VPN Client ユーザ ガイド Mac OS X 版 Release 4.6
証明書の登録と管理
証明書の登録と管理
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

証明書の登録と管理

証明書ストアの使用

証明書の登録

登録要求の管理

登録要求の表示

登録要求の削除

登録要求のパスワードの変更

登録要求の再試行

証明書のインポート

証明書の表示

証明書のエクスポート

証明書の削除

証明書の確認

個人証明書のパスワードの変更

証明書の登録と管理

この章では、VPN Client Mac OS X 版のデジタル証明書を登録および管理する方法について説明します。具体的には、次の作業方法を紹介します。

認証機関(CA)への登録による個人証明書の取得。認証機関とは、ユーザが申告通りのユーザであることを証明するデジタル証明を発行する機関です。

証明書と登録要求の管理。

証明書のインポート、エクスポート、表示、および確認。

証明書に関する作業を開始するには、VPN Client のメイン ウィンドウの[証明書]タブを拡張モードで開きます。[証明書]タブには、現在登録されている証明書のリストが表示されます。証明書が表示されていない場合は、CA に登録するか、システム管理者に連絡する必要があります。

証明書ストアの使用

VPN Client では、ローカル ファイル システム内の個人証明書の格納場所を、 ストア と呼んでいます。VPN Client の主要ストアは Cisco ストアです。このストアには Simple Certificate Enrollment Protocol(SCEP)を通じて登録した証明書、およびファイルからインポートした証明書が保管されています。

VPN Client のメイン ウィンドウの[証明書]タブには、証明書ストアに保管されている証明書のリストが表示されます(図 6-1)。

図 6-1 証明書ストア

 

各証明書には、次の情報が記載されています。

[証明書]:証明書の名前。

[ストア]:この証明書が格納されている証明書ストア。認証機関から証明書を登録する場合には、ストアは CA になります。ファイルから証明書をインポートする場合には、ストアは Cisco になります。

[キーのサイズ]:署名キー ペアのサイズ(ビット数)。

[有効性]:証明書が期限切れとなる日付と時刻。

証明書の登録

VPN Client には、すでにシステム管理者によりデジタル証明書がセットアップされている場合があります。証明書がインストールされていない場合、または証明書を追加する場合は、認証機関(CA)に登録して証明書を取得できます。

デジタル証明書を登録するには、PKI フレームワーク規格を使用して登録し、CA から承認を得て、証明書をシステムにインストールする必要があります。

デジタル証明書は、次のいずれかの方法で登録できます。

ネットワーク上で CA から登録する。

登録要求ファイルから登録する。

ユーザ認証のためのデジタル証明書を登録する手順は、次のとおりです。


ステップ 1 [証明書]タブをクリックします。

ステップ 2 VPN Client ウィンドウの上部で[登録]をクリックします。[証明書の登録]ダイアログボックスが表示されます。

ステップ 3 証明書登録タイプを選択します。

[オンライン]を選択した場合は、ネットワーク上で CA に登録して証明書を取得します。

[ファイル]を選択した場合は、VPN Client によって登録要求ファイルが生成されるので、それを CA に E メールで送信するか、Web ページのフォームで送信することができます。

図 6-2 は、[証明書の登録]ダイアログボックスを示しています。

図 6-2 証明書のオンライン登録

 

ステップ 4 登録パラメータを入力します。

オンライン登録では、次のデータを入力します。

[認証機関]:CA 証明書の通常名または所有者名。このドロップダウン リストには、今までに登録された CA 証明書の履歴が表示されます。このリストから CA を選択すると、[CA の URL]および[CA のドメイン]フィールドに値が入力されます。<新規> オンライン登録では、[CA の URL]と[CA のドメイン]を手作業で入力する必要があります。

[CA の URL]:CA の URL またはネットワーク アドレス。たとえば、http://198.162.41.9/certsrv/mcep/mcep.dll です。

[CA のドメイン]:CA のドメイン名。たとえば、qa2000.com です。

[チャレンジパスワード]:一部の CA のサイトでは、アクセスするときにパスワードの入力が必要になる場合があります。[チャレンジパスワード]フィールドに、そのパスワードを入力します。チャレンジ パスワードは、管理者または CA から入手してください。

[新しいパスワード]:この証明書のパスワード。各デジタル証明書はパスワードで保護されています。認証にデジタル証明書が必要な接続エントリを作成した場合は、接続を試みるたびに証明書パスワードを入力しなければなりません。

ファイルで登録するには、次のデータを入力します。

出力ファイルのファイル符号化タイプ。

Base-64:デフォルトの、ANCII 文字に符号化された PKCS10 ファイルです。このファイルはテキスト形式なので、表示可能です。テキストを CA の Web サイトにカット アンド ペーストする場合に、このタイプを使用してください。

2 進数:base-2 PKCS10(Public-Key Cryptography Standards)ファイル。2 進符号化されたファイルは表示できません。

[ファイル名]:ファイル要求の完全パス名。たとえば、/Users/Anna/Documents/Certificates/mycert.p10 です。

[新しいパスワード]:この証明書のパスワード。各デジタル証明書はパスワードで保護されています。認証にデジタル証明書が必要な接続エントリを作成した場合は、接続を試みるたびに証明書パスワードを入力しなければなりません。

ステップ 5 [次へ]をクリックして証明書の登録を続行します。[証明書の登録]ダイアログボックスが表示されます(図 6-3)。

図 6-3 証明書の登録

 

ステップ 6 残りの証明書登録パラメータを入力します。グレー表示されているフィールド以外はすべて必須です。 表 6-1 は、各入力フィールドについての説明をまとめたものです。

 

表 6-1 証明書登録パラメータ

入力フィールド
説明

[名前[CN]]

証明書に記載される通常名。通常名は、個人、システム、またはその他のエンティティです。識別名の階層で最も固有性が高く、証明書の名前になります。たとえば、Fred Flinstone です。

[ドメイン]

システムのホストの完全修飾ドメイン名(FQDN)。たとえば、Dialin_Server です。

[E メール[E]]

証明書に記載されるユーザの E メール アドレス。たとえば、email@company.com です。

[IP アドレス]

ユーザのシステムの IP アドレス。たとえば、192.168.23.9 です。

[部門[OU]]

ユーザが属する VPN グループ。このフィールドは、組織ユニット(OU)と相関関係があります。たとえば、OU は、VPN 3000 シリーズ コンセントレータで設定されるグループ名と同じです。

[会社名[O]]

証明書の会社名

[都道府県名[ST]]

証明書に記載される都道府県

[国名[C]]

国を表す 2 文字の国名記号。たとえば、US です。この 2 文字の国名記号は、ISO 3166 国名略語に準拠していなければなりません。

ステップ 7 [登録]をクリックして証明書を CA に登録するか、[戻る]をクリックしてこれまでに設定した証明書登録パラメータを再表示するか、[キャンセル]をクリックします。

証明書登録は、証明書ストアに要求として表示されます。証明書の登録要求を再開するには、Ctrl キーを押した状態でクリックして[証明書の登録を再試行]を選択します。または、[証明書]メニューから登録を再開することもできます。

証明書が登録されたかどうかを示すメッセージが表示されます(図 6-4)。

図 6-4 登録の完了

 

証明書の登録に失敗した場合には、ネットワーク管理者に問い合わせてください。


 

登録要求の管理

CA 管理者が登録要求の承認を保留している間、その登録要求は[証明書]タブのリストに表示されます。リスト内のすべての要求について、表示、削除、またはパスワードの変更を行えます。ネットワーク登録要求を再試行することもできます。これらの操作を実行するには、保留中の登録要求を選択し、[証明書]メニューをクリックします。

登録要求の表示

登録要求を表示する手順は、次のとおりです。


ステップ 1 証明書ストアで、登録要求を選択します。

ステップ 2 [証明書]メニューから[表示]を選択します。

ステップ 3 保留中の要求が表示されます。[発行者]フィールドに CA の名前でなく所有者名が表示されます。これは、CA がまだ証明書を発行していないからです。


ヒント 証明書要求パスワードは[表示]ダイアログボックスでも変更できます。



 

登録要求の削除

登録要求を削除する手順は、次のとおりです。


ステップ 1 証明書ストアから、登録要求を選択します。

ステップ 2 [証明書]メニューから[削除]を選択します。

パスワードを入力するように求められます。

ステップ 3 [パスワード]フィールドがある場合はそこにパスワードを入力し、[OK]をクリックします。

パスワードが確認されます。パスワードが正しければ、その要求は削除されます。


 

登録要求のパスワードの変更

登録要求の証明書パスワードを変更する手順は、次のとおりです。


ステップ 1 証明書ストアから、証明書要求を選択します。

ステップ 2 [証明書]メニューから[証明書のパスワード変更]を選択します。

[証明書のパスワード]ダイアログボックスが表示されます(図 6-5図 6-5)。

図 6-5 証明書のパスワードの変更

 

ステップ 3 現在のパスワードを入力し、[OK]をクリックします。

ステップ 4 表示されるメッセージに従い、新しいパスワードを入力して、[OK]をクリックします。

ステップ 5 次に表示されるメッセージに従い、新しいパスワードを確認のためもう一度入力して、[OK]をクリックします。

パスワードが正常に変更されたことを示すメッセージが表示されます。


) パスワードは[表示]ダイアログボックスでも変更できます。



 

登録要求の再試行

保留中のオンライン登録要求を再試行する手順は、次のとおりです。


ステップ 1 証明書ストアで、登録要求を選択します。

ステップ 2 [証明書]メニューから[証明書の登録を再試行]を選択します。

パスワードを入力するように求められます。このパスワードは、証明書の秘密鍵の保護に使用しているパスワードと一致している必要があります。

ステップ 3 パスワードを入力し、[OK]をクリックして、登録要求を再開します。


 

証明書のインポート

ネットワーク管理者が証明書をファイルに保存することもあります。この証明書を使用して VPN Client が VPN 装置から認証されるためには、証明書を証明書ストアにインポートする必要があります。

ファイルから証明書をインポートする手順は、次のとおりです。


ステップ 1 [証明書]タブをクリックします。

ステップ 2 VPN Client ウィンドウの上部で[インポート]をクリックします。[証明書のインポート]ダイアログボックスが表示されます(図 6-6)。

図 6-6 証明書のインポート

 

ステップ 3 インポート パスを入力します。

場所がわからない場合には、証明書があるフォルダを参照して、ブラウザのウィンドウで[開く]をクリックします。インポート パスが[証明書のインポート]ダイアログボックスに自動的に入力されます。

ステップ 4 [インポートパスワード]を入力します。これは、証明書ファイルを保護するために使用されるパスワードで、インポート パスワードと呼ばれ、システム管理者が割り当てます。

ステップ 5 [新しいパスワード]を入力します。これは、証明書ストア内の証明書を保護するためにユーザが割り当てるパスワードです。これはオプションのパスワードですが、証明書は常にパスワードで保護することをお勧めします。

ステップ 6 新規パスワードを確認のため再入力します。

ステップ 7 [インポート]をクリックします。証明書が VPN Client 証明書ストアにインストールされます。


 

証明書の表示

証明書ストア内の証明書の内容を表示する手順は、次のとおりです。


ステップ 1 [証明書]タブをクリックします。

ステップ 2 表示する証明書を選択します。

ステップ 3 VPN Client ウィンドウの上部で[表示]をクリックするか、証明書をダブルクリックします。[証明書プロパティ]ウィンドウが表示されます(図 6-7)。

図 6-7 証明書のプロパティ

 

一般的なデジタル証明書には、次の情報が記載されています。

通常名:所有者の名前(通常、姓と名の両方)。このフィールドには、公開キー インフラストラクチャ(PKI 組織)内の所有者が示されます。

部門:所有者が所属する部門。これは、所有者フィールドの ou(組織ユニット)と同じです。

会社名:証明書を使用している所有者が所属する会社。これは、所有者フィールドの o(組織)と同じです。

都道府県名:証明書を使用している所有者が居住している都道府県(米国では州)。

国名:所有者のシステムが設置されている国の 2 文字の国別コード。

E メール:証明書の所有者の E メール アドレス。

拇印:証明書のすべての内容の MD5 および SHA-1 ハッシュ。これによって、証明書の信頼性を確認できます。たとえば、発行元 CA に問い合わせれば、このハッシュ ID と比較してこの証明書が正当かどうかを確認できます。

キーのサイズ:署名キー ペアのサイズ(ビット数)。

所有者:証明書の所有者の完全修飾識別名(FQDN)。このフィールドで、証明書の所有者が LDAP と X.500 ディレクトリのクエリーに使用できる形式で固有に識別されます。一般的な所有者には、次のフィールドが含まれます。

common name(cn; 通常名)

organizational unit または department(ou; 組織ユニットまたは部門)

organization または company(o; 組織または会社)

locality、city、または town(l; 市区町村)

state または province(st; 都道府県)

country(c; 国)

e-mail address(e; E メール アドレス)

証明書によっては、上記以外の項目が所有者に含まれている場合があります。

発行者:証明書を発行した機関の完全修飾識別名(FQDN)。

シリアル番号:Certificate Revocation List(CRL)上で証明書の有効性をトラッキングする際に使用される固有の ID。

有効期間の開始日:証明書の発効日。

有効期間の終了日:証明書の終了日。この日の翌日から無効になります。

ステップ 4 [閉じる]をクリックして VPN Client ウィンドウに戻ります。


 

証明書のエクスポート

証明書ストアから指定ファイルに証明書をエクスポートする手順は、次のとおりです。


ステップ 1 [証明書]タブをクリックします。

ステップ 2 エクスポートする証明書を選択します。

ステップ 3 VPN Client ウィンドウの上部で[エクスポート]をクリックします。[証明書のエクスポート]ダイアログボックスが表示されます(図 6-8)。

図 6-8 証明書のエクスポート

 

ステップ 4 エクスポート パスを入力します。

エクスポート パスがわからない場合には、エクスポート ディレクトリを参照して、ブラウザのウィンドウで[開く]をクリックします。エクスポート パスが[証明書のエクスポート]ダイアログボックスに自動的に入力されます。

ステップ 5 証明書チェーン全体をエクスポートするには、そのパラメータの横のチェックボックスにチェックマークを付けます。

ステップ 6 エクスポートされた証明書ファイルを保護するには、パスワードを入力します。常にパスワードを入力して証明書を保護することをお勧めします。

ステップ 7 エクスポートされる証明書ファイルのパスワードを確認のため再入力します。

ステップ 8 [エクスポート]をクリックします。選択したディレクトリに証明書がコピーされ、エクスポートが完了したことを示すメッセージ (図 6-9)が表示されます。

図 6-9 エクスポート完了のメッセージ

 

ステップ 9 [OK]をクリックして VPN Client ウィンドウに戻ります。


 

証明書の削除

証明書ストアから証明書を削除できます。登録証明書を削除するには、パスワードが必要です。


注意 削除した証明書は取得できません。

ユーザまたはルート証明書を削除する手順は、次のとおりです。


ステップ 1 [証明書]タブをクリックします。

ステップ 2 削除する証明書を選択します。

ステップ 3 VPN Client ウィンドウの上部で[削除]をクリックします。警告メッセージが表示されます(図 6-10)。

図 6-10 証明書削除の警告

 

ステップ 4 証明書の名前を確認し、[削除]をクリックします。選択した証明書が証明書ストアから削除されます。

[削除しない]をクリックすると、選択した証明書は削除されずに、VPN Client ウィンドウに戻ります。


 

登録証明書を削除する手順は、次のとおりです。


ステップ 1 [証明書]タブをクリックします。

ステップ 2 削除する登録証明書を選択します。

ステップ 3 VPN Client ウィンドウの上部で[削除]をクリックします。[証明書のパスワード]ダイアログボックスが表示されます(図 6-11)。

図 6-11 登録証明書を削除するためのパスワードの入力を求めるメッセージ

 

ステップ 4 削除する証明書の証明書パスワードを入力します。

証明書パスワードとは、証明書ストア内の証明書を保護するためにユーザが割り当てたパスワードです。これは、証明書を登録するときに[新しいパスワード]フィールドで設定したパスワードです。「証明書の登録」 を参照してください。

ステップ 5 [OK]をクリックします。証明書が証明書ストアから削除されます。


 

証明書の確

証明書が有効であることを確認する手順は、次のとおりです。


ステップ 1 [証明書]タブをクリックします。

ステップ 2 VPN Client ウィンドウの上部で[確認]をクリックします。証明書が有効かどうかを示すメッセージが表示されます(図 6-12)。

図 6-12 証明書の確認

 

ステップ 3 [OK]をクリックして VPN Client ウィンドウに戻ります。

証明書が無効な場合には、ネットワーク管理者に対処方法を問い合わせてください。


 

個人証明書のパスワードの変更

証明機関(CA)または登録局(RA)が発行した個人(ルート)証明書を表示するには、[証明書]メニューの[CA または RA 証明書の表示]オプションを使用します。

個人証明書のパスワードを変更する手順は、次のとおりです。


ステップ 1 [証明書]タブの証明書ストアから証明書を選択します。

ステップ 2 [証明書]メニューを表示して、[証明書のパスワード変更]を選択します。

証明書のパスワード ダイアログボックスが表示されます。現在のパスワード フィールドに、秘密鍵の保護に現在使用しているパスワードを入力します。

ステップ 3 新しいパスワード フィールドに、新しいパスワードを入力します。

ステップ 4 パスワードの確認フィールドに、確認のため同じパスワードをもう一度入力します。

ステップ 5 [OK]をクリックします。