ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
証明書の設定
証明書の設定
発行日;2012/02/01 | 英語版ドキュメント(2010/09/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

証明書の設定

CA 証明書の認証

CA 証明書の追加とインストール

ID 証明書の認証

コード署名者証明書

ローカル認証局

ユーザ証明書の管理

ユーザ データベースの管理

証明書の設定

デジタル証明書は、認証に使用されるデジタル ID を保持しています。デジタル証明書には、名前、シリアル番号、社名、部署、IP アドレスなど、デバイスやユーザを特定するための情報が記述されています。デジタル証明書は、公開鍵/秘密鍵暗号によりセキュリティを確保する PKI という枠組みを前提としたもので、CA によって発行されます。CA とは、証明書にその信頼性を裏付ける「署名」を行い、デバイスまたはユーザの身元 を保証する信頼できる認証機関のことです。

デジタル証明書を使用して認証を行う場合は、セキュリティ アプライアンスに 1 つ以上の ID 証明書と、その発行元の CA 証明書が必要です。セキュリティ アプライアンスには、ID、ルート証明書、および証明書の階層を複数用意しておくことができます。次のように、デジタル証明書にはさまざまなタイプがあります。

CA 証明書 は、他の証明書に署名するために使用されます。自己署名される CA 証明書は ルート証明書 と呼ばれ、他の CA 証明書によって発行される CA 証明書は 下位証明書 と呼ばれます。CA 証明書の認証を参照してください。

ID 証明書 は、特定のシステムまたはホストの証明書です。この証明書も CA により発行されます。ID 証明書の認証を参照してください。

コード署名者証明書 は、コードに署名するためのデジタル署名を作成する際に使用される特殊な証明書であり、署名されたコードそのものが証明書の作成元を示しています。コード署名者証明書を参照してください。

ローカル認証局(CA)は、セキュリティ アプライアンスの独立認証局機能を統合したもので、証明書の配布と、発行された証明書に対するセキュアな失効チェックを行います。ブラウザの Web ページからログインしてユーザ登録を行う場合には、ローカル CA により実現されるセキュアで設定可能な内部認証局機能によって、証明書の認証を行うことができます。ローカル認証局ユーザ証明書の管理およびユーザ データベースの管理を参照してください。

CA 証明書の認証

[CA Certificates] パネルでは、自己署名証明書または下位 CA 証明書の認証を行い、それらをセキュリティ アプライアンスにインストールできます。また、新しい証明書コンフィギュレーションを作成することも、既存の証明書コンフィギュレーションを編集することもできます。

選択した証明書が手動登録用に設定されている場合は、このパネルで CA 証明書を手動で取得してインポートする必要があります。選択した証明書が自動登録用に設定されている場合は、SCEP プロトコルを介して CA にアクセスしたセキュリティ アプライアンスによって、証明書の取得およびインストールが自動的に行われます。

[CA Certificates] のフィールド

[Certificates] :発行先および発行元によって識別される使用可能な証明書、証明書の期限が切れる日付、および証明書の使用方法または目的のリストが表示されます。リスト内の証明書をクリックしてそのコンフィギュレーションを編集したり、新しい証明書を表示リストに追加したりできます。

[Add] ボタン :リストに新しい証明書コンフィギュレーションを追加します。「CA 証明書の追加とインストール」を参照してください。

[Edit] ボタン :既存の証明書コンフィギュレーションを修正します。「CA 証明書コンフィギュレーションの編集」を参照してください。

[Show Details] ボタン :選択した証明書の詳細と発行元情報を表示します。「CA 証明書の詳細の表示」を参照してください。

[Request CRL] ボタン :既存の CA 証明書の Certificate Revocation List(CRL; 証明書失効リスト)にアクセスします。「CRL の要求」を参照してください。

[Delete] ボタン :既存の CA 証明書のコンフィギュレーションを削除します。「CA 証明書の削除」を参照してください。

[Apply] ボタン :新規作成または修正した CA 証明書コンフィギュレーションを保存します。

[Reset] ボタン :編集内容をすべて削除し、元の表示内容に戻します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

CA 証明書の追加とインストール

[CA Certificate] パネルでは、手動による証明書の貼り付けや自動登録を使用して、既存のファイルから証明書コンフィギュレーションを新たに追加できます。適切なオプションをクリックして、次のいずれかをアクティブにします。

[Install from a File:] :既存のファイルから証明書コンフィギュレーションを追加する場合に、パスとファイル名を入力します。入力後は、 [Install Certificate] をクリックします。このボックスにファイルのパス名を手動で入力する代わりに、 [Browse] をクリックしてファイルを検索することもできます。 [Browse] をクリックすると、[Load CA certificate file] ダイアログボックスが表示されます。ここから、証明書が含まれるファイルを探します。

[Paste certificate in PEM format:] :手動登録の場合、PEM 形式の証明書(base64 または 16 進数形式)をコピーして、このパネルに貼り付け、 [Install Certificate] をクリックします。

[Use SCEP:] :自動登録の場合、セキュリティ アプライアンスでは、Simple Certificate Enrollment Protocol(SCEP)プロトコルを介して CA にアクセスすることにより、証明書が取得され、デバイスにインストールされます (SCEP)。SCEP は、ユーザによる操作がほとんど必要ないセキュアなメッセージ プロトコルです。SCEP を使用すると、VPN Concentrator Manager だけを使用して証明書の登録やインストールを行うことができます。SCEP を使用するには、インターネットを介して、SCEP をサポートする CA に登録する必要があります。

SCEP 自動登録を行う場合は、次のフィールドを使用して必要事項を指定してください。

[SCEP URL: HTTP://] :自動インストールする証明書のパスとファイル名を入力します。

[Retry Period] :証明書のインストールを再試行する時間の上限を分単位で指定します。デフォルトは 1 分です。

[Retry Count] :証明書のインストールの再試行回数を指定します。デフォルトは 0 です。この場合は、再試行時間内であれば何度でも再試行できます。

[More Options...] :新しい証明書に追加オプションを指定する場合、 [More Options...] ボタンをクリックすると、新規および既存の証明書の設定オプションが表示されます。「CA 証明書の設定オプション」を参照してください。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

CA 証明書コンフィギュレーションの編集

既存の証明書の特性を修正する場合は、その証明書を選択し、 [Edit] ボタンをクリックします。複数のタブが表示されるので、そこからタブを選択して CA 証明書コンフィギュレーションの詳細を指定します。詳細については、「CA 証明書の設定オプション」を参照してください。

CA 証明書の詳細の表示

[Show Details] ボタンをクリックすると、[Certificate Details] ダイアログボックスが表示されます。このダイアログボックスには選択した証明書に関する次のような情報が表示されます。

[General] :タイプ、シリアル番号、ステータス、使用方法、公開鍵タイプ、CRL 分散ポイント、証明書の有効期間、および関連付けられている証明書が表示されます。これらの項目は、ステータスが [Available] の場合でも [Pending] の場合でも同じように表示されます。

[Issued to] :サブジェクト DN または証明書所有者の X.500 フィールドとその値が表示されます。ただしこれが表示されるのは、ステータスが [Available] の場合だけです。

[Issued by] :証明書を付与したエンティティの X.500 フィールドが表示されます。ただしこれが表示されるのは、ステータスが [Available] の場合だけです。

CRL の要求

[Request CRL] ボタンを使用すると、現在のバージョンの証明書失効リスト(CRL)がアップデートされます。CRL のアップデートにより、証明書ユーザに現在のステータスが反映されます。要求が失敗すると、エラー メッセージが表示されます。

CRL は、生成された後、期限が切れるまで自動的に再生成されますが、 [Request CRL] ボタンをクリックすれば、CRL ファイルのアップデートと再生成がその場で実行されます。

CA 証明書の削除

[Delete] ボタンをクリックすると、選択した CA 証明書コンフィギュレーションがただちにセキュリティ アプライアンスから削除されます。証明書コンフィギュレーションは、一度削除すると復元できません。削除された証明書を再作成するには、 [Add] ボタンを使用して証明書コンフィギュレーション情報を最初から再入力する必要があります。


) 証明書コンフィギュレーションは、一度削除すると復元できません。


CA 証明書の設定オプション

[Add] ボタンで新しい CA 証明書を追加する場合、および [Edit] ボタンで既存の CA 証明書を修正する場合には、追加の設定オプションを使用できます。

CA 証明書コンフィギュレーションの詳細は、タブで選択できる次の各パネルで指定します。用意されているタブ付きのパネルは次のとおりです。

[Revocation Check] :[Revocation Check] パネルでは、失効チェックのオン/オフの切り替えや、失効チェックの方法(CRL または OCSP)を指定できるほか、証明書の検証時に失効チェック エラーを無視するように指定することもできます。[Revocation Check] パネルの詳細については、「失効チェックの設定」を参照してください。

[CRL Retrieval Policy] :[CRL Retrieval Policy] パネルでは、CRL 分散ポイントを使用するかどうかや、スタティック CRL URL を設定できます。また、ステータス CRL URL の追加、編集、および削除を行うこともできます。詳細については、「CRL 取得ポリシーの設定」を参照してください。

[CRL Retrieval Method] :[CRL Retrieval Method] パネルでは、CRL 取得に使用する方式として、Lightweight Directory Access Protocol(LDAP)、HTTP、または Simple Certificate Enrollment Protocol(SCEP)を選択できます。LDAP 方式を使用する場合は、LDAP パラメータとセキュリティを設定できます。「CRL 取得方式の設定」を参照してください。

[OCSP Rules] :Online Certificate Status Protocol(OCSP)は、X.509 デジタル証明書の失効ステータスの取得に使用され、証明書失効リスト(CRL)の代替手段となります。詳細については、「OCSP ルールの設定」を参照してください。「OCSP ルールの設定」を参照してください。

[Advanced] :[Advanced] パネルでは、CRL アップデート パラメータ、OCSP パラメータ、証明書の受け入れパラメータおよび検証パラメータを設定できます。「高度な設定オプション」を参照してください。

失効チェックの設定

[Revocation Check] 編集オプション パネルでは、次の手順に従って、ユーザ証明書の失効チェックのレベルを指定できます。

失効チェックを実行しない:証明書の失効チェックをディセーブルにする場合は、 [Do not check certificates for revocation] ボタンをクリックします。

失効チェックの方式:失効チェック方式を選択する場合は(複数可)、 [Check certificates for revocation] をクリックします。使用できる方式が左側に表示されます。 [Add] ボタンを使用して方式を右側に移動します。

選択した方式は、追加した順序で実装されます。ある方式でエラーが検出されると、後続の失効チェック方式がアクティブになります。

失効チェックの結果を無視する:失効チェックのエラーを無視する場合は、 [Consider certificate valid if revocation checking returns errors] ボタンをクリックします。

CRL 取得ポリシーの設定

[CRL Retrieval Policy] パネルでは、CRL 失効チェックの CRL 分散ポイントまたは固定の移動先を指定します。

証明書の CRL 分散ポイント: [Use CRL Distribution Point from the certificate] ボタンをクリックし、チェック中の証明書に含まれている CRL 分散ポイントに失効チェックを転送します。

固定 URL: [Use Static URLs configured below] ボタンをクリックすると、CRL の取得に使用する特定の URL が一覧表示されます。選択した URL は、追加した順序で実装されます。指定した URL でエラーが発生した場合、後続の URL が順序に従ってアクセスされます。

[://]:CRL を分散する場所を入力します。

CRL 取得方式の設定

[CRL Retrieval Method] パネルでは、CRL を取得する際に使用する方式を選択できます。

[Enable Lightweight Directory Access Protocol (LDAP)] ボタンをクリックすると、CRL の取得方式として LDAP が指定されます。LDAP を使用して CRL を取得する場合は、指定した LDAP サーバにパスワードを使用して接続することで、LDAP セッションが開始されます。デフォルトの場合、この接続には TCP ポート 389 を使用されます。次の各 LDAP パラメータは必須項目です。

[Name:]

[Password:]

[Confirm Password:]

[Default Server:](サーバ名)

[Default Port:](389(デフォルト))

HTTP:CRL 取得の方式として HTTP を選択する場合は、 [Enable HTTP] ボタン をクリックします。

SCEP:CRL 取得の方式として SCEP を選択する場合は、 [Enable Simple Certificate Enrollment Protocol (SCEP)] をクリックします。

OCSP ルールの設定

[OCSP Rules] パネルでは、X.509 デジタル証明書の失効ステータスを取得するための OCSP ルールを設定できます。

[OCSP Rules] のフィールド

[Certificate Map] この OCSP ルールに一致する証明書マップの名前が表示されます。証明書マップにより、ユーザ権限と、証明書の特定のフィールドとの照合が行われます。OCSP ルールを設定する場合は、その前に証明書マップを設定する必要があります。

[Certificate] :セキュリティ アプライアンスにおいて応答側の証明書の検証に使用される CA の名前が表示されます。

[Index] :ルールのプライオリティ番号が表示されます。セキュリティ アプライアンスでは、プライオリティ順に OCSP ルールが検証され、最初に一致したルールが適用されます。

[URL] :この証明書の OCSP サーバの URL が表示されます。

[Add] :新しい OCSP ルールを追加します。

[Edit] :既存の OCSP ルールを編集します。

[Delete] :OCSP ルールを削除します。

高度な設定オプション

[Advanced] タブ では、CRL および OCSP のオプションを指定できます。 証明書は、発行されると一定の期間有効です。ただし、セキュリティ上の問題が起こる可能性がある場合や、名前やアソシエーションが変更された場合などには、この期間が終了する前に、CA によって証明書が無効になることもあります。CA では、無効になった証明書の署名付きリストが定期的に発行されます。失効チェックをイネーブルにすると、セキュリティ アプライアンスでは、検証中の証明書が CA により無効になっていないかについてのチェックが行われます。

セキュリティ アプライアンスでは、失効ステータスに対して、CRL および OCSP という 2 つのチェック方法がサポートされています。

フィールド

[CRL Options]

[Cache Refresh Time] キャッシュのリフレッシュ間隔を分単位で指定します。デフォルトは 60 分です。また、指定できる範囲は、1 ~ 1440 分です。

CA から同じ CRL を何度も受け取る必要のないように、セキュリティ アプライアンスでは、取得した CRL をローカルで保存できます。これを CRL キャッシングと呼びます。CRL キャッシュの容量はプラットフォームによって異なり、すべてのコンテキストについて累積されます。新たに取得した CRL をキャッシュすることで、保存制限を超える可能性がある場合は、セキュリティ アプライアンスにより使用頻度が最も低い CRL が削除され、使用可能な空き容量が確保されます。

[Enforce next CRL update] Next Update 値の有効期限が切れていない CRL に限り、有効な CRL として使用できるようにします。このチェックボックスをオフにすると、Next Update 値がない場合や、Next Update 値の有効期限が切れている場合でも有効な CRL として使用できます。

[OCSP Options]

[Server URL:] :OCSP サーバの URL を入力します。 セキュリティ アプライアンス で使用される OCSP サーバは、次の順に選択されます。

1. 一致証明書上書きルールの OCSP URL に対応するサーバ

2. [OCSP Options] のこのアトリビュートに設定した OCSP URL に対応するサーバ

3. リモート ユーザ証明書の AIA フィールドで指定されたサーバ

[Disable nonce extension] :OCSP 要求にはデフォルトで、ナンス拡張が含まれています。ナンス拡張は、リプレイ アタックを防ぐために、暗号化を介して要求と応答をバインドするためのものです。要求と応答との間でそれぞれのナンス拡張を照合し、両者が同一であることを確認することで、リプレイ アタックを防ぐことができます。ただし、事前に生成した応答には、各要求と一致するナンス拡張は含まれていません。そのため、使用している OCSP サーバから、事前に生成した応答を送信する場合は、ナンス拡張をディセーブルにしてください。

[Validation Policy]

[Specify the type of client connections that can be validated by this CA] [SSL] または [IPSec] をクリックすると、対象の CA により検証できるリモート セッションのタイプを制限できます。また、[SSL] および [IPSec] をクリックすると、そのどちらのタイプのセッションについても、対象の CA による検証が可能になります

[Other Options]

[Accept certificates issued by this CA] [CA Name] に指定された CA からセキュリティ アプライアンスが証明書を受け取る必要があるかどうかを指定します。

[Accept certificates issued by the subordinate CAs of this CA]

ID 証明書の認証

ID 証明書は、セキュリティ アプライアンス経由の VPN アクセスの認証に使用できます。[Identity Certificates] パネルで、 [SSL Settings ] リンクまたは [ IPsec Connections ] リンクをクリックすると、追加のコンフィギュレーション情報が表示されます。

[Identity Certificates Authentication] パネルでは、次の操作を実行できます。

ID 証明書を追加する。「ID 証明書の追加とインストール」を参照してください。

ID 証明書の詳細を表示する。「ID 証明書の詳細の表示」を参照してください。

既存の ID 証明書を削除する。「ID 証明書の削除」を参照してください。

既存の ID 証明書をエクスポートする。「ID 証明書のエクスポート」を参照してください。

ID 証明書をインストールする。「ID 証明書のインストール」を参照してください。

Entrust の証明書を登録する。「Generate Certificate Signing Request」を参照してください。

ID 証明書の追加とインストール

[Identity Certificate] パネルでは、ファイルから既存の ID 証明書をインポートできるほか、既存のファイルから新しい証明書コンフィギュレーションを追加することもできます。

適切なオプションをクリックして、次のいずれかをアクティブにします。

[Add Identity Certificate] のフィールド

[Add Identity Certificate] ダイアログボックスでは次のようにして、各フィールドに値を割り当てます。

既存のファイルから ID 証明書をインポートする場合は、 [Import the identity certificate from a file] を選択し、次の情報を入力します。

[Decryption Pass Phrase]:PKCS12 ファイルの復号化に使用するパスフレーズを指定します。

[File to Import From]:このボックスにはファイルのパス名を入力します。ただし、 [Browse] をクリックしてファイルを検索することもできます。 [Browse] をクリックすると [Load Identity Certificate file] ダイアログボックスが表示されます。この中から証明書が含まれるファイルを探します。

新しい ID 証明書を追加するには、次の情報が必要です。

[Key Pair]:ID 証明書を登録する場合は、RSA キー ペアが必要です。セキュリティ アプライアンスでは、複数のキー ペアをサポートします。

[Key Pair name]([Key Pair] > [Show] ウィンドウ):公開鍵の認証が必要なキー ペアの名前を指定します。

[Generation time]([Key Pair] > [Show] ウィンドウ):キー ペアが生成された日付と時刻が表示されます。

[Usage]([Key Pair] > [Show] ウィンドウ):RSA キー ペアの使用方法が表示されます。RSA キーの使用方法には、[ General Purpose ](デフォルト)と [ Special ] の 2 種類があります。[Special] を選択すると、セキュリティ アプライアンスにより署名用と暗号化用の 2 つのキー ペアが生成されます。そのため、対応する ID に対して 2 つの証明書が必要になります。

[Modulus Size (bits)]([Key Pair] > [Show] ウィンドウ):キー ペアのモジュラスのサイズが、512、768、1024 および 2048 で表示されます。デフォルトのサイズは 1024 です。

[Key Data]([Key Pair] > [Show] ウィンドウ):ウィンドウに特定のキー データが表示されます。

[Name]([Key Pair] > [New] ウィンドウ):デフォルトのキー ペア名(<Default-RSA-Key>)を選択するか、新しいキー ペアの名前を入力します。

[Size]([Key Pair] > [New] ウィンドウ):デフォルトのキー ペア サイズを 512、788、1024(デフォルト)、2048 の中から選択します。

[Usage]([Key Pair] > [New] ウィンドウ):キー ペアの使用方法として [ General Purpose ] または [ Special ] を選択します。

[Add Identity Certificate] ペインの [Advanced] ボタンを使用すると、次の証明書パラメータと登録モードを設定できます。さらにオプションで、デバイス固有の ID 証明書の失効パスワードも設定できます。

[FQDN] ([Advanced] > [Certificate Parameters]):一意的なドメイン名である Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)を使用して、DNS ツリー階層内のノードの位置を指定します。

[E-mail] ([Advanced] > [Certificate Parameters]):ID 証明書に関連付けられている E メール アドレスを指定します。

[IP Address] ([Advanced] > [Certificate Parameters]):ネットワーク上のセキュリティ アプライアンスのアドレスを、4 つの部分からなるドット付き 10 進数表記で指定します。

[Include serial number of the device] チェックボックスを使用すると、セキュリティ アプライアンスのシリアル番号を証明書パラメータに追加できます。

[Advanced] > [Enrollment Mode] では、手動登録( [Request by manual enrollment] )または CA による登録( [Request from a CA] )のいずれかを選択できます。CA による登録を選択した場合は、次の情報を指定する必要があります。

[Enrollment URL (SCEP): HTTP://] :自動インストールする証明書のパスとファイル名を入力します。

[Retry Period] :ID 証明書のインストールを再試行する時間の上限を分単位で指定します。デフォルトは 1 分です。

[Retry Count] :ID 証明書のインストールの再試行回数を指定します。デフォルトは 0 です。この場合は、再試行時間内であれば何度でも再試行できます。

[Add Identity Certificate] ペインでは、次のような証明書サブジェクト DN 情報を入力します。

[Certificate Subject DN] :証明書サブジェクト名 DN を指定して、ID 証明書内に DN を設定し、[Certificate Subject DN] ペインで [Select...] ボタンをクリックして DN アトリビュートを追加します。

[Attribute:] ([Certificate Subject DN] > [Select] ウィンドウ):プルダウン メニューから DN アトリビュートを選択します(複数可)。[Certificate Subject DN] では、X.500 のアトリビュートとして次のフィールドを選択できます。

[Certificate Subject DN] のアトリビュート

CN = Common Name

OU = Department

O = Company Name

C = Country

ST = State/Province

L = Location

EA = E-mail Address

[Value] ([Certificate Subject DN] > [Select] ウィンドウ): [Attribute] リストで選択した各 DN アトリビュートに対する値を入力します。アトリビュートに値を割り当てると、 [Add] ボタンがアクティブになります。このボタンを使用して右側にある [Attribute/Value] フィールドにアトリビュートを追加します。アトリビュートとその値を削除する場合は、そのアトリビュートを選択し、アクティブになった [Delete] ボタンをクリックします。

ID 証明書の設定が完了したら、[Add Identity Certificate] ペインの [Add Certificate] をクリックします。その後、必ず [Identity Certificates] ウィンドウの [Apply] ボタンをクリックして、新しい証明書コンフィギュレーションを保存します。

ID 証明書の詳細の表示

[Show Details] ボタンをクリックすると、[Certificate Details] ダイアログボックスが表示されます。このダイアログボックスには選択した証明書に関する次のような情報が表示されます。

[General] :タイプ、シリアル番号、ステータス、使用方法、公開鍵タイプ、CRL 分散ポイント、証明書の有効期間、および関連付けられている証明書が表示されます。これらの項目は、ステータスが [Available] の場合でも [Pending] の場合でも同じように表示されます。

[Issued to] :サブジェクト DN または証明書所有者の X.500 フィールドとその値が表示されます。ただしこれが表示されるのは、ステータスが [Available] の場合だけです。

[Issued by] :証明書を付与したエンティティの X.500 フィールドが表示されます。ただしこれが表示されるのは、ステータスが [Available] の場合だけです。

ID 証明書の削除

[Delete] ボタンをクリックすると、選択した ID 証明書コンフィギュレーションがセキュリティ アプライアンスからただちに削除されます。証明書コンフィギュレーションは、一度削除すると復元できません。削除した証明書を再作成する場合は、 [Add] ボタンを使用して証明書コンフィギュレーション情報を最初から再入力します。


) 証明書コンフィギュレーションは、一度削除すると復元できません。


ID 証明書のエクスポート

[Export] パネルでは、証明書コンフィギュレーションと、それに関連する PKCS12 形式のキーおよび証明書すべてを、同時にエクスポートできます。エクスポートは base64 形式で行う必要があります。コンフィギュレーション全体には、チェーン全体(ルート CA 証明書、ID 証明書、キー ペア)は含まれますが、登録設定(サブジェクト名、FQDN など)は含まれません。通常、この機能は、同じグループ内のセキュリティ アプライアンス間で証明書を複製するために行うフェールオーバーまたはロードバランシングの設定に使用されます。たとえば、リモート アクセス クライアントから中央処理装置への呼び出しが複数のユニットで処理されている場合、 これらのユニット間では、証明書コンフィギュレーションが同一であることが必要となります。このような場合、管理者は、証明書コンフィギュレーションをエクスポートしたうえで、セキュリティ アプライアンスのグループ全体にインポートできます。

[Export Identity Certificate] のフィールド

[Export to a file] 証明書コンフィギュレーションをエクスポートするときに使用する PKCS12 形式ファイルの名前を指定します。

[Certificate Format] [PKCS12 Format] または [PEM Format] をクリックします。PKCS12 形式は公開鍵暗号化標準で、base64 エンコードまたは 16 進数を使用できます。

[Browse] [Select a File] ダイアログボックスが表示されます。この中から、証明書コンフィギュレーションをエクスポートするファイルを探します。

[Encryption Passphrase] PKCS12 ファイルをエクスポート用に暗号化するために使用するパスフレーズを指定します。

[Confirm Passphrase] 暗号化パスフレーズを確認します。

[Export Certificate] :証明書コンフィギュレーションをエクスポートします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

[Generate Certificate Signing Request]

このペインでは、Entrust に送信する証明書署名要求を生成できます。ただし、このリリースの時点で、Entrust がサポートしているのは、モジュラスのサイズが 1024 のキーだけです。それ以外のキーを使用している場合は、Entrust にお問い合せください。

[Generate Certificate Signing Request] のフィールド

[Key Pair] :このドロップダウン メニューには、設定済みキー ペアの名前が表示されます。

[Show] :ここをクリックすると、選択したキーに関する情報(生成された日時、使用方法([General Purpose] または [Special])、モジュラスのサイズ、およびキー データ)が表示されます。

[New] :ここをクリックすると、新しいキー ペアを追加できます。その際、キー ペアの名前、モジュラスのサイズ、および使用方法を指定します。キー ペアを生成する場合は、それをセキュリティ アプライアンスに送信するか、ファイルに保存するかを選択できます。

[Certificate Subject DN] :証明書のさまざまな DN アトリビュートを指定します。

[Common Name (CN)] :セキュリティ アプライアンスの FQDN または IP アドレスを入力します。

[Organization (O)] :社名を入力します。

[Country (C)] :2 文字の国コードを入力します。

[Optional Parameters] :署名要求に対して追加アトリビュートを設定できます。

[Additional DN Attributes] :[Department (OU)]、[State (ST)]、[Location (L)]、および [E-mail Address (EA)] を設定できます。

[FQDN (SubjectAlt Name)] :CA により完全修飾ドメイン名が要求された場合、それをこの証明書拡張フィールドに追加情報として入力します。

[Generate Request] :ここをクリックすると、証明書署名要求を生成できます。生成した証明書署名要求については、Entrust に 送信 するか、 ファイルに保存 するか、または後で送信するかを選択できます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

ID 証明書のインストール

[Identity Certificates] ウィンドウの [Install] ボタンは、保留中の登録がある場合だけアクティブになります。セキュリティ アプライアンスが Certificate Signing Request(CSR; 証明書署名要求)を受信した場合は必ず、[Identity Certificates] ウィンドウに保留中の ID 証明書が表示されます。保留中の ID 証明書を選択すると、[Install] ボタンがアクティブになります。

保留中のファイルを CA に転送すると、CA はそのファイルを登録して証明書をセキュリティ アプライアンスに返します。証明書を取得したら、[Install] ボタンをクリックし、該当する ID 証明書と CA 証明書を選択して操作を完了します。

ここでは、保留中の ID 証明書を追加する手順およびインストールする手順について説明します。

ID 証明書を追加する手順


ステップ 1 [Identity Certificates] パネルで、 [Add] ボタンをクリックします。

ステップ 2 [Add Identity Certificate] パネルで、 [Add a new identity certificate] を選択します。

ステップ 3 必要に応じて、キー ペアを変更するか、新しいキー ペアを作成します。キー ペアは必須です。

ステップ 4 [Certificate Subject DN:] に、証明書サブジェクト DN の情報を入力し、 [Select...] ボタンをクリックします。

ステップ 5 [Certificate Subject DN] パネルでは必ず、CA が要求するサブジェクト DN アトリビュートをすべて指定します。「[Certificate Subject DN] のアトリビュート」を参照してください。すべて指定したら、 [OK] をクリックし、 [Certificate Subject DN] パネルを閉じます。

ステップ 6 [Add Identity Certificate] パネルで、 [Advanced...] ボタンをクリックします。

ステップ 7 [Advanced Options] パネルで、 [FQDN:] フィールドにセキュリティ アプライアンスの正しい FQDN が表示されていることを確認し、 [OK] をクリックしてウィンドウを閉じます。

ステップ 8 [Add Identity Certificate] パネルの下部にある [Add Certificate] をクリックします。

ステップ 9 CSR の名前の入力を求めるプロンプトが表示されたら、 アクセスしやすいテキスト タイプのファイル名(c:verisign-csr.txt など)を入力します。

ステップ 10 CSR テキスト ファイルを CA に送信します。送信する代わりに、CA の Web サイトにある CSR 登録ページにテキスト ファイルを貼り付けることもできます。

ID 証明書をインストールする手順


ステップ 1 CA から ID 証明書が返されたら、[Identity Certificates] パネルに戻り、保留中の証明書エントリを選択し、アクティブになった [Install] ボタンをクリックします。

ステップ 2 新しくインストールされた証明書を SSL VPN で使用できるように割り当てる場合は、証明書リストの下にあるテキストの [SSL Settings] ホットリンクから [SSL Settings] パネルに移動します。

ステップ 3 [SSL Settings] パネルで、証明書に割り当てられているインターフェイスをダブルクリックします。 [Edit SSL Certificate] パネルが表示されます。

ステップ 4 [Edit SSL Certificate] パネルの [Certificate:] プルダウン リストから証明書を選択し、 [OK] をクリックします。選択した ID 証明書は、選択した [Interface] フィールドの右にある [ID Certificate] フィールドに表示されます。

ステップ 5 最後に必ず、 [SSL Settings] パネルの下部にある [Apply] ボタンをクリックして、新しくインストールした証明書を ASA コンフィギュレーションと一緒に保存してください。

コード署名者証明書

コード署名により、デジタル署名が、実行可能なコードそのものに追加されます。このデジタル署名には、さまざまな情報が保持されています。署名以降にそのコードが変更されていないことを保証するだけでなく、署名者を認証する場合に使用することもできます。

コード署名者証明書は、関連付けられている秘密鍵がデジタル署名の作成に使用される特殊な証明書です。コードの署名に使用される証明書は CA から取得され、署名されたコードそのものが証明書の生成元を示しています。このパネルの [Import] ボタンを使用すると、コード署名者証明書をインポートできます。また [Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Java Code Signer] を選択すると、 [Java Code Signer] パネルが表示されます。

[Code-signer Certificate Authentication] パネルでは次の操作を実行できます。

ID 証明書の詳細を表示する。「コード署名者証明書の詳細の表示」を参照してください。

既存の ID 証明書を削除する。「コード署名者証明書の削除」を参照してください。

既存の ID 証明書をエクスポートする。「コード署名者証明書のインポートまたはエクスポート」を参照してください。

コード署名者証明書の詳細の表示

[Show Details] ボタンをクリックすると、[Code Signer Details] ダイアログボックスが表示されます。このダイアログボックスには選択した証明書に関する次のような情報が表示されます。

[General] :タイプ、シリアル番号、ステータス、使用方法、公開鍵タイプ、CRL 分散ポイント、証明書の有効期間、および関連付けられている証明書が表示されます。これらの項目は、ステータスが [Available] の場合でも [Pending] の場合でも同じように表示されます。

[Issued to] :サブジェクト DN または証明書所有者の X.500 フィールドとその値が表示されます。ただしこれが表示されるのは、ステータスが [Available] の場合だけです。

[Issued by] :証明書を付与したエンティティの X.500 フィールドが表示されます。ただしこれが表示されるのは、ステータスが [Available] の場合だけです。

コード署名者証明書の削除

[Delete] ボタンをクリックすると、選択したコード署名者証明書コンフィギュレーションがセキュリティ アプライアンスからただちに削除されます。コンフィギュレーションは一度削除すると復元できません。コンフィギュレーションを再作成するには、 [Import] ボタンを使用してコンフィギュレーション情報を最初から再入力する必要があります。


) [Code Signer] で設定したコンフィギュレーションは、一度削除すると復元できません。


コード署名者証明書のインポートまたはエクスポート

 

[Import Certificate] ウィンドウの各フィールドに、次のようにして値を割り当てます。

[Decryption Passphrase] :PKCS12 ファイルの復号化に使用するパスフレーズを指定します。

[File to Import From] :このボックスにはファイルのパス名を入力します。ただし、[Browse] をクリックしてファイルを検索することもできます。[Browse] をクリックすると [Import Certificate] ダイアログボックスが表示されます。この中から証明書が含まれるファイルを探します。

[Export Certificate] ウィンドウの各フィールドに、次のようにして値を割り当てます。

[Export to file] 証明書コンフィギュレーションをエクスポートするときに使用する PKCS12 形式ファイルの名前を指定します。

[Certificate Format]: [PKCS12 Format] または [PEM Format] をクリックします。PKCS12 形式は公開鍵暗号化標準で、base64 エンコードまたは 16 進数を使用できます。

[Browse] [Select a File] ダイアログボックスが表示されます。この中から、証明書コンフィギュレーションをエクスポートするファイルを探します。

[Decryption Passphrase] PKCS12 ファイルをエクスポート用に復号化するために使用するパスフレーズを指定します。

[Confirm Passphrase] 復号化パスフレーズを確認します。

[Export Certificate] :コンフィギュレーションをエクスポートします。

ローカル認証局

ローカル認証局(CA)は、証明書を認証するためにセキュリティ アプライアンスに常駐する、セキュアで設定可能な内部認証局です。


) ローカル CA により、ブラウザベースの SSL VPN 接続でもクライアントベースの SSL VPN 接続でも使用できる認証局機能が、適応型セキュリティ アプライアンス上に実装されます。


ユーザ登録はブラウザの Web ページへのログインによって行われます。ローカル CA は、セキュリティ アプライアンスの基本認証局機能を統合したもので、証明書の配布と、発行された証明書に対するセキュアな失効チェックを行います。

[Local CA] にある次の各オプションを使用すると、ローカル CA サーバとユーザ データベースの初期化およびセットアップを行うことができます。

セキュリティ アプライアンスのローカル CA サーバの設定。「ローカル CA サーバの設定」を参照してください。

ローカル CA 証明書の失効/失効解除と CRL のアップデート。「ユーザ証明書の管理」を参照してください。

ローカル CA ユーザの追加、編集、および削除。「ユーザ データベースの管理」を参照してください。

デフォルト ローカル CA サーバ

[Local CA] ウィンドウには、セキュリティ アプライアンスにローカル CA サーバをセットアップする際に使用するパラメータが表示されます。初期ローカル CA サーバには次のようなデフォルト特性があります。

設定可能なパラメータ
デフォルト

[Enable] ボタンおよび [Disable] ボタン。ローカル CA サーバをアクティブまたは非アクティブにします。

デフォルトは [Disable]。ローカル CA サーバをアクティブにするには [Enable] を選択します。

イネーブル パスフレーズ。不正なシャットダウンや予期しないシャットダウンが発生しないようにローカル CA サーバを保護します。

必須。デフォルト値はありません。7 文字以上の英数字から成る語を 1 つ指定します。

証明書発行元の名前

cn= hostname.domainname

発行された証明書のキー ペア サイズ

キーごとに 1024 ビット。

ローカル CA 証明書のキー ペア サイズ

キーごとに 1024 ビット。

サーバ証明書の有効期間

サーバ証明書は 3 年間です。

発行されたユーザ証明書の存続期間

ユーザ証明書は 1 年間です。

ローカル CA の E メール用 Simple Mail Transfer Protocol(SMTP)サーバの IP アドレス

必須。デフォルト値はありません。SMTP メール サーバの IP アドレスを指定します。

ローカル CA のユーザ証明書 E メール通知を発行する E メール送信元アドレス

必須。デフォルト値はありません。 adminname@host.com という形式で E メール アドレスを指定します。

ローカル CA の E メール通知の件名

「Certificate Enrollment Invitation」。

[More Options]

それぞれのデフォルト値。

証明書失効リスト(CRL)分散ポイント(CDP)、ローカル CA セキュリティ アプライアンス上の CRL の場所

ローカル CA セキュリティ アプライアンス上の CRL の場所。http:// hostname.domain /+CSCOCA+/asa_ca.crl。

CRL の有効期間

CRL は 6 時間です。

データベース ストレージの場所

オンボード フラッシュ メモリ。

発行された証明書のユーザ名に追加されるデフォルトのサブジェクト名 DN

オプション。デフォルト値はありません。サブジェクト名のデフォルト値を指定します。

登録後/更新時に、発行された証明書の PKC12 ファイルを取得できる期間

24 時間。

ワンタイム パスワードの有効期間

72 時間 (3 日)。

何日前に期限切れ通知を送信するか

証明書期限切れの 14 日前。

注意 [Delete Certificate Authority Server] ボタンをクリックすると、サーバ コンフィギュレーションが完全に削除されます。

ローカル CA サーバの設定

[CA Server] ウィンドウでは、ローカル CA サーバの動作をカスタマイズ、修正、および制御できます。この項では、指定可能なパラメータについて説明します。追加のパラメータを指定する場合は、 [More Options] をクリックします。「その他のローカル CA 設定オプション」を参照してください。設定したローカル CA を完全に削除する手順については、「ローカル CA サーバの削除」を参照してください。ローカル CA サーバをカスタマイズするには、まず上記の表に記載されている初期設定を確認する必要があります。


[Issuer Name] [CA Server Key Size] の値は、ローカル CA をイネーブルにした後は変更できません。設定したローカル CA をイネーブルにする前に、オプションのすべてのパラメータを慎重に見直してください。


[Enable] ボタンと [Disable] ボタン

[Enable] ボタンおよび [Disable] ボタンを使用すると、ローカル CA をアクティブまたは非アクティブにできます。 [Enable] ボタンをクリックしてローカル CA サーバをイネーブルにすると、セキュリティ アプライアンスによりローカル CA サーバ証明書、キー ペア、および必要なデータベース ファイルが生成されます。

自己署名証明書のキー使用拡張機能には、キー暗号化、キー署名、CRL 署名、および証明書署名機能が含まれます。また、 [Enable] ボタンをクリックすると、ローカル CA サーバ証明書とキー ペアが PKCS12 ファイルとしてストレージにアーカイブされます。


) セキュリティ アプライアンスをリブートしてもコンフィギュレーションが失われないように、必ず [Apply] をクリックして、ローカル CA 証明書とキー ペアを保存してください。


[Disable] ボタンを使用してローカル CA サーバを停止するときには、セキュリティ アプライアンス上で稼動するローカル CA サーバをシャットダウンします。コンフィギュレーションおよび関連するファイルはすべてストレージに残ります。Web ページ登録は、ローカル CA の変更または再設定中はディセーブルになっています。

パスフレーズ

初めてローカル CA サーバをイネーブルにする場合は、英数字のイネーブル パスフレーズを指定する必要があります。パスフレーズによって、ストレージにアーカイブされたローカル CA 証明書とローカル CA 証明書キー ペアが保護されます。ローカル CA 証明書またはキー ペアが失われ、その復元が必要となった場合、PKCS12 アーカイブのロックを解除するためには、このパスフレーズが必要です。


) イネーブル パスフレーズにデフォルト値はありません。またパスフレーズは、ローカル CA サーバをイネーブルにする場合には必須の引数です。イネーブル パスフレーズの記録は、必ず安全な場所に保管してください。


[Issuer Name]

[Issuer Name] フィールドには、ユーザ名とサブジェクト名のデフォルト DN 設定により構成される発行元のサブジェクト名 DN が、cn=<FQDN> という形式で設定されます。ローカル CA サーバは、証明書を付与するエンティティです。証明書のデフォルト名は、cn= hostname.domainname という形式で表示されます。

[CA Server Key Size]

[CA Server Key Size] パラメータは、ローカル CA サーバ用に生成されたサーバ証明書で使用されるキーのサイズです。キー サイズには、キーごとに 512、768、1024、2048 ビットのいずれかを指定できます。デフォルト サイズは 1024 ビットです。

[Client Key Size]

[Client Key Size] フィールドには、ローカル CA サーバが発行した各ユーザ証明書に対して生成されるキー ペアのサイズを指定します。キー サイズには、キーごとに 512、768、1024、2048 ビットのいずれかを指定できます。デフォルト サイズは 1024 ビットです。

[CA Certificate Lifetime]

[CA Certificate Lifetime] フィールドには、CA サーバ証明書の有効期間を日数単位で指定します。CA 証明書のデフォルトは 3650 日(10 年)です。

ローカル CA サーバでは、CA 証明書の期限が切れる 30 日前に後継の CA 証明書が自動的に生成されます。この証明書をエクスポートし、他のデバイスにインポートすることにより、ローカル CA 証明書が発行したユーザ証明書のローカル CA 証明書検証を、期限が切れた後に行うことができます。期限切れ前の syslog メッセージは次のとおりです。

%ASA-1-717049: Local CA Server certificate is due to expire in <days> days and a replacement certificate is available for export.


) この自動移行が通知されたら、管理者は期限が切れる前に、必要なデバイスすべてに新しいローカル CA 証明書がインポートされるよう措置を取る必要があります。


[Client Certificate Lifetime]

[Client Certificate Lifetime] フィールドには、CA サーバが発行したユーザ証明書の有効期間を日数単位で指定します。CA 証明書のデフォルトは 365 日(1 年)です。

[SMTP Server & Email Settings]

ローカル CA サーバの E メール アクセスを設定するには、ローカル CA ユーザに E メールを送信するための Simple Mail Transfer Protocol(SMTP) E メール サーバと送信元 E メール アドレスを設定します。また、ローカル CA の E メールで使用する標準の件名を指定します。

[Server IP Address] :[Server IP Address] フィールドには、ローカル CA の E メール サーバの IP アドレスを指定します。サーバの IP アドレスにはデフォルトはないため、SMTP メール サーバの IP アドレスは必ず指定します。

[From Address] :[From Address] フィールドには、ローカル CA ユーザに送信する E メールの送信元の E メール アドレスを指定します。自動 E メール メッセージを使用して行うのは、新しく登録されたユーザへのワンタイム パスワードの送信、証明書の更新が必要なときのメッセージの発行、 およびローカル CA ユーザ証明書の E メール通知の発行です。[From Address] にはデフォルト値がないため、 adminname@host.com という形式で E メール アドレスを指定する必要があります。

[Subject] :[Subject] フィールドには、ローカル CA サーバからユーザに送信されるすべての E メールの件名を、1 行のテキストで指定します。特に指定しない場合は、ローカル CA サーバにより「Certificate Enrollment Invitation」というデフォルトの件名が挿入されます。

その他のローカル CA 設定オプション

[CRL Distribution Point URL]

Certificate Revocation List(CRL; 証明書失効リスト)Distribution Point(DP; 分散ポイント)は、セキュリティ アプライアンス上の CRL の場所です。CRL DP のデフォルトの場所は、http:// hostname.domain /+CSCOCA+/asa_ca.crl です。

[Publish CRL Interface and Port:]

CRL を、所定のインターフェイスまたはポートで HTTP ダウンロードできるようにします。インターフェイスをプルダウン リストから選択します。任意指定のポート オプションには、1 ~ 65535 の範囲内でポート番号を指定できます。HTTP のデフォルト ポート番号は、TCP ポート 80 です

CDP URL は、インターフェイスの IP アドレスを利用するように設定することもできます。また、CDP URL のパスとファイル名も設定できます (CRL の名前は変更できません。固定の名前 LOCAL-CA-SERVER.crl が常に使用されます)。

たとえば、CDP URL を http://10.10.10.100/user8/my_crl_file と設定できます。この場合、この IP アドレスを持つインターフェイスだけが機能し、セキュリティ アプライアンスでは、要求を受信すると、パス /user8/my_crl_file と、設定されている CDP URL との照合が行われます。パスが一致した場合、セキュリティ アプライアンスからはストレージに保存されている CRL ファイルが返されます。プロトコルには必ず HTTP を使用します。したがって、プレフィクスは http:// となります。

[CRL Lifetime]

[CRL Lifetime] フィールドには、CRL の有効期間を時間単位で指定します。CA 証明書のデフォルトは 6 時間です。

ローカル CA では、ユーザ証明書が失効または失効解除されるたびに、アップデートされた CRL が再発行されますが、失効状態に変更がない場合、CRL の再発行は、そのライフタイムの中で 1 回しか行われません。[Manage CA Certificates] パネルの [CRL Issue] ボタンをクリックすると、CRL のアップデートと再生成がその場で実行されます。

データベース ストレージの場所

[Database Storage Location] フィールドでは、ローカル CA コンフィギュレーションとデータ ファイル用のストレージ領域を指定できます。セキュリティ アプライアンスでは、ユーザ情報、発行された証明書、失効リストなどへのアクセスや、それらの実装に、ローカル CA データベースが使用されます。

ローカル CA データベースの常駐場所は、セキュリティ アプライアンスにマウントされているアクセス可能な外部のファイル システム上に設定できます。外部ファイルまたは共有を指定する場合は、外部ファイルへのパス名を入力するか、 [Browse] をクリックしてファイルを検索します。


) ユーザ数が 3500 以下のデータベースであればフラッシュ メモリに保存することもできますが、ユーザ数が 3500 を超えるデータベースを保存するには外部ストレージが必要です。


[Default Subject Name]

[Default Subject Name] フィールドには、発行された証明書のユーザ名に追加されるデフォルトのサブジェクト名を指定できます。次のような DN アトリビュートのキーワードを指定できます。

デフォルトのサブジェクト名デフォルト DN
キーワード

CN = Common Name

SN = Surname

O = Organization Name

L = Locality

C = Country

OU = Organization Unit

EA = E-mail Address

ST = State/Province

T = Title

[Enrollment Period]

[Enrollment Period] フィールドには、登録されたユーザがユーザ証明書を登録および取得するための PKCS12 登録ファイルを取得できる期間を、時間単位で指定します。この登録期間は、ワンタイム パスワードの有効期間とは関係ありません。デフォルトの登録期間は 24 時間です。


) ローカル CA の証明書登録は、クライアントレス SSL VPN 接続に対してだけサポートされており、CVC などその他の SSL VPN クライアントや IPSec VPN 接続に対してはサポートされていません。クライアントレス SSL VPN 接続の場合、クライアントとヘッドエンドの間の通信は、標準の HTML を使用して Web ブラウザ経由で行われます。


[One-Time-Password Expiration]

[One-Time-Password Expiration] フィールドには、登録ユーザに E メールで送信されたワンタイム パスワードの有効期間を指定します。デフォルト値は 72 時間です。

[Certificate Expiration Reminder]

[Certificate Expiration Reminder] フィールドには、期限の何日前になったらユーザに期限切れ通知の E メールを送信するか指定します。デフォルトは 14 日です。

[Apply] ボタン

[Apply] ボタンを使用すると、新規作成または修正した CA 証明書コンフィギュレーションを保存できます。

[Reset] ボタン

[Reset] ボタンをクリックすると、変更内容や編集内容がすべて削除され、表示内容が元に戻されます。

ローカル CA サーバの削除

[CA Server] パネルの [More Options] セクションの下部にある [Delete Certificate Authority Server] ボタンをクリックすると、ローカル CA 証明書コンフィギュレーションがセキュリティ アプライアンスからただちに削除されます。ローカル CA コンフィギュレーションは一度削除すると復元できません。削除したコンフィギュレーションを再作成する場合は、証明書コンフィギュレーション情報を最初から再入力する必要があります。


) ローカル CA サーバを削除すると、セキュリティ アプライアンスからコンフィギュレーションが削除されます。コンフィギュレーションは、一度削除すると復元できません。


モード

次の表は、この機能を使用できるモードを示したものです。

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

--

ユーザ証明書の管理

ローカル CA サーバでは、必要に応じて証明書の更新の管理、ユーザ証明書の再発行、証明書失効リスト(CRL)の管理、権限の失効または復元が行われます。[Manager CA Certificates] ウィンドウでは、ユーザ名または証明書のシリアル番号を指定して特定の証明書を選択し、証明書ステータス(失効/失効解除)を変更できます。

証明書ステータスを変更した場合は必ず、CRL をアップデートして最新の変更内容が反映されるようにします。

証明書ステータスを変更する手順については、「ローカル CA 証明書の失効」および「ローカル CA 証明書の失効解除」を参照してください。

ローカル CA 証明書の失効

ローカル CA サーバでは、すべてのユーザ証明書のライフタイムの追跡が行われ、必要に応じて E メールによる更新通知が送信されます。ユーザの証明書のライフタイムが期限切れになると、ユーザのアクセス権は失効します。また、ローカル CA により、証明書データベース内にあるその証明書に失効のマークが付けられ、情報が自動的にアップデートされて、CRL が再発行されます。

ローカル CA 証明書の失効解除

すでに失効しているユーザ証明書は、E メールによる通知とともに権限を復元できます。失効したユーザの証明書を選択して [Unrevoke] をクリックすると、その証明書に再びアクセスできるようになります。また、ローカル CA により、証明書データベース内にあるその証明書に失効解除のマークが付けられ、証明書の情報が自動的にアップデートされた後、アップデート済みの CRL が再発行されます。

ユーザ データベースの管理

ローカル CA ユーザ データベースには、ユーザ識別情報と、システムにおける各ユーザのステータス(登録済み、許可、失効など)が格納されています。[Manager User Database] ウィンドウでは、新規ユーザの追加や、ユーザ名で選択した特定のユーザ情報の編集を行うことができるほか、既存ユーザとその証明書を削除することもできます。

ローカル CA では、ユーザが追加されたりユーザのステータスが修正されたりするたびに、CRL が自動的にアップデートされ、最新の変更内容が反映されます。

ローカル CA データベースにユーザを追加する手順については、「ローカル CA ユーザの追加」を参照してください。

既存ユーザのユーザ識別情報を変更する手順については、「ローカル CA ユーザの編集」を参照してください。

データベースからユーザを削除する手順については、「ローカル CA ユーザの削除」を参照してください。

ユーザの登録ステータスを変更する手順については、「登録の許可」を参照してください。

E メールを使用してワンタイム パスワード(OTP)をユーザに送信する手順については、「[Email OTP]」を参照してください。

OTP を表示または再生成する手順については、「OTP の表示および再生成」を参照してください。

ローカル CA ユーザの追加

[Add] ボタンを使用すると、ローカル CA データベースに新しいユーザを入力できます。データベースに入力される各新規ユーザには、事前定義済みのユーザ名、E メール アドレス、およびサブジェクト名を指定する必要があります。

ローカル CA の [Add User] に表示されるフィールド

[Username]:有効なユーザ名を入力します。

[Email]:既存の有効な E メール アドレスを指定します。

[Subject]:ユーザのサブジェクト名を入力します。

[Email OTP]

[Email OTP] ボタンをクリックすると、新規追加されたユーザに対して、一意のワンタイム パスワード(OTP)とローカル CA 登録 Web ページの URL が記載された登録許可の E メール通知が自動的に送信されます。

[Replace OTP]

[Replace OTP] ボタンをクリックすると、新しいワンタイム パスワードが自動的に再発行され、その新しいパスワードが記載された E メール通知が、新規追加されたユーザに送信されます。

ローカル CA ユーザの編集

[Edit] ボタンを使用すると、データベース内の既存のローカル CA ユーザに関する情報を修正できます。 [Edit] ボタンは、特定のユーザを選択してからクリックします。

これらの情報は、 ローカル CA ユーザの追加 ボタンを使用しても修正できます。OTP は、新規か交換用かにかかわらず E メールでユーザに送信できます。既存のユーザ情報のうち修正できるのは、ユーザ名、E メール アドレス、およびサブジェクト名です。

ローカル CA ユーザの削除

[Delete] ボタンを使用すると、選択したユーザがデータベースから削除され、そのユーザに対して発行されているすべての証明書がローカル CA データベースから削除されます。削除したユーザは復元できません。削除したユーザのレコードを再作成する場合は、 [Add] ボタンを使用してユーザ情報を再入力する必要があります。

登録の許可

[Allow Enrollment] ボタンを使用すると、選択したユーザを登録できます。

[Email OTP]

[Email OTP] ボタンを使用すると、選択したユーザに E メールで OTP を送信できます。

OTP の表示および再生成

[View/Re-generate OTP] ボタンをクリックすると、選択したユーザの OTP を再生成するためのウィンドウが起動します。