FUJITSU Software Systemwalker PKI Manager V12 …...RA...
Transcript of FUJITSU Software Systemwalker PKI Manager V12 …...RA...
2018年12月
富士通株式会社
FUJITSU Software SystemwalkerPKI Manager V12.0ご紹介
Copyright 2018 FUJITSU LIMITED
Copyright 2018 FUJITSU LIMITED
ネットワークにおける脅威
PKIにより実現されるセキュリティ
認証局とは
認証局構成モデル
PKI 概要
11
Copyright 2018 FUJITSU LIMITED
ネットワークにおける脅威
ネットワーク上を使用した情報のやり取りには、以下の4つの脅威がある
だめだったか契約が成立しました
改ざん
NGにしてやろう
そうか商談があります盗聴
横取りしてやろう
早いななりすまし書類は
後で作ろう
頼まれた書類です
おかしいな
否認
そんな報告はしていないよ
2
Copyright 2018 FUJITSU LIMITED
PKI により実現されるセキュリティ
盗聴防止
改ざん防止
なりすまし防止
否認防止
通信内容、文書内容の秘匿の仕組み
暗号化
通信相手の本人確認の仕組み
証明書
文書作成者の明示と改ざん検出の仕組み
電子署名
「盗聴」「改ざん」「なりすまし」「否認」の脅威を防止する
PKI
PKI(Public Key Infrastructure)証明書/公開鍵暗号の技術によって実現される、
暗号化や認証、本人確認を行うセキュリティ基盤
3
Copyright 2018 FUJITSU LIMITED
認証局は、個人の情報と公開鍵に署名し、証明書を発行
公開鍵(証明書)が確かにその人のものであることを証明する機関
認証局とは
認証局
鍵ペアを生成
証明書を発行(PKCS#12方式)
暗号通信
公開鍵を登録
証明書を発行(PKCS#10/7方式) イントラネット/インターネット
PKIシステムの中心
鍵ペアを生成
暗号ファイル
4
Copyright 2018 FUJITSU LIMITED
5.証明書発行
1. 証明書発行要求
(LDAP)
6. 証明書/CRLを格納/公開
8.認証局証明書とCRLを取得して、EE証明書の有効性を確認
4.証明書発行依頼
7.証明書配付
ディレクトリサーバ
2.鍵ペア生成
RA(RegistrationAuthority)
Repository
(CMP)
(PKCS#10)
登録局
発行局
PKCS: Public Key Cryptography Standard LDAP: Lightweight Directory Access ProtocolCMP: Certificate Management Protocol CRL: Certificate Revocation List
(PKCS#7)
IA (Issuing Authority)
認証局CA (Certification
Authority)
認証局構成モデル
RAO(RA Operator)3.証明書発行審査
EE (End Entity)
認証サーバ(VPN,SSL,Web-SSO)
利用者
RA (RegistrationAuthority) RAO (RA Operator)
5
Copyright 2018 FUJITSU LIMITED
製品紹介 Systemwalker PKI Manager 製品体系
構成例
証明書発行処理フロー
対応アルゴリズム
認証局構築での主な検討事項
ご紹介
66
Copyright 2018 FUJITSU LIMITED
イベント/監視
IA(発行局)機能
証明書、CRL(証明書失効リスト)を発行X.509 V3準拠の証明書/X.509 V2準拠のCRLを発行ディレクトリサーバ連携による証明書・CRLの配付
階層型IA組織別、用途別の柔軟な導入IA間の相互認証(CSRのSHA2署名にも対応)
複数IA1サーバ内に複数IAの構築することによるコストダウン
FUJITSU SoftwareSystemwalker Centric Manager
このイメージは、現在表示できません。
RA/KRオペレータ
証明書/CRL公開PKCS#12格納
認証局管理者
証明書発行申請
申請の審査証明書データ作成
信頼性運用
このイメージは、現在表示できません。
カード工場発行での証明書・秘密鍵の大量発行
PKCS#12形式の 証
明書と秘密鍵をディレクトリから取得
RA(登録局)機能証明書発行/失効申請
RA操作員からの発行申請(GUI)発行/失効コマンドを使用したアプリ連携による自動申請IAへの証明書の発行/失効依頼
証明書データの作成PKCS#12形式データとして作成スマートカードとして作成スマートカード工場向け発行データを作成
信頼性一括発行申請者と承認者とのRAオペレータの役割分離KR(Key Recovery)オペレータによる鍵破損等からの回復
共通機能
イベント監視Systemwalker Centric Managerメッセージ連携による監視
監査機能監査ログを採取し、不正運用がされていないことを検証
運用管理部門
認証局
カード工場
証明書管理部門
~公開鍵基盤(PKI)を担うIA、RA機能~
製品紹介 Systemwalker PKI Manager
IA/RA
LDAPディレクトリサーバ
エンドユーザ
Systemwalker PKI Manager
●▲■★
このイメージは、現在表示できません。
このイメージは、現在表示できません。
7
Copyright 2018 FUJITSU LIMITED
PKI Manager 12.x 基本
PKI Manager 12.x オプション
Systemwalker PKI Manager 12.x(オプション)
・ユーザ追加ライセンス (1年間24時間サポート付)
500, 1000, 2000, 5000, 10000, 20000, 50000, 100000の8パターン
Systemwalker PKI Manager 12.x(基本)
・サーバライセンス (1年間24時間サポート付)
・100ユーザ付
製品体系
Systemwalker PKI Manager メディアパック 12.X
メディアパック
8
Copyright 2018 FUJITSU LIMITED
Webサーバ等管理者
RAオペレータ1/2IA
RA5.証明書発行要求
1.アプリケーションにて鍵ペアと申請書作成(PKCS#10)
2.証明書発行依頼
(PKCS#10)
8.証明書取得(RAO2)(PKCS#7ダウンロード)
7.証明書取得
3.発行申請(RAO2)4.発行承認(RAO1) 6..証明書発行
登録局管理者1. 証明書利用者はアプリケーションにて
鍵ペアと申請書(PKCS#10)を作成
2. 証明書利用者は作成した申請書(PKCS#10)を、RAオペレータ2に提供し、証明書発行を依頼(オフライン)
3. RAオペレータ2がRAに発行申請する
4. RAオペレータ1が証明書発行申請を承認すると、承認情報がRAサーバに通達される
5. RAサーバはIAサーバに対して証明書発行を要求する
6. IAサーバは証明書を発行する
7. RAサーバはIAサーバから証明書を取得
8. RAオペレータ2がRAから証明書(PKCS#7)を取得
9. 証明書利用者はRAオペレータ2から証明書(PKCS#7)を受取る(オフライン)
10. 証明書利用者は証明書をアプリケーションにインポート
証明書発行処理フロー(小規模)
9.証明書(PKCS#7)を受け取る
~個別申請の場合~
10.証明書(PKCS#7)をアプリケーションへインポート
DBDB
9
Copyright 2018 FUJITSU LIMITED
PKCS#12Downloader
RA4.鍵ペア
作成
5..証明書発行要求
12.PKCS#12取得
7.証明書取得
2.発行申請(RAO2)3.発行承認(RAO1)
6.証明書発行
10.証明書と秘密鍵を格納 (PKCS#12)
(RAO1)
8.PKCS#12入手(RAO1)9.PIN入手(RAO2)
11.PIN通知(RAO2)
12.PKCS#12送信
発行・公開・PKCS#12配付用
Directory
証明書利用者
RAオペレータ1/2
Directory
IA
証明書発行処理フロー(大規模・審査有)1. Directoryサーバまたは人事データベース
から抽出したLDIF情報を元に、申請者一覧を作成
2. RAオペレータ2が一度に複数の証明書発行申請を一括で申請
3. RAオペレータ1が証明書発行申請を承認
4. RAサーバにて鍵ペアが作成される。
5. RAサーバはIAサーバに対して証明書発行を要求
6. IAサーバは証明書を発行
7. RAサーバはIAサーバより証明書を取得
8. RAオペレータ1の要求でPKCS#12(証明書と秘密鍵)がRAオペレータ1に渡される
9. RAオペレータ2はRAサーバより自動生成されたPINを取得
10. RAオペレータ1は作成されたPKCS#12(証明書と秘密鍵)をDirectoryサーバに格納
11. RAオペレータ2はPINを証明書利用者に通知
12. 証明書利用者はPINを利用してPKCS#12Downloader経由でディレクトリサーバからPKCS#12をダウンロード
13. 証明書利用者は証明書(PKCS#12)をアプリケーションにインポート
人事情報
1.申請者一覧情報の抽出
13.証明書をアプリケーションへインポート
LDIF
~管理者による一括発行~
DBDB
10
Copyright 2018 FUJITSU LIMITED
■ 下記のアルゴリズムで、証明書とCRLを発行できます
スペック 従来製品 PKI Manager鍵長 RSA512bit
RSA1024bitRSA2048bitRSA4096bit
○
○
○
-
-
○
○
○
公開鍵アルゴリズム RSAEncryption RSASSA-PSS
○
-
○
○
署名アルゴリズム md5WithRSAEncryptionsha1WithRSAEncryptionsha256WithRSAEncryptionsha384WithRSAEncryptionsha512WithRSAEncryptionRSASSA-PSS
○
○
-
-
-
-
-
○
○
○
○
○
対応アルゴリズム
11
Copyright 2018 FUJITSU LIMITED
認証局構築での主な検討事項
1. 証明書の用途・何のサービスにPKIを利用したいのか。(VPN/Web /TLS通信/暗号メール/電子署名)・証明書に記載する発行者、所有者、有効期間、鍵用途等を検討。・暗号アルゴリズム(鍵長/署名)は、証明書利用アプリや機器の対応スケジュールを踏まえて検討。
2. 証明書の発行・配付の運用・証明書の秘密鍵は、どこで管理するのか。(PC(HDD/TPM)/ICカード/USBトークン)・誰が、誰に、どのように証明書を配付するのか。(オンライン/外部媒体(CDR/ICカード/USBトークン))・発行申請データの作成方法の検討。(CSV/LDIF)
・発行申請方法の検討。(個別発行方式/一括発行方式)
3. 証明書の失効の運用・証明書の失効管理を行うかを検討。・失効情報(CRL)をアプリや機器にどのように反映させるか。(更新時刻やサイクル、配付方法)
4. 認証局の設備・認証局を構成するサーバや端末、ネットワーク構成・認証局機器を設置するラック/部屋とその入退出管理の検討。
5. CP/CPS(証明書ポリシ/運用管理規定)の作成・CP/CPSは、 RFCで規定された形式に従い、認証局の運用方針について、ドキュメント化したもの。
記述例: 運用管理体制、発行する証明書の内容、証明書発行、失効時の手順等を規定・認証局は、CP/CPSを公開することで、証明書の利用者にその認証局の信頼性を明示する。特に、GtoG、GtoC、BtoB、BtoC等の社外取引等で証明書を利用する場合は、必須の規定となる。
12
Copyright 2018 FUJITSU LIMITED
ICカードを使用したPKI認証基盤
Webシステムの認証用証明書の配付
高セキュアな認証ソリューション
SafetyMAMによるICカード発行の自動運用
FUJITSU Software Systemwalker Operation Managerと業務アプリによる自動運用
導入事例
1313
Copyright 2018 FUJITSU LIMITED
事例紹介 ICカードを使用したPKI認証基盤
■ 職員証(ICカード)を使った職員ポータル及びSSOシステムの構築■ ICカード発行運用管理システム(SafetyMAM)との自動連携にてICカードを発行
14
Copyright 2018 FUJITSU LIMITED
事例紹介 Webシステムの認証用証明書の配付
利用者
利用者管理
証明書の即時配付
利用者登録
利用者の登録・更新・削除
認証局(SystemwalkerPKI Manager
CA/RA)
発行/失効要求
証明書取得
証明書失効
証明書管理(URP)
・発行/更新・証明書配付・失効
証明書更新
利用者の登録・削除
証明書発行
利用者削除
ポータル
利用者(PKCS#12)
URP:User Request Program(有償のカスタマイズサービス)
■ 利用者登録時に証明書発行を行い、利用者PC(Windows)の証明書管理領域に自動インポート■ 証明書更新時にも、証明書を再配付するとともに旧証明書を自動失効■ 利用者削除時には、証明書を自動失効
証明書の自動格納ですぐに使用可能(Javaアプレット)
15
Copyright 2018 FUJITSU LIMITED
事例紹介 高セキュアな認証ソリューション
③業務認証(SSL v3クライアント認証)
②Windowsスマートカードログオン認証※
①個人認証(生体認証/ICカード認証)
利用者PC
<Windows8>
Windowsドメインコントローラ
Web認証サーバ
認証情報
ユーザ用秘密鍵
ユーザ用証明書
※ Windowsログオンは以下のMicrosoft情報にて実現します。
「サードパーティのCAを用いてスマートカードログオンを有効にするガイドライン」
https://support.microsoft.com/ja-jp/help/281245/guidelines-for-enabling-smart-card-logon-with-third-party-certificatio
「サードパーティの証明書をNTAuthストアにインポートする方法」
https://support.microsoft.com/ja-jp/help/295663/how-to-import-third-party-certification-authority-ca-certificates-into
認証情報PIN認証
手のひら静脈センサ
生体情報にてICカードへの
アクセスを認証
SafetyCLIC(生体情報から一意のPINに変換)
「生体認証」+「ICカード」+「PKI」を使った最高レベルのセキュリティシステムが実現できます■ 生体情報にてICカードへのアクセスを認証できます■ ICカード内に証明書ペアを格納しておくことで、2要素認証を実現できます■ ICカードを紛失しても、生体情報から自動算出された強固なPINが設定されており不正利用は不可能です■ Windowsログオン用プロファイルを証明書に設定しておくことで、スマートカードログオンも実現できます■ SSOサーバ等のWeb認証サーバに対しても証明書認証が行えます
●▲■★
16
●▲■★
事例紹介 SafetyMAMによるICカード発行の自動運用
Copyright 2018 FUJITSU LIMITED
認証局連携サーバ< Windows Server >
認証局SystemwalkerPKI Manager
CA/RA
発行/失効申請
証明書取得
■ SafetyMAM等のICカード発行管理システムに、証明書発行/失効コマンドを登録することで、カード発行や廃棄のイベントと連動して、証明書の発行/失効を自動化できます
申請情報/実行結果
証明書(PKCS#12)
ファイル渡し
SystemwalkerPKI ManagerRAO(証明書発行/失効コマンド)
ICカード発行機
券面印刷され証明書も格納されたICカードが自動発行される
管理操作 SafetyMAM※
ICカード管理者券面情報の入力(氏名,ID,写真等)
カード発行⇒発行カード更新⇒発行/失効紛失/廃棄⇒失効
※ SafetyMAMは富士通のICカード運用管理システムです。https://www.fujitsu.com/jp/solutions/business-technology/security/secure/physical-security/iccard/safetymam/
17
事例紹介 Systemwalker Operation Managerと業務アプリによる自動運用
Copyright 2018 FUJITSU LIMITED
利用者
認証局連携サーバ< Windows Server >
会員登録/削除申請
認証局SystemwalkerPKI Manager
CA/RA
発行/失効申請
証明書取得
証明書(PKCS#12)
■ Systemwalker Operation Manager等のジョブ管理システムに、証明書発行/失効コマンドを登録しておくことで、証明書の発行/失効を自動化できます
■ 業務アプリにて、「申請情報の生成機能」と「コマンド実行結果の解析機能」を実装することで、自動運用が実現できます
申請情報(CSV),実行結果
証明書(PKCS#12)
ファイル渡し
業務アプリ(会員管理/
ワークフロー)
ID追加⇒発行ID削除⇒失効
Systemwalker OperationManager
Systemwalker PKI ManagerRAO(証明書発行/失効コマンド)ダウンロード
承認された証明書だけバッチジョブとして
一括申請する
審査/承認
18
Copyright 2018 FUJITSU LIMITED
公開鍵暗号に関する標準
公開鍵暗号に関する標準・PKCS#12とは
付録
1919
旧RSA Security社は、 PKCS(Public-Key Cryptography Standards)と呼ばれる公開鍵暗号に関する標準を策定したため、赤字の規格が現在もよく使われます
#1 :RSA暗号に関する標準 (RFC3447)
#5 :パスワードベース暗号に関する標準 (RFC2898)
#7 :暗号メッセージ構文に関する標準 (RFC2315)
#8 :秘密鍵の形式に関する標準 (RFC5208)
#10:証明書の申請構文に関する標準 (RFC2986)
#11:暗号インターフェースに関する標準
#12:個人情報交換構文に関する標準
#13:楕円曲線暗号に関する標準
#15:スマートカードに関する標準(ISO/IEC 7816-15)
※ CSR(Certificate Signing Request:署名リクエスト)ともいう。
公開鍵暗号に関する標準
証明書の申請/配付とPKCSの関係
CA証明書発行申請書(PKCS#10)※
鍵ペア生成
利用者 管理者
鍵ペア生成
PKCS#12
証明書(PKCS#7)
CA
【PKCS#10/7方式】 【PKCS#12方式】
Copyright 2018 FUJITSU LIMITED
PKCS#11
ICカード
20
Copyright 2018 FUJITSU LIMITED
PKCS#12形式のファイル
利用者証明書(公開鍵)
利用者証明書の秘密鍵
パスワードにて暗号化
ルート認証局証明書(公開鍵)
鍵ペア
中間認証局証明書(公開鍵)
…
公開鍵暗号に関する標準・PKCS#12とは
■ 利用者が使用する証明書(公開鍵)と秘密鍵が格納されているファイル
■ トラストポイント(信頼点)までの認証局証明書も格納できるファイル
■ パスワード(PIN:Personal Identification Number)にて暗号化
21
Copyright 2013 FUJITSU LIMITED22 Copyright 2013 FUJITSU LIMITED