VPN Client ユーザ ガイド Windows 版 Release 4.0
証明書の登録と管理
証明書の登録と管理
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

証明書の登録と管理

証明書ストアの使用

証明書の登録

ネットワークを使用した登録

ファイル要求を使用した登録

個人証明書と CA または RA 証明書の管理

証明書の表示

証明書ファイルのインポート

ファイルからの証明書のインポート

Microsoft 証明書ストアからの証明書のインポート

証明書の確認

証明書の削除

個人証明書のパスワードの変更

証明書のエクスポート

CA または RA 証明書の表示

登録要求の管理

登録要求の表示

登録要求の削除

登録要求のパスワードの変更

登録要求の完了

証明書の登録と管理

この章では、個人証明書の登録と管理の方法について説明します。具体的には、以下の作業方法を紹介します。

認証機関(CA)への登録による個人証明書の取得。認証機関とは、ユーザが申告通りのユーザであることを証明するデジタル証明を発行する 1 機関です(個人証明書については、「 証明書ストアの使用 」を参照してください)。

証明書のインポート

証明書と登録要求の管理

この章の構成は、次のとおりです。

証明書ストアの使用

証明書の登録

個人証明書と CA または RA 証明書の管理

登録要求の管理

証明書に関する作業を開始するには、VPN Client のメイン ウィンドウの[証明書]タブを拡張モードで開きます(図 6-1)。[証明書]タブには、現在登録されている証明書のリストが表示されます。 証明書が表示されていない場合は、CA に登録するか、システム管理者に連絡する必要があります。

図 6-1 証明書の管理

 

このツールバーには、[証明書]タブで行える作業が表示されます。

[表示]:現在選択されている証明書の詳細(通常名、部門など)を表示します。

[インポート]:ファイルまたは証明書ストアから証明書をインポートします。

[エクスポート]:現在選択されている証明書をエクスポートします。

[登録]:ネットワークまたはファイルを使用して、認証機関に証明書を登録します。

[確認]:現在選択されている証明書が期限切れかどうかを確認します。

[削除]:現在選択されている証明書または証明書要求を証明書ストアから削除します。

証明書ストアの使用

証明書 ストア とは、ローカル ファイル システム内の、個人証明書が保管されている場所のことです。 VPN Client の主要ストアは Cisco ストアです。このストアには Simple Certificate Enrollment Protocol(SCEP)を通じて登録した証明書が保管されています。また、システムには、Microsoft 証明書ストアも組み込まれています。Microsoft 証明書ストアには、ユーザの所属組織が提供する証明書、またはユーザが以前にインストールした証明書を保管できます。Microsoft ストア内の証明書は、Cisco ストア内の証明書と同じように管理でき、Cisco ストアにインポートすることも可能です。登録またはインポートにより取得された新しい証明書は、Cisco ストアに保管されます。

Microsoft 証明書には、次の 2 つのタイプがあります。各個人用の証明書とローカル PC 用の Microsoft 証明書です。このため、複数のユーザが同じ PC を使用している場合でも、ユーザが各自の証明書を持つことができます。また、Windows 2000 および Windows XP には、ローカル システム用の証明書もあります。Windows 98 システムでは、エクスポートのできない証明書を Internet Explorer バージョン 5.1 SP2 のみで使用できます。

また、エクスポートのできない秘密鍵を持つ Microsoft 証明書も使用できます。

[証明書]タブには、現在証明書ストアに保管されている証明書のリストが表示されます(図 6-1)。 表示される情報は、次のとおりです。

[証明書]:証明書の名前。

[ストア]:証明書が保管されたストアの名前。Cisco、Microsoft、Microsoft machine、Request、CA、RA などがあります。

[キーのサイズ]:証明書を保護するキー ペアのビット長(512、1024 など)。

[有効性]:証明書の有効期限。

証明書の登録

システム管理者が、デジタル証明書を使用して、ユーザの VPN Client をすでにセットアップしている場合があります。証明書がセットアップされていない場合、または証明書を追加したい場合は、ネットワークを介して認証機関(CA)に登録するか、ファイル要求を作成すると、証明書を取得できます。

ネットワークを使用した登録

個人証明書を登録する際には、すでにシステムのルート証明書を取得した CA を使用するか、登録プロセスの一環として CA からルート証明書を取得します。CA の[証明書]タブには、CA 証明書の現在のリストが表示されます(図 6-1 を参照)。

作業を始める前に、このセクションの説明を読んでください。 ネットワーク経由で証明書を CA に登録する手順は、次のとおりです。


ステップ 1 拡張モードでは、[証明書]タブの上にあるツールバーの[登録]アイコンをクリックするか、[証明書]メニューを表示して[登録]を選択します。

ステップ 2 証明書のタイプとして[オンライン]をクリックします。 記入するフォームは、2 つあります。

ステップ 3 最初のフォームに次のように記入します(図 6-2)。

図 6-2 オンライン登録フォーム

 

[CA の URL]:CA の URL またはネットワーク アドレス。このパラメータは必須です。

[CA のドメイン]:CA のドメイン名。このパラメータは必須です。

[チャレンジパスワード]:一部の CA のサイトでは、アクセスするときにパスワードの入力が必要になる場合があります。そのような場合は、[チャレンジパスワード]フィールドにパスワードを入力してください。 パスワードを確認するには、CA かネットワーク管理者に連絡してください。

[新しいパスワード]:この証明書を保護するパスワード。 接続エントリで証明書認証が必要な場合は、接続のたびにこのパスワードを入力しなければなりません。このパスワードの長さは、最高 32 文字です。パスワードには大文字と小文字の区別があります。たとえば、 sKate8 Skate8 は別のパスワードです。

ステップ 4 [次へ]をクリックします。 登録要求の 2 ページ目が表示されます(図 6-3)。

図 6-3 オンライン登録フォームの 2 ページ目

 

[名前]:ユーザの通常名(CN)。この証明書の固有の名前です。このフィールドは必須です。通常名は、個人、システム、またはその他のエンティティの名前にすることができ、ID 階層内で最も固有性が高くなっています。通常名は、証明書の名前になります(たとえば、Alice Wonderland)。

[部門]:ユーザが所属する部門名(たとえば、International Studies)。このフィールドは、組織ユニット(OU)と相関関係があります。たとえば、OU は、VPN 3000 シリーズ コンセントレータで設定されるグループ名と同じです。

[会社名]:ユーザが所属する企業または組織(O)の名前(たとえば、University)。

[都道府県名]:都道府県(米国では州)の名前(ST)(たとえば、Massachusetts)。

[国名]:国(C)を表す 2 文字の国名記号(たとえば、US)。この 2 文字の国名記号は、ISO 3166 国名略語に準拠していなければなりません。

[E メール]:ユーザの E メール アドレス(e)(たとえば、alicew@university.edu)。

[IP アドレス]:システムの IP アドレス(たとえば、10.10.10.1)。

[ドメイン]:システムのホストの完全修飾ドメイン名(たとえば、 Dialin_Server )。

IP アドレスとドメインを除く上記のすべてのフィールドを合わせたものが、ユーザの識別名(DN)になります。

ステップ 5 この登録を完了するには、[登録]をクリックします(または、編集する場合は、[戻る]をクリックします。


 

次の操作は、選択した CA によって異なります。

一部の CA は、即時に応答します。 その場合、登録が正常に実行されたことを示すメッセージが表示されます。証明書は、[証明書]タブで表示および管理できます。

登録状況が Request pending(登録保留中)である場合、CA は要求を直ちに承認しません。 保留中の状況を示すポップアップ ウィンドウが表示されます(図 6-4)。

図 6-4 登録要求保留中のメッセージ

 

CA による証明書の発行を待っている間、ユーザからの要求は、[証明書]タブの下の証明書リストに要求として表示されます(ストアの列に[Request]と表示されます)。

CA から証明書が発行された後、その証明書を選択し、[証明書]メニューから[証明書の登録を再試行]を選択して登録を完了します(図 6-5 を参照)。

図 6-5 登録要求の再試行

 

証明書を取得した後、登録が正常に実行されたことを示すメッセージが表示されます(図 6-6)。

図 6-6 登録要求が正常に実行されたことを示すメッセージ

 

ファイル要求を使用した登録

ネットワークを使用して証明書を登録する代わりに、オンライン登録のものとほとんど同じフォームのファイルを作成して登録することもできます(図 6-3 を参照)。要求ファイルを作成した後、そのファイルを CA に E メール送信し、証明書を受け取ることができます。または CA の Web サイトにアクセスして、CA が提供するエリア内で登録要求をカット アンド ペーストすることもできます。

ファイル要求を使用して登録する手順は、次のとおりです。


ステップ 1 [証明書の登録]ダイアログボックス(図 6-7 を参照)で、証明書のタイプとして[ファイル]をクリックします。

図 6-7 ファイル要求を使用した証明書の登録

 

ステップ 2 次のどちらかのファイル タイプをクリックします。

2 進符号化 :Base-2 PKCS10 ファイル(Public Key Cryptography Standard。たとえば、X.509 DER ファイル)。2 進符号化されたファイルは表示できません。

Base 64 符号化 :テキスト形式で表示可能な ASCII 符号化された PKCS10 ファイル(たとえば、図 6-8 に示すファイル要求)。テキストを CA の Web サイトにカット アンド ペーストする場合に、このタイプを選択してください。

図 6-8 PKCS10 証明書ファイル

 

ステップ 3 [ファイル名]フィールドに、ファイル要求の完全パス名を入力します。

ファイル要求を保存するための適切なディレクトリを参照する際、選択されたファイル タイプのファイルだけが表示されます。

ファイル登録要求は、Certificates ディレクトリに保存できます。このディレクトリは、VPN Client がインストールされているディレクトリのサブディレクトリです。

完全パス名は、c:\program files\cisco systems\vpn client\certificates\p10req3.p10 のように指定します。

ステップ 4 [新しいパスワード]フィールドに、この証明書を保護するパスワードを入力します。 接続エントリで証明書認証が必要な場合は、接続のたびにこのパスワードを入力しなければなりません。このパスワードの長さは、最高 32 文字です。パスワードには大文字と小文字の区別があります。たとえば、 sKate8 Skate8 は別のパスワードです。

ステップ 5 [次へ]をクリックします。 フォームの 2 ページ目が表示されます。 このフォームは、ネットワーク経由の登録に使用するものと同じです(「ネットワークを使用した登録」 を参照)。

ステップ 6 フォームの 2 ページ目の記入が完了した後、[登録]をクリックします。

要求が正常に実行されたかどうかを示すメッセージが表示されます。正常に実行された場合、メッセージにはファイル名が示されます(図 6-9 および図 6-10 を参照)。

図 6-9 ファイルへの登録要求の保存が成功したときのメッセージ

 

図 6-10 登録要求が失敗したときのメッセージ

 

ステップ 7 [OK]をクリックして、ファイル登録要求を完了します。


 

個人証明書と CA または RA 証明書の管理

[証明書]メニュー(図 6-11)または[証明書]タブの上のツールバーから、以下のような、個人証明書と CA または RA 証明書の管理作業を行えます。

証明書の表示

証明書がまだ有効である(指定された日付の範囲内であり、取り消されていない)かどうかの確認

E メールで送信可能なファイルへの証明書のエクスポート

証明書の削除

個人証明書に限っての証明書のパスワードの変更([証明書]メニューのみ)

個人証明書に限っての証明書の登録の再試行

CA または RA 証明書の表示と非表示

図 6-11 [証明書]メニュー

 

証明書の表示

証明書を表示するには、証明書ストアから目的の証明書を選択して、次のいずれかの操作を実行します。

[証明書]メニューを開いて[表示]を選択する。

[証明書]タブの上のツールバーで[表示]をクリックする。

証明書をダブルクリックする。

図 6-12 は、Microsoft 証明書サービス プロバイダーからのサンプル証明書を示しています。これは一例に過ぎません。すべての証明書がここに示ものと同じわけではありません。

図 6-12 証明書の表示

 

図 6-12 に示すような一般的な証明書には、次の情報が記載されています。

[通常名]:所有者の氏名。通常、ファースト ネームとラスト ネーム。このフィールドには、公開キー インフラストラクチャ(PKI 組織)内の所有者が示されます。

[部門]:所有者が所属する部門名。組織ユニット(OU)と同じです。VPN 3000 Concentrator に接続する際には、通常、OU は VPN 3000 Concentrator 内で所有者に対して設定された Group Name と一致する必要があることに注意してください。

[会社名]:この証明書を使用している所有者が所属する組織。

[都道府県名]:この証明書を使用している所有者が居住する都道府県(米国では州)。

[国名]:所有者のシステムが設置されている国の 2 文字の国名記号。

[E メール]:証明書の所有者の E メール アドレス。

[拇印]:証明書の内容が完全であるかを調べる MD5 および SHA-1 ハッシュ。 これによって、証明書の信頼性を確認できます。たとえば、発行元 CA に問い合わせれば、このハッシュ ID と比較してこの証明書が正当なものかどうかを確認できます。

[キーのサイズ]:署名キー ペアのサイズ(ビット数)。たとえば、1024。

[所有者]:証明書の所有者の完全修飾識別名(DN)。この例では、次の項目が含まれています。証明書のタイプに応じて、他の項目も組み込むことができますが、次のフィールドが一般的です。

cn は、通常名です。

ou は、組織ユニット(部門)です。

o は、組織です。

l は、地域(市町村)です。

st は、所有者が居住する都道府県です(米国では州)。

c は、国です。

e は、所有者の E メール アドレスです。

[発行者]:証明書を発行した機関の完全修飾識別名(DN)。この例では、[所有者]フィールドと同じです。

[シリアル番号]:Certificate Revocation List(CRL)上で証明書の有効性をトラッキングする際に使用される固有の ID。

[有効期間の開始日]:証明書の発効日。

[有効期間の終了日]:証明書の終了日。この日の翌日から無効になります。

証明書ファイルのインポート

Microsoft ストアまたはファイルから、証明書を Cisco ストアにインポートできます。 どちらからインポートするかにより、手順はわずかに異なります。

ファイルからの証明書のインポート

ファイルから証明書をインポートする手順は、次のとおりです。


ステップ 1 [証明書]メニューを表示して[インポート]を選択するか、[証明書]タブの上の[インポート]アイコンをクリックします。

[証明書のインポート]ダイアログボックスが表示されます(図 6-13 を参照)。

図 6-13 ファイルからの証明書のインポート

 

ステップ 2 [ファイルからのインポート]を選択します。これがデフォルトです。

ステップ 3 [証明書のインポート]フォームに記入します。

[インポートパス]:証明書の完全パス名。 名前を入力しても、ファイル システムを参照してファイルを検索してもかまいません。

[インポートパスワード]:このパスワードは、登録(オンラインの場合)時、またはエクスポート(ファイルの場合)時に指定されたパスワードと、大文字と小文字の違いを含めて正確に一致している必要があります。たとえば、 sKate8 は、 Skate8 と完全一致ではありません。オンライン登録では、このパスワードは証明書と一緒に保持されています。ファイル登録では、このパスワードは保持されません。

[新しいパスワード]:証明書と一緒に保管するパスワード。 このパスワードは、証明書ストアに保管されている証明書を保護するために使用します。 このパスワードはオプションですが、証明書は常にパスワードで保護することをお勧めします。

[パスワードの確認]:ここに入力するパスワードは、[新しいパスワード]フィールドに入力したものと一致している必要があります。

ステップ 4 インポート要求を完了するには、[インポート]をクリックします。要求をキャンセルするには、[キャンセル]をクリックします。


 

Microsoft 証明書ストアからの証明書のインポート

Microsoft 証明書ストアから証明書をインポートする手順は、次のとおりです。


ステップ 1 [証明書]メニューを表示して[インポート]を選択するか、[証明書]タブの上の[インポート]アイコンをクリックします。

[証明書のインポート]ダイアログボックスが表示されます。(図 6-14 を参照。)

図 6-14 Microsoft 証明書ストアからの証明書のインポート

 

ステップ 2 [Microsoft 証明書ストアからのインポート]を選択します。

ステップ 3 [新しいパスワード]:証明書と一緒に保管するパスワード。大文字と小文字が区別されます。 このパスワードはオプションですが、証明書は常にパスワードで保護することをお勧めします。

ステップ 4 [パスワードの確認]:ここに入力するパスワードは、[新しいパスワード]フィールドに入力したものと一致している必要があります。

ステップ 5 インポート要求を完了するには、[インポート]をクリックします。要求をキャンセルするには、[キャンセル]をクリックします。

証明書の確認

証明書が有効かどうかを確認するには、証明書ストアで目的の証明書を選択して、次の手順を実行します。


ステップ 1 [証明書]タブの下の証明書ストアから証明書を選択します。

ステップ 2 [証明書]メニューを表示して[確認]を選択するか、[証明書]タブの上のツールバーにある[確認]アイコンをクリックします。

図 6-15 に示すような、証明書が有効かどうかを示すメッセージが表示されます。

図 6-15 証明書の有効性の確認

 

次の表は、証明書の有効性をチェックする際に表示されるメッセージを示しています。

.

メッセージ
説明

証明書はまだ有効ではありません。

現在の日付は、この証明書の有効期間の開始日より前です。証明書が有効になるまでお待ちください。

証明書は期限切れです。

現在の日付は、この証明書の有効期間の終了日を過ぎています。新しい証明書を登録する必要があります。

証明書のシグニチャは無効です。

CA 証明書がありません。または、お持ちの CA 証明書の期限が切れている可能性があります。CA 証明書のダウンロードまたはインポートが必要です。

証明書 <名前 > は有効です。

有効な証明書が登録されています。

ステップ 3 メッセージを確認した後、[OK]をクリックします。


 

証明書の削除

証明書を削除する手順は、次のとおりです。


ステップ 1 [証明書]タブの下の証明書ストアから証明書を選択します。

ステップ 2 [証明書]メニューを表示して[削除]を選択するか、[証明書]タブの上のツールバーにある[削除]アイコンをクリックします。

証明書にパスワードが指定されている場合は、そのパスワードの入力を求められます。

ステップ 3 [パスワード]フィールドに、登録時にその証明書に指定されたパスワードを入力し、[OK]をクリックします。

ステップ 4 この証明書を削除してもよいかどうかを確認するメッセージが表示されます(図 6-16)。 証明書を削除するには、[削除]をクリックします。 削除をキャンセルするには、[削除しない](デフォルト)をクリックします。

図 6-16 証明書の削除の確認

 


 

個人証明書のパスワードの変更

個人証明書のパスワードを変更する手順は、次のとおりです。


ステップ 1 [証明書]タブの下の証明書ストアから証明書を選択します。

ステップ 2 [証明書]メニューを表示して、[証明書のパスワード変更]を選択します。

[証明書のパスワード変更]ダイアログボックスが表示されます入力フィールドに、秘密鍵の保護に現在使用しているパスワードを入力します。

ステップ 3 入力フィールドに、新しいパスワードを入力します。

ステップ 4 入力フィールドに、確認のため同じパスワードをもう一度入力します。

ステップ 5 [OK]をクリックします。 パスワードが正しく変更されたことを知らせるメッセージが表示されます(図 6-17)。

図 6-17 証明書のパスワードが正しく変更されたことを知らせるメッセージ

 


 

証明書のエクスポート

証明書は、主に証明書と秘密鍵のバックアップや別のシステムへの移動を目的としてエクスポートできます。証明書をエクスポートする際には、その証明書のコピーを作成します。

証明書をエクスポートする手順は、次のとおりです。


ステップ 1 [証明書]メニューを表示して[エクスポート]を選択するか、[証明書]タブの上のツールバーにある[エクスポート]アイコンをクリックします。

[証明書のエクスポート]ダイアログボックスが表示されます(図 6-18)。

図 6-18 証明書のエクスポート

 

ステップ 2 [エクスポートパス]フィールドにエクスポートする証明書のパスを入力するか、参照機能を使用して、エクスポートする証明書のターゲット ディレクトリを検索します。

ステップ 3 CA または RA 証明書(またはその両方)を個人証明書と一緒にエクスポートする場合は、[証明書チェーン全体をエクスポート]チェック ボックスにチェックマークを付けます。

ステップ 4 [パスワード]フィールドに、エクスポート ファイルを保護するためのオプションのパスワードを入力します。次に、[パスワードの確認]フィールドに、確認のため同じパスワードをもう一度入力します。

ステップ 5 すべての情報を入力した後、[エクスポート]をクリックします。

証明書が正常にエクスポートされたかどうかを示すメッセージが表示されます


 

CA または RA 証明書の表示

[証明書]メニューから[CA または RA 証明書の表示]を選択すると、現在の CA 証明書と RA 証明書のリストを表示できます。ただし、修正はできません。 このリストは、新しいウィンドウに表示されます(図 6-19)。

図 6-19 CA または RA 証明書のリスト

 

登録要求の管理

CA 管理者が登録要求の承認を保留している間、その登録要求は[証明書]タブの下のリストに表示されます。リスト内のすべての要求について、表示、削除、またはパスワードの変更を行えます。ネットワーク登録要求を再試行することもできます。 これらの操作を実行するには、[証明書]タブをクリックし、[証明書]メニューで目的の操作を選択します(図 6-20 を参照)。

図 6-20 登録要求の管理

 

登録要求の表示

登録要求を表示するには、要求を選択し、[証明書]メニューを表示して[表示]を選択します。すると、保留中の要求が表示されます(図 6-21 を参照)。

図 6-21 登録要求の表示

 

[発行者]フィールドに所有者名が表示され、CA の名前が表示されていないことに注目してください。これは、CA がまだ証明書を発行していないからです。

この画面で証明書要求のパスワードを変更できます。

登録要求の削除

登録要求を削除する手順は、次のとおりです。


ステップ 1 登録要求を選択し、[証明書]メニューを表示して[削除]を選択します。

パスワードを入力するように求められます。

ステップ 2 [パスワード]フィールドがある場合はそこにパスワードを入力し、[OK]をクリックします。

パスワードが検証されます。 パスワードが正しければ、その要求は削除されます。


 

登録要求のパスワードの変更

登録要求の証明書のパスワードを変更する手順は、次のとおりです。


ステップ 1 [証明書]タブの下のリストから証明書要求を選択します。

ステップ 2 [証明書]メニューを表示して、[証明書のパスワード変更]を選択します。

[証明書のパスワード]ダイアログボックスが表示されます(図 6-22 を参照)。

図 6-22 証明書のパスワードの変更

 

ステップ 3 現在使用しているパスワードを入力し、[OK]をクリックします。

ステップ 4 表示されるメッセージに従い、新しいパスワードを入力して、[OK]をクリックします。

ステップ 5 次に表示されるメッセージに従い、新しいパスワードを確認のためもう一度入力して、[OK]をクリックします。

パスワードが正常に変更されたことを示すメッセージが表示されます。


) パスワードは[表示]ダイアログボックスでも変更できます。



 

登録要求の完了

保留中のオンライン登録要求を完了する手順は、次のとおりです。


ステップ 1 [証明書]タブで要求を選択します。 証明書が保留状態であることを通知し、登録手順の完了方法を説明するダイアログボックスが表示されます(図 6-23)。

図 6-23 保留中のオンライン証明書登録要求の完了

 

ステップ 2 登録されている証明書を選択し、次のいずれかの操作を実行します。

[証明書]メニューから[再試行]を選択する。

[証明書]タブで選択した証明書を右クリックし、表示されるメニューから[再試行]を選択する(図 6-24)。

図 6-24 [証明書]の右クリック メニュー

 

ステップ 3 [OK]をクリックしてダイアログボックスをクローズします。