Name (eg, section) []:Development division Common Name (eg, your name or your server's hostname) []:Private_CA Email Address []:info@example.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:(パスワード) An optional company name []: ( 何 も 入 力 しない)
秘 密 鍵 証 明 書 の 生 成 手 順 (4) 2-2. 認 証 局 を 作 成 する( 続 き) Using configuration from /etc/pki/tls/openssl.cnf Enter pass phrase for../../ca/private/./cakey.pem:( 上 記 と 同 じパスフレーズ) Check that the request matches the signature Signature ok Certificate Details:... Certificate is to be certified until Jan 13 20:12:08 2013 GMT (1095 days) Write out database with 1 new entries Data Base Updated # この 操 作 により /etc/pki/ca 下 に 認 証 局 に 関 連 した 複 数 のファイルやディレクトリが 生 成 されます 入 力 する 文 言 は 上 記 のとおりでなくてもかまいませんが パスフレーズは 同 じ 文 字 列 を 指 定 し ないとエラーとなります
秘 密 鍵 証 明 書 の 生 成 手 順 (5) 2-3. 証 明 書 署 名 要 求 に 対 して 自 己 署 名 を 行 う 緑 色 文 字 の 部 分 を 入 力 します # cd /etc/pki/tls/misc # openssl ca -in /etc/pki/server/i-filter.csr -keyfile /etc/pki/ca/private/ cakey.pem -cert /etc/pki/ca/cacert.pem -out /etc/pki/server/i-filter.pem Using configuration from /etc/pki/tls/openssl.cnf Enter pass phrase for /etc/pki/ca/private/cakey.pem:(2-2.で 指 定 したものと 同 じパスフレ ーズ) Check that the request matches the signature Signature ok Certificate Details:... Certificate is to be certified until Mar 24 03:03:24 2011 GMT (365 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated # この 操 作 により /etc/pki/server 下 にサーバー 証 明 書 (i-filter.pem)が 生 成 されます ここで 作 成 したサーバー 用 秘 密 鍵 は i-filter SSL Adapter の 証 明 書 インポート 画 面 から 設 定 す る 証 明 書 ファイル に 該 当 します
秘 密 鍵 証 明 書 の 生 成 手 順 (6) 3. ルート 証 明 書 を 作 成 ( 取 得 )する 3-1. メニューより[ツール(T)]-[インターネット オプション(O)]を 選 択 する 3-2. 開 いた 画 面 より コンテンツ タブを 選 択 する 3-3. 証 明 書 (C) ボタンを 押 す Internet Explorer 8を 使 用 した 場 合 の 例
秘 密 鍵 証 明 書 の 生 成 手 順 (7) 3-4. 開 いた 画 面 より 信 頼 されたルー ト 証 明 機 関 タブを 選 択 する 3-5. 表 示 されたルート 証 明 機 関 の 一 覧 にある 証 明 書 をすべて 選 択 して エクスポート(E) ボタンを 押 す
秘 密 鍵 証 明 書 の 生 成 手 順 (8) 3-6. 証 明 書 のエクスポート ウィザード 画 面 が 表 示 されたら 次 へ(N) > ボタ ンを 押 す 3-7. エクスポートするファイル 名 を 指 定 し 次 へ(N) > ボタンを 押 す
秘 密 鍵 証 明 書 の 生 成 手 順 (9) 3-8. 証 明 書 のエクスポートウィザードが 完 了 した 旨 の 画 面 が 表 示 されたら 完 了 ボタンを 押 す 3-9. 証 明 書 がエクスポートされたことを 確 認 し OK ボタンを 押 す
秘 密 鍵 証 明 書 の 生 成 手 順 (10) 3-10. 3-9.でエクスポートした 証 明 書 ファイルを OpenSSLがインストールされている サーバーへ 転 送 する 3-11. 証 明 書 ファイルを DER 形 式 (バイナリ)からPEM 形 式 (テキスト)へ 変 換 する 緑 色 文 字 の 部 分 を 入 力 します ディレクトリは 仮 に /etc/pki/server とします # openssl pkcs7 -inform DER -outform PEM -in./rootcert.p7b -out./rootcert.pem -print_certs # この 操 作 により /etc/pki/server 下 にルート 証 明 書 (rootcert.pem)が 生 成 されます ここで 作 成 したルート 証 明 書 は i-filter SSL Adapter の 証 明 書 インポート 画 面 から 設 定 する ル ート 証 明 書 ファイル に 該 当 します 作 業 ディレクトリや 秘 密 鍵 証 明 書 署 名 要 求 のファイル 名 は 上 記 のとおりでなくてもかまいま せん
HTTPSサイトアクセス 時 の 警 告 (フロー) 暗 号 化 通 信 の 内 容 を 把 握 することへの さまざまな 警 告 や 注 意 喚 起 1 2 Webブラウザーが 表 示 する 警 告 ( 不 正 な 証 明 書 ) i-filter が 表 示 する 警 告 ( 監 視 の 周 知 ) 情 報 リテラシーの 向 上 閲 覧 者 への 自 制 の 促 し Webブラウザー Webサーバー 警 告 画 面 は 一 定 時 間 を 経 過 するごとに 再 度 表 示 されます 3 番 目 の 警 告 画 面 は 自 己 署 名 証 明 書 を 使 用 し ている 場 合 などに 表 示 されます 3 i-filter が 表 示 する 警 告 ( 不 正 な 証 明 書 )
暗 号 化 通 信 を 監 視 することへの 考 え 方 暗 号 化 通 信 を 監 視 することへの 課 題 や 懸 念 閲 覧 者 のプライバシー 侵 害 のおそれ 部 分 的 に 通 信 内 容 の 監 視 を 許 容 する 判 例 東 京 地 判 平 成 13(2001) 年 12 月 3 日 労 判 826 号 76 頁 NBL734 号 6 頁 東 京 地 判 平 成 14(2002) 年 2 月 26 日 労 判 825 号 50 頁 など 組 織 の 設 備 を 使 用 した 組 織 内 からのWeb 閲 覧 は 業 務 の 一 環 にあたる 従 業 員 の 職 務 専 念 義 務 組 織 による 業 務 監 督 権 指 揮 命 令 権 使 用 者 責 任 の 発 生 電 気 通 信 事 業 法 が 定 める 通 信 の 秘 密 を 守 る 義 務 の 侵 害 にはあたらない 対 策 ポリシーの 策 定 オンライン 決 済 サイトは 監 視 しない など 組 織 内 への 周 知 定 期 的 にWebブラウザー 上 に 表 示 する(デコード 警 告 画 面 )
HTTPSサイトアクセス 時 の 警 告 (1) HTTPSサイトを 閲 覧 しようとすると Webブラウザーによる 警 告 画 面 が 表 示 される 本 来 の 接 続 先 サイトのホス ト 名 と i-filter が 持 つ サーバー 証 明 書 に 埋 め 込 ま れたホスト 名 とが 異 なるた めに 表 示 される 構 成 上 やむを 得 ない 仕 様 技 術 的 な 回 避 方 法 はなく あらかじめネットワーク 管 理 者 が 利 用 者 に 対 し 本 現 象 が 発 生 することとこれが 問 題 ないことを 周 知 する 警 告 画 面 (Internet Explorer 8の 場 合 ) このリンクをクリックして 閲 覧 を 続 行 します
HTTPSサイトアクセス 時 の 警 告 (2) HTTPSサイトを 閲 覧 しようとすると i-filter による 警 告 画 面 が 表 示 される 暗 号 化 通 信 がネットワーク 管 理 者 によってデコードさ れることを 利 用 者 に 通 知 す る このボタンを 押 して 閲 覧 を 続 行 します 警 告 画 面 (Internet Explorer 8の 場 合 )
HTTPSサイトアクセス 時 の 警 告 (3) HTTPSサイトを 閲 覧 しようとすると i-filter による 警 告 画 面 が 表 示 される i-filter に 設 定 されて いるサーバー 証 明 書 が 信 頼 されていない( 自 己 署 名 証 明 書 など) 場 合 に 表 示 され る i-filter による 証 明 書 の 信 頼 性 チェックを 行 わな いように 設 定 することも 可 能 警 告 画 面 (Internet Explorer 8の 場 合 ) このボタンを 押 して 閲 覧 を 続 行 します
よくある 質 問 と 答 え(1) Q 証 明 書 とはどのようなも のですか サーバーの 証 明 書 が 妥 当 であるかをクライアント 側 で 確 認 することはでき ませんか クライアント 証 明 書 を 要 求 するサイトへアクセスでき ますか A 証 明 書 にはサーバーのホスト 名 が 記 載 されており サーバー 証 明 書 を 発 行 する 認 証 局 は そのホスト 名 のドメイン 名 の 所 有 者 以 外 に 証 明 書 を 発 行 することがないよう 厳 重 に 管 理 しています これにより 接 続 するサーバーがそのドメイン 名 の 所 有 者 が 管 理 して いるサーバーであることが 保 証 され 盗 聴 やなりすましを 防 ぐことがで きます サーバーが 提 示 する 証 明 書 はクライアントに 成 り 代 わって i- FILTER が 受 け 取 り クライアントは i-filter の 証 明 書 のみを 受 け 取 ることになるため サーバーの 証 明 書 をクライアント 側 で 直 接 確 認 することはできません この 制 限 を 補 うため サーバーから 提 示 された 証 明 書 の 妥 当 性 を i- FILTER で 検 証 する 機 能 を 持 ちます クライアント 証 明 書 を 必 要 とするサイトへ i-filter を 経 由 してアクセ スすることはできません SSLデコード 除 外 ホスト 機 能 を 使 用 して 当 該 サイトをデコードの 対 象 から 除 外 してください
よくある 質 問 と 答 え(2) Q i-filter で 使 用 する 証 明 書 や 秘 密 鍵 はど のように 用 意 すればよいですか A 以 下 の 方 法 があり それぞれ 特 徴 があります 方 法 メリット デメリット 推 奨 著 名 で 十 分 に 信 頼 されて いる 認 証 局 より 証 明 書 を 発 行 してもらう 利 用 組 織 側 での 作 業 が 最 小 限 に 抑 えられる 発 行 費 用 がかかり 継 続 には 更 新 が 必 要 ローカルな 認 証 局 を 組 織 内 に 設 置 し これにより 署 名 された 証 明 書 を 取 得 す る 外 部 へ 支 払 う 費 用 が 発 生 しない Active Directoryを 使 用 している 場 合 は 認 証 局 の 運 用 が 容 易 自 己 署 名 証 明 書 を 独 自 に 作 成 する 証 明 書 の 作 成 が 簡 易 Webブラウザーにて 証 明 書 の 妥 当 性 を 判 定 で きない
本 書 掲 載 内 容 の 複 写 無 断 転 載 を 禁 じます より 便 利 な より 快 適 な より 安 全 なインターネットライフに 貢 献 していく 本 書 は2010 年 1 月 15 日 現 在 の 情 報 に 基 づいて 作 成 しております ( 記 載 内 容 は 予 告 無 く 変 更 される 場 合 があります) 本 書 は 弊 社 i-filter および 関 連 製 品 の 導 入 検 討 のためにのみご 利 用 いただき 他 の 目 的 のためには 使 用 しないようご 注 意 ください デジタルアーツ/DIGITAL ARTS ZBRAIN アイフィルター/i-フィルター/i-FILTER はデジタルアーツ 株 式 会 社 の 登 録 商 標 です Solaris は 米 国 Sun Microsystems, Inc. の 米 国 およびその 他 の 国 における 商 標 または 登 録 商 標 です Microsoft Windows Windows は 米 国 Microsoft Corporation の 米 国 およびその 他 の 国 における 登 録 商 標 です Linux は Linus Torvalds の 米 国 およびその 他 の 国 における 登 録 商 標 または 商 標 です その 他 記 載 されている 会 社 名 製 品 名 は 一 般 に 各 社 の 商 標 または 登 録 商 標 です デジタルアーツ 株 式 会 社 100-0014 東 京 都 千 代 田 区 永 田 町 2-13-10 プルデンシャルタワー15F Tel 03-3580-6789 Fax 03-3580-3031 ifilterb@daj.co.jp www.daj.jp PS000960-001