Cisco VPN Client ユーザ ガイド Mac OS X 版
証明書の登録と管理
証明書の登録と管理
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

証明書の登録と管理

証明書ストアの使用

証明書の登録

登録要求の管理

登録要求の表示

登録要求の削除

登録要求のパスワードの変更

登録要求の再試行

証明書のインポート

証明書の表示

証明書のエクスポート

証明書の削除

証明書の確認

個人証明書のパスワードの変更

証明書の登録と管理

この章では、VPN Client Mac OS X 版のデジタル証明書を登録および管理する方法について説明します。具体的には、次の作業方法を紹介します。

認証機関(CA)への登録による個人証明書の取得。認証機関とは、ユーザが申告通りのユーザであることを証明するデジタル証明を発行する機関です。

証明書と登録要求の管理。

証明書のインポート、エクスポート、表示、および確認。

証明書に関する作業を開始するには、VPN Client のメイン ウィンドウの Certificates タブを拡張モードで開きます。Certificates タブには、現在登録されている証明書のリストが表示されます。証明書が表示されていない場合は、CA に登録するか、システム管理者に連絡する必要があります。

証明書ストアの使用

VPN Client では、ローカル ファイル システム内の個人証明書の格納場所を、 ストア と呼んでいます。VPN Client の主要ストアは Cisco ストアです。このストアには Simple Certificate Enrollment Protocol(SCEP)を通じて登録した証明書、およびファイルからインポートした証明書が保管されています。

VPN Client のメイン ウィンドウの Certificates タブには、証明書ストアに保管されている証明書のリストが表示されます(図 6-1)。

図 6-1 証明書ストア

 

各証明書には、次の情報が記載されています。

Certificate:証明書の名前。

Store:この証明書が格納されている証明書ストア。認証機関から証明書を登録する場合には、ストアは CA になります。ファイルから証明書をインポートする場合には、ストアは Cisco になります。

Key Size:署名キー ペアのサイズ(ビット数)。

Validity:証明書が期限切れとなる日付と時刻。

証明書の登録

VPN Client には、既にシステム管理者によりデジタル証明書がインストールされている場合があります。証明書がインストールされていない場合、または証明書を追加する場合は、認証機関(CA)に登録して証明書を取得できます。

デジタル証明書を登録するには、PKI フレームワーク規格を使用して登録し、CA から承認を得て、証明書をシステムにインストールする必要があります。

デジタル証明書は、次のいずれかの方法で登録できます。

ネットワーク上で CA から登録する。

登録要求ファイルから登録する。

ユーザ認証のためのデジタル証明書を登録する手順は、次のとおりです。


ステップ 1 Certificates タブをクリックします。

ステップ 2 VPN Client ウィンドウの上部で Enroll をクリックします。Certificate Enrollment ダイアログボックスが表示されます。

ステップ 3 証明書登録タイプを選択します。

Online を選択した場合は、ネットワーク上で CA に登録して証明書を取得します。

File を選択した場合は、VPN Client によって登録要求ファイルが生成されるので、それを CA に E メールで送信するか、Web ページのフォームで送信することができます。

図 6-2 は、Certificate Enrollment ダイアログボックスを示しています。

図 6-2 証明書のオンライン登録

 

ステップ 4 登録パラメータを入力します。

オンライン登録では、次のデータを入力します。

Certificate Authority:CA 証明書の通常名または所有者名。このドロップダウン リストには、今までに登録された CA 証明書の履歴が表示されます。このリストから CA を選択すると、CA URL および CA Domain フィールドに値が入力されます。<New> オンライン登録では、CA URL と CA Domain を手作業で入力する必要があります。

CA URL:CA の URL またはネットワーク アドレス。たとえば、http://198.162.41.9/certsrv/mcep/mcep.dll です。

CA Domain:CA のドメイン名。たとえば、qa2000.com です。

Challenge Password:一部の CA のサイトでは、アクセスするときにパスワードの入力が必要になる場合があります。Challenge Password フィールドに、そのパスワードを入力します。チャレンジ パスワードは、管理者または CA から入手してください。

New Password:この証明書のパスワード。各デジタル証明書はパスワードで保護されています。認証にデジタル証明書が必要な接続エントリを作成した場合は、接続を試みるたびに証明書パスワードを入力しなければなりません。

ファイルで登録するには、次のデータを入力します。

出力ファイルのファイル符号化タイプ。

Base-64:デフォルトの、ANCII 文字に符号化された PKCS10 ファイルです。このファイルはテキスト形式なので、表示可能です。テキストを CA の Web サイトにカット アンド ペーストする場合に、このタイプを使用してください。

Binary:base-2 PKCS10(Public-Key Cryptography Standards)ファイル。2 進符号化されたファイルは表示できません。

Filename:ファイル要求の完全パス名。たとえば、/Users/Anna/Documents/Certificates/mycert.p10 です。

New Password:この証明書のパスワード。デジタル証明書はパスワードで保護されています。認証にデジタル証明書が必要な接続エントリを作成した場合は、接続を試みるたびに証明書パスワードを入力しなければなりません。

ステップ 5 Next をクリックして証明書の登録を続行します。Certificate Enrollment ダイアログボックスが表示されます(図 6-3)。

図 6-3 証明書の登録

 

ステップ 6 残りの証明書登録パラメータを入力します。グレー表示されているフィールド以外はすべて必須です。 表 6-1 は、各入力フィールドについての説明をまとめたものです。

 

表 6-1 証明書登録パラメータ

入力フィールド
説明

Name(CN)

証明書に記載される通常名。通常名は、個人、システム、またはその他のエンティティです。識別名の階層で最も固有性が高く、証明書の名前になります。たとえば、Fred Flinstone です。

Domain

システムのホストの完全修飾ドメイン名(FQDN)。たとえば、Dialin_Server です。

Email(E)

証明書に記載されるユーザの E メール アドレス。
たとえば、email@company.com です。

IP Address

ユーザのシステムの IP アドレス。たとえば、192.168.23.9 です。

Department(OU)

ユーザが属する VPN グループ。このフィールドは、組織ユニット(OU)と相関関係があります。たとえば、OU は、VPN 3000 シリーズ コンセントレータで設定されるグループ名と同じです。

Company(O)

証明書の会社名。

State(ST)

証明書に記載される都道府県。

Country(C)

国を表す 2 文字の国名記号。たとえば、US です。この 2 文字の国名記号は、ISO 3166 国名略語に準拠していなければなりません。

ステップ 7 Enroll をクリックして証明書を CA に登録するか、Go Back をクリックしてこれまでに設定した証明書登録パラメータを再表示するか、Cancel をクリックします。

証明書登録は、証明書ストアに要求として表示されます。証明書の登録要求を再開するには、右クリックして Resume Certificate Enrollment を選択します。または、Certificates メニューから登録を再開することもできます。

証明書が登録されたかどうかを示すメッセージが表示されます(図 6-4)。

図 6-4 登録の完了

 

証明書の登録に失敗した場合には、ネットワーク管理者にお問い合わせください。


 

登録要求の管理

CA 管理者が登録要求の承認を保留している間、その登録要求は Certificates タブのリストに表示されます。リスト内のすべての要求について、表示、削除、またはパスワードの変更を行えます。ネットワーク登録要求を再試行することもできます。これらの操作を実行するには、保留中の登録要求を選択し、Certificate メニューをクリックします

登録要求の表示

登録要求を表示する手順は、次のとおりです。


ステップ 1 証明書ストアで、登録要求を選択します。

ステップ 2 Certificates メニューから View を選択します。

ステップ 3 保留中の要求が表示されますIssuer フィールドに CA の名前でなく所有者名が表示されます。これは、CA がまだ証明書を発行していないからです。


ヒント 証明書要求パスワードは View ダイアログボックスでも変更できます。



 

登録要求の削除

登録要求を削除する手順は、次のとおりです。


ステップ 1 証明書ストアから、登録要求を選択します。

ステップ 2 Certificates メニューから Delete を選択します。

パスワードを入力するように求められます。

ステップ 3 Password フィールドがある場合はそこにパスワードを入力し、 OK をクリックします。

パスワードが確認されます。パスワードが正しければ、その要求は削除されます。


 

登録要求のパスワードの変更

登録要求の証明書パスワードを変更する手順は、次のとおりです。


ステップ 1 証明書ストアから、証明書要求を選択します。

ステップ 2 Certificates メニューから Change Certificate Password を選択します。

Certificate Password ダイアログボックスが表示されます(図 6-5図 6-5)。

図 6-5 証明書のパスワードの変更

 

ステップ 3 現在のパスワードを入力し、 OK をクリックします。

ステップ 4 表示されるメッセージに従い、新しいパスワードを入力して、 OK をクリックします。

ステップ 5 次に表示されるメッセージに従い、新しいパスワードを確認のためもう一度入力して、 OK をクリックします。

パスワードが正常に変更されたことを示すメッセージが表示されます。


) パスワードは View ダイアログボックスでも変更できます。



 

登録要求の再試行

保留中のオンライン登録要求を再試行する手順は、次のとおりです。


ステップ 1 証明書ストアで、登録要求を選択します。

ステップ 2 Certificates メニューから Retry Client Enrollment を選択します。

パスワードを入力するように求められます。このパスワードは、証明書の秘密鍵の保護に使用しているパスワードと一致している必要があります。

ステップ 3 パスワードを入力し、 OK をクリックして、登録要求を再開します。


 

証明書のインポート

ネットワーク管理者が証明書をファイルに保存することもあります。この証明書を使用して VPN Client が VPN 装置から認証されるためには、証明書を証明書ストアにインポートする必要があります。

ファイルから証明書をインポートする手順は、次のとおりです。


ステップ 1 Certificates タブをクリックします。

ステップ 2 VPN Client ウィンドウの上部で Import をクリックします。Import Certificate ダイアログボックスが表示されます(図 6-6)。

図 6-6 証明書のインポート

 

ステップ 3 インポート パスを入力します。

場所がわからない場合には、証明書があるフォルダを参照して、ブラウザのウィンドウで Open をクリックします。インポート パスが Import Certificate ダイアログボックスに自動的に入力されます。

ステップ 4 Import Password を入力します。これは、証明書ファイルを保護するために使用されるパスワードで、インポート パスワードと呼ばれ、システム管理者が割り当てます。

ステップ 5 New Password を入力します。これは、証明書ストア内の証明書を保護するためにユーザが割り当てるパスワードです。これはオプションのパスワードですが、証明書は常にパスワードで保護することをお勧めします。

ステップ 6 新規パスワードを確認のため再入力します。

ステップ 7 Import をクリックします。証明書が VPN Client 証明書ストアにインストールされます。


 

証明書の表示

証明書ストア内の証明書の内容を表示する手順は、次のとおりです。


ステップ 1 Certificates タブをクリックします。

ステップ 2 表示する証明書を選択します。

ステップ 3 VPN Client ウィンドウの上部で View をクリックするか、証明書をダブルクリックします。Certificate Properties ウィンドウが表示されます(図 6-7)。

図 6-7 証明書のプロパティ

 

一般的なデジタル証明書には、次の情報が記載されています。

Common name(通常名):所有者の名前(通常、姓と名の両方)。このフィールドには、公開キー インフラストラクチャ(PKI 組織)内の所有者が示されます。

Department(部門):所有者が所属する部門。これは、Subject(所有者)フィールドの ou(組織ユニット)と同じです。

Company(会社):証明書を使用している所有者が所属する会社。これは、Subject(所有者)フィールドの o(組織)と同じです。

State(都道府県):証明書を使用している所有者が居住している都道府県(米国では州)。

Country(国):所有者のシステムが設置されている国の 2 文字の国別コード。

Email(E メール):証明書の所有者の E メール アドレス。

Thumbprint(拇印):証明書のすべての内容の MD5 および SHA-1 ハッシュ。これによって、証明書の信頼性を確認できます。たとえば、発行元 CA に問い合わせれば、このハッシュ ID と比較してこの証明書が正当かどうかを確認できます。

Key size(鍵サイズ):署名鍵ペアのサイズ(ビット数)。

Subject(所有者):証明書の所有者の完全修飾識別名(FQDN)。このフィールドで、証明書の所有者が LDAP と X.500 ディレクトリのクエリーに使用できる形式で固有に識別されます。一般的な Subject には、次のフィールドが含まれます。

common name(cn; 通常名)

organizational unit または department(ou; 組織ユニットまたは部門)

organization または company(o; 組織または会社)

locality、city、または town(l; 市区町村)

state または province(st; 都道府県)

country(c; 国)

e-mail address(e; E メール アドレス)

証明書によっては、上記以外の項目が Subject に含まれている場合があります。

Issuer(発行元):証明書を発行した機関の完全修飾識別名(FQDN)。

Serial number(シリアル番号):Certificate Revocation List(CRL)上で証明書の有効性をトラッキングする際に使用される固有の ID。

Not valid before(有効期間の開始):証明書の発効日。

Not valid after(有効期間の終了):証明書の終了日。この日の翌日から無効になります。

ステップ 4 Close をクリックして VPN Client ウィンドウに戻ります。


 

証明書のエクスポート

証明書ストアから指定ファイルに証明書をエクスポートする手順は、次のとおりです。


ステップ 1 Certificates タブをクリックします。

ステップ 2 エクスポートする証明書を選択します。

ステップ 3 VPN Client ウィンドウの上部で Export をクリックします。Export Certificate ダイアログボックスが表示されます(図 6-8)。

図 6-8 証明書のエクスポート

 

ステップ 4 エクスポート パスを入力します。

エクスポート パスがわからない場合には、エクスポート ディレクトリを参照して、ブラウザのウィンドウで Open をクリックします。エクスポート パスが Export Certificate ダイアログボックスに自動的に入力されます。

ステップ 5 証明書チェーン全体をエクスポートするには、そのパラメータの横のチェック ボックスにチェックマークを付けます。

ステップ 6 エクスポートされた証明書ファイルを保護するには、パスワードを入力します。常にパスワードを入力して証明書を保護することをお勧めします。

ステップ 7 エクスポートされる証明書ファイルのパスワードを確認のため再入力します。

ステップ 8 Export をクリックします。選択したディレクトリに証明書がコピーされ、エクスポートが完了したことを示すメッセージ(図 6-9)が表示されます。

図 6-9 エクスポート完了のメッセージ

 

ステップ 9 OK をクリックして VPN Client ウィンドウに戻ります。


 

証明書の削除

証明書ストアから証明書を削除できます。登録証明書を削除するには、パスワードが必要です。


注意 削除した証明書は取得できません。

ユーザまたはルート証明書を削除する手順は、次のとおりです。


ステップ 1 Certificates タブをクリックします。

ステップ 2 削除する証明書を選択します。

ステップ 3 VPN Client ウィンドウの上部で Delete をクリックします。警告メッセージが表示されます(図 6-10)。

図 6-10 証明書削除の警告

 

ステップ 4 証明書の名前を確認し、Delete をクリックします。選択した証明書が証明書ストアから削除されます。

Do not Delete をクリックすると、選択した証明書は削除されずに、VPN Client ウィンドウに戻ります。


 

登録証明書を削除する手順は、次のとおりです。


ステップ 1 Certificates タブをクリックします。

ステップ 2 削除する登録証明書を選択します。

ステップ 3 VPN Client ウィンドウの上部で Delete をクリックします。Certificate Password ダイアログボックスが表示されます(図 6-11)。

図 6-11 登録証明書を削除するためのパスワードの入力を求めるメッセージ

 

ステップ 4 削除する証明書の証明書パスワードを入力します。

証明書パスワードとは、証明書ストア内の証明書を保護するためにユーザが割り当てたパスワードです。これは、証明書を登録するときに New Password フィールドで設定したパスワードです。「証明書の登録」 を参照してください。

ステップ 5 OK をクリックします。証明書が証明書ストアから削除されます。


 

証明書の確

証明書が有効であることを確認する手順は、次のとおりです。


ステップ 1 Certificates タブをクリックします。

ステップ 2 VPN Client ウィンドウの上部で Verify をクリックします。証明書が有効かどうかを示すメッセージが表示されます(図 6-12)。

図 6-12 証明書の確認

 

ステップ 3 OK をクリックして VPN Client ウィンドウに戻ります。

証明書が無効な場合には、ネットワーク管理者に対処方法を問い合わせてください。


 

個人証明書のパスワードの変更

証明機関(CA)または登録局(RA)が発行した個人(ルート)証明書を表示するには、Certificates メニューの Show/Hide CA/RA Certificates オプションを使用します。

個人証明書のパスワードを変更する手順は、次のとおりです。


ステップ 1 Certificates タブの証明書ストアから証明書を選択します。

ステップ 2 Certificates メニューを表示して、 Change Certificate Password を選択します。

Change Certificate Password ダイアログボックスが表示されますCurrent フィールドに、秘密鍵の保護に現在使用しているパスワードを入力します。

ステップ 3 New フィールドに、新しいパスワードを入力します。

ステップ 4 Confirm フィールドに、確認のため同じパスワードをもう一度入力します。

ステップ 5 OK をクリックします。