機能 | 連携製品 |

Systemwalker PKI Manager 機能

Systemwalker PKI Managerでは、エンドユーザーからの個別の証明書発行申請による証明書発行機能、および大量の証明書を一括で発行する機能を持っています。さらに、電子政府のGPKI (Government PKI) に適応するため、より高いセキュリティを求められる環境に対応する機能を備えています。

機能概要

証明書の個別発行

エンドユーザーからの証明書発行申請により証明書を発行することができます。個別発行の場合は、WWWブラウザなどのエンドエンティティで秘密鍵、公開鍵ペアを生成し、公開鍵をPKCS＃10形式 (PKCS：Public Key Cryptography Standardsの略で米国RSA Security社が提唱している公開鍵暗号に関する規格) で申請する方法と、RA内部で秘密鍵、公開鍵ペアを生成する方法があります。
PKCS＃10で申請された場合は、発行された証明書はPKCS＃7形式でエンドユーザーに配布されます。
RAで鍵ペアを作成した場合は、秘密鍵と証明書がPKCS＃12形式のデータか、または個別に秘密鍵と証明書が格納されたICカードの形でエンドユーザーに配布されます。また、RAO (RA Operator) からエンドユーザーの証明書の発行を申請することもできます。この場合は、RAで鍵ペアが生成され、作成された秘密鍵と証明書はPKCS＃12形式か、ICカードでエンドユーザーに配布されます。
RAで鍵ペアを作成した場合、エンドユーザーが秘密鍵を紛失した場合などには回復することも可能です。この場合の鍵回復申請、および審査などの操作はKRO (Key Recovery Operator) が行います。

証明書の大量発行

従業員証のICカード化や、各従業員のWWWブラウザやメーラーなどに秘密鍵、証明書を格納し通信の暗号化や電子署名を付加するなどの場合、それぞれの証明書に格納される情報データを事前に準備しておくことにより、容易な操作で証明書を一括発行することができます。一括発行の場合は、秘密鍵および証明書を格納したICカードを作成する方法と、PKCS＃12形式のデータを一括作成する方法があります。
秘密鍵および証明書を格納したICカードを作成する場合は、Systemwalker PKI Managerの一括発行機能によりICカード作成用のデータを作成し、そのデータを元にカード発行会社でICカードに秘密鍵、証明書を格納し、各従業員に配布します。
配布されたICカードはシステムのログインや入退室管理に使用することができます。
PKCS＃12形式のデータを一括作成する場合は、Systemwalker PKI Managerの一括発行機能により作成したPKCS＃12を各従業員に配布し、それをWWWブラウザやメーラーなどのエンドエンティティに取り込むことにより、通信の暗号化や電子署名の付加が行えます。

高セキュリティ運用

GPKIなど高いセキュリティが求められる場合には、オプション製品であるSystemwalker PKI Manager Key Protection Optionを導入することにより、CAは自身の秘密鍵を耐タンパーな暗号装置 (HSM:Hardware Security Module) 内に格納し、高セキュリティでの運用を行うことができます。CAの鍵の更新などの操作は、認証局全体に影響を与えるため、複数の管理者の合意の下に操作を行う (合議制と呼びます) ことが可能です。
認証局で行われた操作を監査できるようにするために、監査ログを採取することができます。これにより認証局が不正に操作されていないことを、管理者とは別の第三者 (監査者) が監査することが可能となります。
RA操作者も合議制運用を行うことが可能です。さらにRA操作者をICカードによって認証することで、より高いセキュリティが求められる運用にも対応可能です。
他の認証局と相互に証明書を交し合う相互認証機能も持っているため、GPKIブリッジ認証局と相互認証を行うことにより、電子政府における政府側システムおよび民間側システムの認証局を構築することができます。

連携製品詳細