PKIアウトソーシングサービスとして多彩なソリューションを提供 　「ベリサインマネージドPKIサービス」 　第1回 PKI運用の新しいかたち （2）

	VeriSign OnSiteの申請手順

　ベリサインとのサービス契約書を交した後、CAの申請を行う。ここでは、管理者用証明書の取得をするための申請の概要を追っていく。

1. 申請書類をそろえる
   
   最初はネットワーク上の申請ではなく、リアル世界（紙）での申請と審査が行われる。サービスの利用申し込みを行う段階では、紙の申請書および関連申請書類を送る。非上場企業である場合、申請書類と一緒に登記簿謄本、印鑑証明書を簡易書留にてベリサインあてに送付する。申請書に対する捺印は、商業登記簿に登録されている代表印を使用する。上場企業である場合には申請書のみでよいが、捺印する担当者が課長職相当以上であることが必要なので注意が必要だ。

   申請書にはCAの名前、責任者、管理者などの情報が記載されパブリックCAの下位CAとしてのサービスを行うのかプライベートCAとしてのサービスを行うかなども指定する。この申請書に記載される内容が実際にCAに記載されるので、記入ミスがないか注意を要する。

   CAの申請でこのような書類の準備および申請条件を必要とする理由は「なりすまし認証局（CA）」が構築されることを防ぐためだ。

2. 申請画面に申請内容を記入
   
   申請画面に、
   
   • 申請書に記入した会社／団体の情報
   • 管理者情報
   • 証明書枚数の選択
   • プライベートCA構築に対するコンサルティング要望　
     
   などを記入する。
   
   この例では、
   
   • 会社名：丸の内システム株式会社（Marunouchi）
   • 所属部署：情報システム部（marusys01）
   • 氏名：鈴木一郎（SUZUKI ICHIRO）
   • メールアドレス：ichiro@atmarkit.co.jp
     
   のように入力した。
   
   

   図2 マネージドPKIサービスの申請手順画面（拡大）

   
   
3. CAの構築

   CAの信頼性はそのCAの秘密鍵の管理体制に依存する。ベリサインでは厳密な手順および管理の下、CAの鍵の生成（キーセレモニー）を行っている。CAの鍵の生成が行われ、ベリサインのIDCの認証システム上にロードされると、CAが使用できる状態になる。

   ベリサインで鍵の生成、バックアップ、システムへの登録などすべて行ってくれるので、CA管理者はキーセレモニーが終了するのを待っているだけでよい。

4. 管理者用証明書の取得
   
   申請を行い、CAの構築が終了すると以下のような管理者用証明書が割り当てられた。
   
   

   図3　管理者用証明書の取得結果（拡大）

   
   RA管理者のコントロールセンターにアクセスするためには、管理者用のデジタル証明書によりアクセス制御が行われる。従って管理者用デジタル証明書は、管理者が責任をもって管理しなければならない。このとき管理者用デジタル証明書はHDD内で管理する以外に、スマートカードによる管理も可能である。

	認証局（CA）の設定

　申請が終ったら、管理者は管理機能が使えるようになる。ここでユーザー（加入者）に関する事柄を設定していく。

　ではここで、実際にマネージドPKIサービスを利用するときに、Webベースのコントロールセンターで管理者が行える管理業務を紹介しよう。

・コントロールセンターで行える管理者の業務内容

• 申請内容の審査、申請内容の承認／拒否
• 証明書の失効
• 証明書の記述内容のカスタマイズ
• 申請画面のカスタマイズ
• ログの管理
• 管理者の権限の確認と変更
• 証明書ポリシー設定
  
  

図4 CAの設定コントロールセンター画面（拡大）

　管理者のみ、ベリサインより提供された管理者用デジタル証明書を使用してCA専用の特別なコントロールセンターへアクセスできる。コントロールセンターは管理者用デジタル証明書を読み取って、その管理者の同一性を認証するため安全性が確保される。

●ポリシーウィザード

　ポリシーウィザードにより証明書内容、証明書の申請およびライフサイクルに関するページ、そのほかのマネージドPKIサービスのオプション機能をカスタマイズする手順が示される。

1. 加入者サポート情報の指定
   
   加入者のための問い合わせ先メールアドレスを入力する。 ここでは、ichiro@atmarkit.co.jpと入力する。
   
   

   図5 利用者サポート情報の指定画面（拡大）

   
   
2. CSPを指定
   
   加入者がどのような形態で証明書を利用するかにより、選択できる暗号化モジュールサービスプロバイダ（CSP）を指定する。証明書、鍵ペアを格納する媒体としてトークンデバイスを利用する場合は、格納するデバイスに従ったCSPをあらかじめ選択することにより利用者の選択ミスを防ぐことができる。
   
   

   図6 CSPの指定画面（拡大）

   
   
3. 登録申請ページのカスタマイズ
   
   加入者が証明書を申請をする登録申請ページのカスタマイズを行う。「役職名」「従業員番号」「氏名」「所在地」などの入力欄をチェックボックスなどで指定していく。
   
   

   図7 登録申請ページのカスタマイズ画面その1（拡大）

   
   また、管理者が加入者の本人確認をするための情報を追加することもできる。
   
   

   図8 登録申請ページのカスタマイズ画面その2（拡大）

   
   

●認証PIN配信設定

　申請者の申請を承認した際の通知方法（メールのあて先）を指定する。

図9 認証用PIN配信の設定画面（拡大）

●証明書更新の設定

　デジタル証明書の有効期限は通常1年間に設定されている。これは、組織構成の変更およびメンバーの入れ替えなどを考慮すると、長すぎる有効期間はセキュリティの低下を招くためである。当然のことながら、有効期間終了後は証明書は使用することができなくなる。

　管理者にとって証明書の更新は非常に手間がかかる作業になる可能性がある。本サービスではコントロールセンターの［Renewal Wizard］ を使用することにより、更新手続きの自動化設定ができ、申請者更新要求の処理方法および加入者に対して自動送信される更新通知の設定ができる。

1. 証明書更新要求の認証方式の指定
   
   管理者は、証明書更新要求の認証方式を自動発行と手動発行の方法を選択することができる。
   
   

   自動発行	証明書利用者が更新要求を提出するとコントロールセンター側で認証チェックを行い、更新データを検証し、申請者が証明書の所有者であることを証明できるかを判断する。申請者の更新データを確証すると、新しい証明書を申請者のWebブラウザに直接送られる。この場合、管理者はこの認証プロセスに関与しないため更新の手間がかからない。
   手動発行	この方法は、通常の証明書の登録申請プロセスと同じで証明書利用者が更新要求を提出すると、管理者がコントロールセンターの証明書発行リクエストの参照画面を通じてこれを処理する。

   
   

   図10 証明書更新要求の認証方式の指定画面（拡大）

   
   
2. 証明書の有効期間の設定
   
   更新前の証明書と同じ期間を設定するか、デフォルトの1年間を指定する。

   図11 証明書の有効期間の設定画面（拡大）

   
   
3. 更新通知の配信方法の指定
   
   証明書の期限の近づいたことを知らせる“更新通知”を、証明書の利用者にメール通知するか、管理者に対してメール通知をするかを指定する。何もしないという選択も可能。
   
   

   図12 更新通知の配信方法の指定画面（拡大）

   
   
4. 更新通知時期の指定
   
   更新案内のメールを通知する時期を、期間満了日の前最長30日から１週間刻みで設定することができる。
   
   

   図13 更新通知時期の指定画面（拡大）

　以上のように通常、更新に必要な機能があらかじめ準備されているので、管理者の負担にならずに証明書ライフサイクルの管理を行うことができる。

■証明書加入者と発行者（RA/IA)の手続きの流れ 　さてここで、証明書発行の作業を行う前に、証明書加入者と発行者（RA/IA)の間で行われる作業の基本的な流れを押さえておこう。 証明書の申請 加入者がWeb上より証明書の申請を行う。 証明書の発行許可 申請内容を管理者が確認し、証明書の発行を許可する。 取得通知 取得に必要な情報は加入者に電子メールで通知される。 証明書の取得 発行許可の得た加入者は、Web 上で取得の処理を行う。 証明書の発行 認証局（CA）より、加入者に対して証明書が発行される。 図14 証明書利用者と発行者（RA/IA)の基本的な流れ

	証明書利用者が証明書を取得する場合の手順

　では、管理者側の準備ができたら、次に加入者側に証明書を取得してもらう。

1. 加入者に対してDigital ID CenterのURLを通知
   
   まず、個人用証明書（Digital ID）を取得する方法を指示する。加入者向けの証明書取得マニュアルもベリサインよりひな形が提供されるので、管理者は自らの利用実態に合わせて簡単な編集を行い、加入者に対して配布することができる。
   
   

   図15 Digital ID Center画面（拡大）

   　
   
2. 証明書の申請
   
   加入者が、加入者証明書を取得するためには図16の入力画面に必要事項を記入するだけでよい。記入誤りがあったり記入漏れがあった場合には入力チェックされるため、加入者側の手続きミスなどに対する管理者の手間も軽減されている。
   
   ここでは、加入者を山田浩司（Yamada Kouji）とし、電子メールアドレスをKouji@atmarkit.co.jpとして記入してみた。
   
   

   図16 申請フォーム画面その1（拡大）

   
   必要情報の入力が終わり、Submitボタンを押すと、公開鍵と秘密鍵が生成され、公開鍵がCAに送信される。CAが申請をきちんと受理すると加入者に受付確認メールが自動的に送信される。
   
   

   図17 電子メール確認画面（拡大）

   
   受付確認メールとして、以下のようなものが送られてくる。
   
   

   Yamada Kouji 様 この度は、Digital IDをお申し込み頂き誠にありがとうございます。 認証作業終了後、確認のご連絡を差し上げます。 ご不明点な等がございましたら、OnSite管理者までお問い合わせください。

   
   このタイミングで管理者がリクエスト状況を確認して承認すると加入者が申請時に送信した公開鍵に対してCAが署名し、電子証明書が作成される。そして準備が完了したら、加入者に対して証明書を取得するために必要なPIN番号を通知する。このPIN番号通知も自動化されており、管理者は定期的にリクエスト状況を確認して承認作業を行えばよい。
   
   

   Yamada Kouji 様 お客様のDigital IDの認証が完了しました。 以下の手順に従い、証明書をご取得下さい。 この際、下記のPIN番号の入力が必要となります。 1．Digital ID取得サイトにアクセスしてください。 　　お客様の管理者が専用のサイトを設定している場合は、 　　そちらからご取得ください。 　　設定されていない場合には、以下のページにアクセスしてください。 https://xxxxx.verisign.co.jp/services/Marunouchimarusys01/digitalidCenter.htm 2．以下のお客様のPIN番号をコピーしてください。 PIN番号： 845513802 3．手順に従い、Digital IDのインストールを完了してください。 ご不明な点等ございましたら、OnSite管理者までお問い合わせください。

   
   
3. 証明書の取得
   
   メールを受信した加入者は、指定されたURLにアクセスし、PIN番号を入力する。
   
   

   図18 PIN番号を入力（拡大）

   
   そして、Submitボタンを押すとCAの署名を施されたデジタル証明書がブラウザに格納される。この一連の動作は加入者には意識されることがなく実行される。証明書の取得は申請を行ったPCの同一アカウントで申請を行ったブラウザ（トークンを使用している場合は同じトークン）を使用し、PINが一致しないと成功しない。つまり、秘密鍵を所有している申請者のみが証明書をピックアップできる。
   
   
4. 証明書の格納
   
   取得した証明書は以下のようなものである。この内容は、加入者は特に意識しなくてもよい。
   
   

   図19　取得した証明書を確認（拡大）

	加入者の承認

　管理者は証明書利用者からの申請を認証する。

　管理者には、証明書を申請している各個人の同一性（本人であるか否か）を検証する責任がある。申請されている情報が正確であることを証明するプロセスを「認証」と呼び、これはRAである管理者の役割でもあり責任である。

図20 エンドユーザー証明書の発行ステータス画面（拡大）

　詳細内容を表示し、申請内容を確認する。

図21 登録申請情報の確認画面その1（拡大）

　有効期限を設定し、審査で問題がなければ承認ボタンを押す。

図22 登録申請情報の確認画面その2（拡大）

　承認結果は以下のようなものである。これですべての作業が終了した。

図23 登録申請情報の承認画面（拡大）

	ベリサイン マネージドPKIサービスのまとめ

　最後に、ベリサインのマネージドPKIサービスを検討される皆さんに特徴とアドバンテージを紹介したい。

●VeriSign OnSiteの特徴

　ベリサインのマネージドPKIサービスであるVeriSign OnSiteは、管理者用証明書、管理者キット、CAの立ち上げ（Key Ceremony）、証明書ライフサイクル（申請・取得・失効・更新）ページ、自動化した承認処理などCAで必要となる機能をすべてワンパッケージで提供するものである。

　マネージドPKIサービスを申し込みから利用者の証明書取得までを実際に見てきたが、複雑な操作や難解な用語が出てくる場面は非常に少ないことがお分かりいただけただろう。冒頭でも、サービス開始までの準備期間が短いことを述べたが、本サービスの大きなアドバンテージは多くのユーザー実績により、本当に必要な管理機能やマニュアルが用意されている点である。

• 管理者向けのマニュアルの完備
• 利用者向けマニュアル
• 利用者が操作するWeb画面のガイダンス機能の充実

　PKI製品などを比較する際にソフトウェアの機能やCAの階層構造、証明書の形式など実際にはあまり使用しない高度な利用方法にのみ注目している場合が多いが、このような“導入の手軽さ”に注目したほうが導入の成功につながることであろう。

◇

　次回は、今回構築した認証局（CA）から発行された電子証明書を使用したソリューションとして、一般に一番知られている電子メールソフトと組み合わせた暗号化メール、電子署名といったことから、ベリサインマネージドPKIサービス対応のハードウェア／ソフトウェア・ソリューションである「ベリサイン セキュアビジネス シリーズ」の実際の使用感を紹介していこう。

ロードマップ

■第1回 PKI運用の新しいかたち 　 （1） - PKIの使用用途 　 - マネージドPKIサービス「VeriSign OnSite」とは （2） - VeriSign OnSiteの申請手順 　 - 認証局の設定 　 　 - 証明書利用者が証明書を取得する場合の手順 　 　 - 加入者の承認 　 - ベリサイン マネージドPKIサービスのまとめ ■第2回 ユーザーサイドのソリューション 　 （1） - 電子メール、Webブラウザでの利用 　 （2） - ソニー 指紋認証 ソリューション（PUPPY）との連携 　 （3） - システムニーズ 本人認証 ソリューション（WinSafe）との連携 　 - 広がりが期待できる本人認証ソリューション ■第3回 電子署名ソリューション 　 （1） - シヤチハタ 電子決裁 ソリューション（パソコン決裁）との連携 　 　 - VeriSign証明書取得からパソコン決裁で使用するまで 　 （2） - 日本電子公証機構 証跡管理 ソリューション（dPROVE）との連携 　 　 - dPROVEのサービスとは 　 　 - dPROVEサービスの申し込みおよび、証明書取得の手順 　 （3） - dPROVEのサービスの使用方法 - 連載の最後に