第8章 証明書の管理

---

システム ＞ 証明書

ＶＰＮポリシーでの証明書の使用を実装するには、有効なＣＡ証明書をサードパーティのＣＡサービスから取得する必要があります。有効なＣＡ証明書を取得したら、ローカル証明書を有効にするためにＣＡ証明書をＳｏｎｉｃＷＡＬＬセキュリティ装置にインポートします。有効なＣＡ証明書をＳｏｎｉｃＷＡＬＬセキュリティ装置にインポートするには、「システム ＞ 証明書」ページを使用します。有効なＣＡ証明書をインポートしたら、それを使用してローカル証明書を有効にします。

この章は、次のセクションで構成されています。

･ 「デジタル証明書の概要」セクション

･ 「証明書の詳細情報」セクション

･ 「証明書の詳細情報」セクション

･ 「証明書のインポート」セクション

･ 「証明書の削除」セクション

･ 「証明書署名リクエストの生成」セクション

･ 「証明書署名リクエストの生成」セクション

デジタル証明書の概要

デジタル証明書は、認証局 （ＣＡ） として知られる信頼されるサードパーティによって身元を確認するための電子的な手段です。Ｘ.５０９ ｖ３証明書規格は暗号化証明書で使用される仕様で、証明書に含める拡張領域を定義できます。ＳｏｎｉｃＷＡＬＬでは、サードパーティ証明書のサポートの一環としてこの規格を実装しています。

サードパーティのＣＡによって署名され確認された証明書は、ＩＫＥ （インターネット鍵交換） ＶＰＮポリシーで使用できます。ＩＫＥはＩＰｓｅｃ ＶＰＮソリューションの重要な部分であり、ＳＡ （セキュリティ アソシエーション） を設定する前にデジタル証明書を使用して相手の機器を認証できます。デジタル証明書を使用しない場合、ＶＰＮユーザは共有鍵または対称鍵を手動で交換して認証する必要があります。デジタル署名を使用する機器またはクライアントは、新しい機器またはクライアントがネットワークに追加されるたびに設定を変更する必要はありません。

一般的な証明書は、データ セクションと署名セクションの２つのセクションで構成されます。データ セクションには通常、証明書がサポートするＸ.５０９のバージョン、証明書のシリアル番号、ユーザの公開鍵に関する情報、識別名 （ＤＮ）、証明書の有効期間、証明書の利用目的のようなオプション情報などの情報が含まれます。署名セクションには、発行元ＣＡが使用した暗号化アルゴリズムおよびＣＡのデジタル署名が含まれます。

ＳｏｎｉｃＷＡＬＬセキュリティ装置は、Ｘ.５０９ ｖ３準拠のすべての証明書発行者と相互運用性があります。ＳｏｎｉｃＷＡＬＬセキュリティ装置は、以下のＣＡ証明書ベンダについてテスト済みです。

･ Ｅｎｔｒｕｓｔ

･ マイクロソフト

･ ＯｐｅｎＣＡ

･ ＯｐｅｎＳＳＬ

･ ＶｅｒｉＳｉｇｎ

補足　HTTPS 管理の自己署名証明書に対しては、ADTRAN NetVanta 装置で動作する場合は、ＳｏｎｉｃＯＳ は ADTRAN 特有の HTTPS 管理の自己署名証明書を使い続けます。

証明書と証明書署名リクエスト

「証明書と証明書署名リクエスト」セクションには、ＣＡ証明書およびローカル証明書を管理するためのすべての設定があります。

「表示形式」メニューを使用すると、以下の条件に基づいて「証明書と証明書署名リクエスト」テーブルに証明書を表示できます。

･ 「すべての証明書」 － すべての証明書および証明書署名リクエストを表示します。

･ 「インポートした証明書とリクエスト」 － すべてのインポートした証明書および生成した証明書署名リクエストを表示します。

･ 「ビルトイン証明書」 － ＳｏｎｉｃＷＡＬＬセキュリティ装置が備えているすべての証明書を表示します。

･ 「期限切れのビルトイン証明書を含む」 － すべての期限切れ証明書およびビルトイン証明書を表示します。

「証明書と証明書署名リクエスト」テーブルには、証明書に関する以下の情報が表示されます。

･ 「証明書」 － 証明書の名前。

･ 「種別」 － ＣＡやローカルなどの証明書の種別。

･ 「確認」 － 確認情報。

･ 「有効期限」 － 証明書の期限が切れる日時。

･ 「詳細」 － 証明書の詳細情報。 アイコンの上にポインタを移動すると、証明書の詳細が表示されます。

･ 設定 － 証明書のエントリを編集するための編集アイコン と削除するための削除アイコン が表示されます。

･ ＣＡ証明書に対する証明書失効リストまたは未処理リクエストに対する署名済み証明書をインポートするためのインポート アイコン も表示されます。

証明書の詳細情報

「証明書と証明書署名リクエスト」テーブルの「詳細」列のアイコンを選択すると、証明書に関する情報が一覧表示されます。証明書の種別によって異なりますが、以下の情報が含まれます。

･ 「証明書発行者」

･ 「サブジェクト識別名」

･ 「証明書シリアル番号」

･ 「有効期間の開始」

･ 「有効期間の終了」

･ 「状況」 （未処理リクエストまたはローカル証明書の場合）

･ 「ＣＲＬ状況」 （ＣＡ証明書の場合）

「詳細」列のアイコンの上にマウスを移動したときに表示される詳細情報は、証明書の種別によって異なります。「証明書発行者」、「証明書シリアル番号」、「有効期間の開始」、および「有効期間の終了」は、証明書の発行者によって生成される情報であるため、未処理リクエストの場合には表示されません。同様に、「ＣＲＬ状況」の情報は、ＣＡ証明書の場合にだけ表示され、その内容もＣＡ証明書の設定によって異なります。

証明書のインポート

ＣＡサービスによって未処理リクエストの証明書が発行されるか、またはローカル証明書が提供されたら、それをインポートしてＶＰＮまたはウェブ管理認証で使用できます。ＣＡ証明書をインポートして、ＩＫＥネゴシエーションで使用されるローカル証明書および相手の証明書を確認することもできます。

認証局の証明書のインポート

認証局の証明書をインポートするには、以下の手順を実行します。

手順 1　 「インポート」を選択します。「証明書のインポート」ウィンドウが表示されます。

手順 2　 「ＰＫＣＳ＃７ （.ｐ７ｂ）、ＰＥＭ （.ｐｅｍ）、ＤＥＲ （.ｄｅｒ か .ｃｅｒ） エンコード ファイルから、ＣＡ証明書をインポートする」を選択します。「証明書のインポート」ウィンドウの設定が変わります。

手順 3　 「インポートするファイルを選択」フィールドに証明書ファイルのパスを入力するか、または「参照」を選択して証明書ファイルを指定した後、「開く」を選択して証明書ファイルへのディレクトリ パスを設定します。

手順 4　 「インポート」を選択してＳｏｎｉｃＷＡＬＬセキュリティ装置に証明書をインポートします。インポートが完了すると、「証明書と証明書署名リクエスト」テーブルに証明書のエントリが表示されます。

手順 5　 「詳細」列の アイコンの上にポインタを移動すると、証明書の詳細情報が表示されます。

ローカル証明書のインポート

ローカル証明書をインポートするには、以下の手順を実行します。

手順 1　 「インポート」を選択します。「証明書のインポート」ウィンドウが表示されます。

手順 2　 「証明書名」フィールドに証明書の名前を入力します。

手順 3　 「証明書管理パスワード」フィールドに、認証局がＰＫＣＳ＃１２ファイルの暗号化に使用したパスワードを入力します。

手順 4　 「インポートするファイルを選択」フィールドに証明書ファイルのパスを入力するか、または「参照」を選択して証明書ファイルを指定した後、「開く」を選択して証明書ファイルへのディレクトリ パスを設定します。

手順 5　 「インポート」を選択してＳｏｎｉｃＷＡＬＬセキュリティ装置に証明書をインポートします。インポートが完了すると、「証明書と証明書署名リクエスト」テーブルに証明書のエントリが表示されます。

手順 6　 「詳細」列の アイコンの上にポインタを移動すると、証明書の詳細情報が表示されます。

証明書の削除

証明書を削除するには、「削除」アイコンを選択します。証明書の期限が切れた場合、またはＶＰＮ認証にサードパーティの証明書を使用しない場合は、証明書を削除できます。

証明書署名リクエストの生成

ヒント　ローカル証明書とともに使用する証明書ポリシーを作成する必要があります。証明書ポリシーは、証明書を検証するために必要な認証要件および認証制限を定めます。

ローカル証明書を生成するには、以下の手順に従います。

手順 1　 「新しい署名リクエスト」ボタンを選択します。「証明書署名リクエスト」ウィンドウが表示されます。

手順 2　 「証明書署名リクエストの生成」セクションの「証明書名」フィールドに証明書のエイリアス名を入力します。

手順 3　 リクエストの各フィールドの種類をメニューから選択し、証明書の情報をフィールドに入力します。リクエストのフィールドに情報を入力すると、「サブジェクト識別名」フィールドに識別名 （ＤＮ） が生成されます。

また、証明書に「

ドメイン名」または「電子メール アドレス」などのオプションのサブジェクト代替名を付けることもできます。

手順 4　 「サブジェクト鍵タイプ」はＲＳＡアルゴリズムに事前設定されています。ＲＳＡは、データを暗号化するために使用される公開鍵暗号化アルゴリズムです。

手順 5　 「サブジェクト鍵サイズ」メニューからサブジェクト鍵のサイズを選択します。

補足　認証局はすべての鍵サイズをサポートするわけではないので、認証局がサポートする鍵サイズを確認する必要があります。

手順 6　 「生成」を選択して証明書署名リクエスト ファイルを生成します。証明書署名リクエストが生成されると、結果を示すメッセージが表示されます。

手順 7　 「エクスポート」を選択してファイルをコンピュータにダウンロードし、「保存」を選択してコンピュータのディレクトリに保存します。これで、検証のために認証局に送信できる「証明書署名リクエスト」が生成されました。

単純証明書登録プロトコルの設定

単純証明書登録プロトコル (SCEP) は、拡張性に優れた手法でネットワーク機器への証明書の保護された発行をサポートするように設計されています。 SCEP に対して、 2 つの登録シナリオがあります。

･ SCEP サーバ CA が自動的に証明書を発行する

･ SCEP 要求が PENDING に設定されて、CA 管理者が手動で証明書を発行する

以下のサイトで、SCEP に関する更なる情報を入手できます。

･ http://tools.ietf.org/html/draft-nourse-scep-18

･ Microsoft SCEP Implementation Whitepaper

証明書の発行に SCEP を使うには、以下の手順に従います。

手順 1　前述の 「証明書署名リクエストの生成」セクション で説明したように、署名リクエストを生成します。

手順 2　「システム ＞ 証明書」 ページの下部にスクロールして、「SCEP」 ボタンを選択します。 SCEP 設定ウィンドウが表示されます。

手順 3　「CSR リスト」 プルダウン メニュー内に、UI が自動的に既定の CSR リストを選択します。 複数の CSR リストが設定されている場合は、これを変更できます。

手順 4　「CA URL」 フィールドに、認証局の URL を入力します。

手順 5　「チャレンジ パスワード」 フィールドに、要求されている場合は CA のパスワードを入力します。

手順 6　「ポーリング間隔（秒）」 フィールドで、ポーリング メッセージが送信される間隔の秒数を、既定値から変更できます。

手順 7　「最大ポーリング時間（秒）」 フィールドで、ファイアウォールがポーリング メッセージへの応答をタイムアウトまで待つ間隔の秒数を、既定値から変更できます。

手順 8　「Scep」 ボタンを選択して、SCEP 登録を提出します。

これで、ファイアウォールは証明書をリクエストするために CA に接触します。 これにかかる時間は、CA が証明書を自動または手動のどちらで発行するかに依存します。 「ログ ＞ 表示」 ページに、SCEP 登録と証明書発行の状態を示すメッセージが表示されます。 発行された証明書は、「システム ＞ 証明書」 ページの 「インポートした証明書とリクエスト」 種別の、利用可能な証明書リスト内に表示されます。