fujitsu software systemwalker pki manager v12 …...ra...

2018年12月

富士通株式会社

FUJITSU Software SystemwalkerPKI Manager V12.0ご紹介

Copyright 2018 FUJITSU LIMITED


ネットワークにおける脅威

PKIにより実現されるセキュリティ

認証局とは

認証局構成モデル

PKI 概要

11


ネットワークにおける脅威

ネットワーク上を使用した情報のやり取りには、以下の4つの脅威がある

だめだったか契約が成立しました

改ざん

ＮＧにしてやろう

そうか商談があります盗聴

横取りしてやろう

早いななりすまし書類は

後で作ろう

頼まれた書類です

おかしいな

否認

そんな報告はしていないよ

2


PKI により実現されるセキュリティ

盗聴防止

改ざん防止

なりすまし防止

否認防止

通信内容、文書内容の秘匿の仕組み

暗号化

通信相手の本人確認の仕組み

証明書

文書作成者の明示と改ざん検出の仕組み

電子署名

「盗聴」「改ざん」「なりすまし」「否認」の脅威を防止する

PKI

PKI（Public Key Infrastructure）証明書／公開鍵暗号の技術によって実現される、

暗号化や認証、本人確認を行うセキュリティ基盤

3


認証局は、個人の情報と公開鍵に署名し、証明書を発行

公開鍵（証明書）が確かにその人のものであることを証明する機関

認証局とは

認証局

鍵ペアを生成

証明書を発行(PKCS#12方式)

暗号通信

公開鍵を登録

証明書を発行(PKCS#10/7方式) イントラネット/インターネット

PKIシステムの中心

鍵ペアを生成

暗号ﾌｧｲﾙ

4


5．証明書発行

1. 証明書発行要求

(LDAP)

6．証明書/CRLを格納/公開

8．認証局証明書とCRLを取得して、EE証明書の有効性を確認

4．証明書発行依頼

7．証明書配付

ディレクトリサーバ

2．鍵ペア生成

RA(RegistrationAuthority)

Repository

(CMP)

(PKCS#10)

登録局

発行局

PKCS: Public Key Cryptography Standard LDAP: Lightweight Directory Access ProtocolCMP: Certificate Management Protocol CRL: Certificate Revocation List

(PKCS#7)

IA (Issuing Authority)

認証局CA (Certification

Authority)

認証局構成モデル

RAO(RA Operator)3．証明書発行審査

EE (End Ｅntity)

認証サーバ(VPN,SSL,Web-SSO)

利用者

RA (RegistrationAuthority) RAO (RA Operator)

5


製品紹介 Systemwalker PKI Manager 製品体系

構成例

証明書発行処理フロー

対応アルゴリズム

認証局構築での主な検討事項

ご紹介

66


イベント/監視

IA（発行局）機能

証明書、CRL(証明書失効リスト）を発行X.509 V3準拠の証明書/X.509 V2準拠のCRLを発行ディレクトリサーバ連携による証明書・CRLの配付

階層型IA組織別、用途別の柔軟な導入IA間の相互認証(CSRのSHA2署名にも対応)

複数IA1サーバ内に複数IAの構築することによるコストダウン

FUJITSU SoftwareSystemwalker Centric Manager

このイメージは、現在表示できません。

RA/KRオペレータ

証明書/CRL公開PKCS#12格納

認証局管理者

証明書発行申請

申請の審査証明書データ作成

信頼性運用


カード工場発行での証明書・秘密鍵の大量発行

PKCS#12形式の証

明書と秘密鍵をディレクトリから取得

RA（登録局）機能証明書発行/失効申請

RA操作員からの発行申請(GUI)発行/失効コマンドを使用したアプリ連携による自動申請IAへの証明書の発行/失効依頼

証明書データの作成PKCS#12形式データとして作成スマートカードとして作成スマートカード工場向け発行データを作成

信頼性一括発行申請者と承認者とのRAオペレータの役割分離KR(Key Recovery)オペレータによる鍵破損等からの回復

共通機能

イベント監視Systemwalker Centric Managerメッセージ連携による監視

監査機能監査ログを採取し、不正運用がされていないことを検証

運用管理部門

認証局

カード工場

証明書管理部門

～公開鍵基盤(PKI)を担うIA、RA機能～

製品紹介 Systemwalker PKI Manager

IA/RA

LDAPﾃﾞｨﾚｸﾄﾘｻｰﾊﾞ

ｴﾝﾄﾞﾕｰｻﾞ

Systemwalker PKI Manager

●▲■★



7


PKI Manager 12.x 基本

PKI Manager 12.x オプション

Systemwalker PKI Manager 12.x（オプション）

・ユーザ追加ライセンス (1年間24時間サポート付)

500, 1000, 2000, 5000, 10000, 20000, 50000, 100000の８パターン

Systemwalker PKI Manager 12.x（基本）

・サーバライセンス (1年間24時間サポート付)

・100ユーザ付

製品体系

Systemwalker PKI Manager メディアパック 12.X

メディアパック

8


Webサーバ等管理者

RAオペレータ１/２IＡ

ＲＡ5．証明書発行要求

1．アプリケーションにて鍵ペアと申請書作成(PKCS#10)

2．証明書発行依頼

(PKCS#10)

8．証明書取得(RAO2)(PKCS#7ダウンロード)

7．証明書取得

3．発行申請（RAO2）4．発行承認（RAO1） 6．.証明書発行

登録局管理者1. 証明書利用者はアプリケーションにて

鍵ペアと申請書（PKCS#10）を作成

2. 証明書利用者は作成した申請書（PKCS#10）を、RAオペレータ２に提供し、証明書発行を依頼(オフライン)

3. RAオペレータ２がRAに発行申請する

4. RAオペレータ１が証明書発行申請を承認すると、承認情報がRAサーバに通達される

5. RAサーバはIAサーバに対して証明書発行を要求する

6. IAサーバは証明書を発行する

7. RAサーバはIAサーバから証明書を取得

8. RAオペレータ２がRAから証明書（PKCS#7）を取得

9. 証明書利用者はRAオペレータ２から証明書（PKCS#7）を受取る(オフライン)

10. 証明書利用者は証明書をアプリケーションにインポート

証明書発行処理フロー(小規模)

9．証明書(PKCS#7)を受け取る

～個別申請の場合～

10．証明書(PKCS#7)をアプリケーションへインポート

DBDB

9


ＰKCS#１２Downloader

ＲＡ4．鍵ペア

作成

5..証明書発行要求

12.PKCS#12取得

7.証明書取得

2．発行申請（RAO２）3．発行承認（RAO１）

6.証明書発行

10.証明書と秘密鍵を格納 (PKCS#12)

（RAO１）

8.PKCS#12入手（RAO１）9.PIN入手（RAO２）

11.PIN通知（RAO２）

12.PKCS#12送信

発行・公開・ＰKCS#１２配付用

Ｄｉｒｅｃｔｏｒｙ

証明書利用者

RAオペレータ１/２

Ｄｉｒｅｃｔｏｒｙ

IＡ

証明書発行処理フロー(大規模・審査有)1. Directoryサーバまたは人事データベース

から抽出したLDIF情報を元に、申請者一覧を作成

2. RAオペレータ２が一度に複数の証明書発行申請を一括で申請

3. RAオペレータ１が証明書発行申請を承認

4. RAサーバにて鍵ペアが作成される。

5. RAサーバはIAサーバに対して証明書発行を要求

6. IAサーバは証明書を発行

7. RAサーバはIAサーバより証明書を取得

8. RAオペレータ１の要求でPKCS#12（証明書と秘密鍵）がRAオペレータ１に渡される

9. RAオペレータ２はRAサーバより自動生成されたPINを取得

10. RAオペレータ１は作成されたPKCS#12（証明書と秘密鍵）をDirectoryサーバに格納

11. RAオペレータ２はPINを証明書利用者に通知

12. 証明書利用者はPINを利用してPKCS#12Downloader経由でディレクトリサーバからPKCS#12をダウンロード

13. 証明書利用者は証明書（PKCS#12）をアプリケーションにインポート

人事情報

1．申請者一覧情報の抽出

13.証明書をアプリケーションへインポート

LDIF

～管理者による一括発行～

DBDB

10


■ 下記のアルゴリズムで、証明書とCRLを発行できます

スペック従来製品 PKI Manager鍵長 RSA512bit

RSA1024bitRSA2048bitRSA4096bit

○

○

○

－

－

○

○

○

公開鍵アルゴリズム RSAEncryption RSASSA-PSS

○

－

○

○

署名アルゴリズム md5WithRSAEncryptionsha1WithRSAEncryptionsha256WithRSAEncryptionsha384WithRSAEncryptionsha512WithRSAEncryptionRSASSA-PSS

○

○

－

－

－

－

－

○

○

○

○

○

対応アルゴリズム

11


認証局構築での主な検討事項

1. 証明書の用途・何のサービスにPKIを利用したいのか。(VPN/Web /TLS通信/暗号メール/電子署名)・証明書に記載する発行者、所有者、有効期間、鍵用途等を検討。・暗号アルゴリズム(鍵長/署名)は、証明書利用アプリや機器の対応スケジュールを踏まえて検討。

2. 証明書の発行・配付の運用・証明書の秘密鍵は、どこで管理するのか。(PC(HDD/TPM)/ICカード/USBトークン)・誰が、誰に、どのように証明書を配付するのか。(オンライン/外部媒体(CDR/ICカード/USBトークン))・発行申請データの作成方法の検討。(CSV/LDIF)

・発行申請方法の検討。(個別発行方式/一括発行方式)

3. 証明書の失効の運用・証明書の失効管理を行うかを検討。・失効情報(CRL)をアプリや機器にどのように反映させるか。(更新時刻やサイクル、配付方法)

4. 認証局の設備・認証局を構成するサーバや端末、ネットワーク構成・認証局機器を設置するラック/部屋とその入退出管理の検討。

5. CP/CPS（証明書ポリシ/運用管理規定）の作成・CP/CPSは、 RFCで規定された形式に従い、認証局の運用方針について、ドキュメント化したもの。

記述例：運用管理体制、発行する証明書の内容、証明書発行、失効時の手順等を規定・認証局は、CP/CPSを公開することで、証明書の利用者にその認証局の信頼性を明示する。特に、GtoG、GtoC、BtoB、BtoC等の社外取引等で証明書を利用する場合は、必須の規定となる。

12


ICカードを使用したPKI認証基盤

Webシステムの認証用証明書の配付

高セキュアな認証ソリューション

SafetyMAMによるICカード発行の自動運用

FUJITSU Software Systemwalker Operation Managerと業務アプリによる自動運用

導入事例

1313


事例紹介 ICカードを使用したPKI認証基盤

■ 職員証（ICカード）を使った職員ポータル及びSSOシステムの構築■ ICカード発行運用管理システム(SafetyMAM)との自動連携にてICカードを発行

14


事例紹介 Webシステムの認証用証明書の配付

利用者

利用者管理

証明書の即時配付

利用者登録

利用者の登録・更新・削除

認証局(SystemwalkerPKI Manager

CA/RA)

発行/失効要求

証明書取得

証明書失効

証明書管理(URP)

・発行/更新・証明書配付・失効

証明書更新

利用者の登録・削除

証明書発行

利用者削除

ポータル

利用者(PKCS#12)

URP：User Request Program(有償のカスタマイズサービス)

■ 利用者登録時に証明書発行を行い、利用者PC(Windows)の証明書管理領域に自動インポート■ 証明書更新時にも、証明書を再配付するとともに旧証明書を自動失効■ 利用者削除時には、証明書を自動失効

証明書の自動格納ですぐに使用可能(Javaｱﾌﾟﾚｯﾄ)

15


事例紹介高セキュアな認証ソリューション

③業務認証(SSL v3クライアント認証)

②Windowsスマートカードログオン認証※

①個人認証(生体認証/ICカード認証)

利用者PC

<Windows8>

Windowsドメインコントローラ

Web認証サーバ

認証情報

ﾕｰｻﾞ用秘密鍵

ﾕｰｻﾞ用証明書

※ Windowsログオンは以下のMicrosoft情報にて実現します。

「サードパーティのCAを用いてスマートカードログオンを有効にするガイドライン」

https://support.microsoft.com/ja-jp/help/281245/guidelines-for-enabling-smart-card-logon-with-third-party-certificatio

「サードパーティの証明書をNTAuthストアにインポートする方法」

https://support.microsoft.com/ja-jp/help/295663/how-to-import-third-party-certification-authority-ca-certificates-into

認証情報PIN認証

手のひら静脈センサ

生体情報にてICカードへの

アクセスを認証

SafetyCLIC(生体情報から一意のPINに変換)

「生体認証」＋「ICカード」＋「PKI」を使った最高レベルのセキュリティシステムが実現できます■ 生体情報にてICカードへのアクセスを認証できます■ ICカード内に証明書ペアを格納しておくことで、2要素認証を実現できます■ ICカードを紛失しても、生体情報から自動算出された強固なPINが設定されており不正利用は不可能です■ Windowsログオン用プロファイルを証明書に設定しておくことで、スマートカードログオンも実現できます■ SSOサーバ等のWeb認証サーバに対しても証明書認証が行えます

●▲■★

16

●▲■★

事例紹介 SafetyMAMによるICカード発行の自動運用


認証局連携サーバ< Windows Server >

認証局SystemwalkerPKI Manager

CA/RA

発行/失効申請

証明書取得

■ SafetyMAM等のICカード発行管理システムに、証明書発行/失効コマンドを登録することで、カード発行や廃棄のイベントと連動して、証明書の発行/失効を自動化できます

申請情報/実行結果

証明書(PKCS#12)

ﾌｧｲﾙ渡し

SystemwalkerPKI ManagerRAO(証明書発行/失効ｺﾏﾝﾄﾞ)

ICカード発行機

券面印刷され証明書も格納されたICカードが自動発行される

管理操作 SafeｔｙMAM※

ICカード管理者券面情報の入力(氏名,ID,写真等)

カード発行⇒発行カード更新⇒発行/失効紛失/廃棄⇒失効

※ SafetyMAMは富士通のICカード運用管理システムです。https://www.fujitsu.com/jp/solutions/business-technology/security/secure/physical-security/iccard/safetymam/

17

事例紹介 Systemwalker Operation Managerと業務アプリによる自動運用


利用者

認証局連携サーバ< Windows Server >

会員登録/削除申請

認証局SystemwalkerPKI Manager

CA/RA

発行/失効申請

証明書取得

証明書(PKCS#12)

■ Systemwalker Operation Manager等のジョブ管理システムに、証明書発行/失効コマンドを登録しておくことで、証明書の発行/失効を自動化できます

■ 業務アプリにて、「申請情報の生成機能」と「コマンド実行結果の解析機能」を実装することで、自動運用が実現できます

申請情報(CSV),実行結果

証明書(PKCS#12)

ﾌｧｲﾙ渡し

業務アプリ(会員管理/

ﾜｰｸﾌﾛｰ)

ID追加⇒発行ID削除⇒失効

Systemwalker OperationManager

Systemwalker PKI ManagerRAO(証明書発行/失効ｺﾏﾝﾄﾞ)ﾀﾞｳﾝﾛｰﾄﾞ

承認された証明書だけバッチジョブとして

一括申請する

審査/承認

18


公開鍵暗号に関する標準

公開鍵暗号に関する標準・PKCS#12とは

付録

1919

旧RSA Security社は、 PKCS（Public-Key Cryptography Standards）と呼ばれる公開鍵暗号に関する標準を策定したため、赤字の規格が現在もよく使われます

#1 ：RSA暗号に関する標準 (RFC3447)

#5 ：パスワードベース暗号に関する標準 (RFC2898)

#7 ：暗号メッセージ構文に関する標準 (RFC2315)

#8 ：秘密鍵の形式に関する標準 (RFC5208)

#10：証明書の申請構文に関する標準 (RFC2986)

#11：暗号インターフェースに関する標準

#12：個人情報交換構文に関する標準

#13：楕円曲線暗号に関する標準

#15：スマートカードに関する標準(ISO/IEC 7816-15)

※ CSR(Certificate Signing Request：署名リクエスト)ともいう。

公開鍵暗号に関する標準

証明書の申請/配付とPKCSの関係

CA証明書発行申請書(PKCS#10)※

鍵ペア生成

利用者管理者

鍵ペア生成

PKCS#12

証明書(PKCS#7)

CA

【PKCS#10/7方式】【PKCS#12方式】


PKCS#11

ICｶｰﾄﾞ

20


PKCS#12形式のファイル

利用者証明書(公開鍵)

利用者証明書の秘密鍵

パスワードにて暗号化

ルート認証局証明書(公開鍵)

鍵ペア

中間認証局証明書(公開鍵)

…

公開鍵暗号に関する標準・PKCS#12とは

■ 利用者が使用する証明書(公開鍵)と秘密鍵が格納されているファイル

■ トラストポイント(信頼点)までの認証局証明書も格納できるファイル

■ パスワード(PIN:Personal Identification Number)にて暗号化

21

fujitsu software systemwalker pki manager v12 …...ra...

Documents