 |
PKIアウトソーシングサービスとして多彩なソリューションを提供
「ベリサインのマネージドPKIサービス:VeriSign OnSite」
第2回 ユーザーサイドのソリューション (1)
|
VeriSign OnSiteのセットアップ、および証明書を取得するところは「第1回
PKI運用の新しいかたち」の記事で紹介した。今回はクライアントに証明書を取得して、証明書をどのように使用するかという、ユーザーサイドの利用方法を紹介したい。証明書は、各種アプリケーションと組み合わせて電子署名や認証、暗号化通信などに利用される。
| |
電子メール、Webブラウザでの利用
|
 |
 |
最初に、どのPCでも使用している電子メールの暗号化と電子署名の使い方、そしてWebサイトなどで日常的に使うユーザー認証の強化について紹介する。どちらもPKIを使用するうえでは基本的な使用方法である。その次に、指紋認証デバイス、ICカード、USBトークンデバイスとデジタル認証を合わせることで、より高度な本人認証をどのように実現できるかを紹介する。
●電子メールでの活用
まず始めに、S/MIME(Secure/Multipurpose
Internet Mail Extensions)を使った電子メールの暗号化と電子署名を行ってみよう。S/MIMEは、電子メールの内容を暗号化したり、電子署名を施して「改ざんが行われていないか?」や「なりすましメールではないか?」といったことを証明するために使用する電子メール暗号化のための国際規格である。
ここでは、VeriSign OnSiteを使用して取得した証明書をMicrosoft Outlook Expressで使用する方法を簡単に紹介する。では、「第1回
PKI運用の新しいかたち」同様、管理者を丸の内システム株式会社 情報システム部 鈴木一郎として設定していこう。
前回、VeriSign OnSiteよりデジタル証明書を発行してもらっているので、Outlook Express内の[ツール]-[オプション]ダイアログボックスより[セキュリティ]タブの[デジタルID]ボタンを押すことで、以下のように証明書を確認することができる。
 |
| 図1 Outlook Expressに格納された証明書 |
そして実際にメールの暗号化や署名を行う場合、Outlook Express内の[ツール]-[アカウント]ダイアログボックスの[メール]タブよりメールアカウントを選択し、[プロパティ]を押す。
 |
| 図2 Outlook Expressで[ツール]-[アカウント]ダイアログボックスの[メール]タグよりメールアカウントを選択 |
続いて[セキュリティ]タブを選択し、「署名の証明書」および「暗号化の設定」それぞれの[選択]ボタンを押す。[標準アカウント デジタルIDの選択]ダイアログボックス*1が表示されるので、証明書を選択し、その証明書を適用する。これで、暗号化通信および電子署名を行う準備ができた。
| *1 このダイアログボックスの名称は、バージョンによって変わる。ここでは、Outlook
Express 5での表記の標準アカウントとしている。 |
 |
| 図3 メールアカウント選択後、[セキュリティ]タブを選択 |
 |
| 図4 [標準アカウント デジタルIDの選択]ダイアログボックスより証明書を選択し、その証明書を適用する |
実際にメールを送信する場合、Outlook Expressの[メッセージの作成]時にウィンドウ右上にある[署名]および[暗号化]ボタンを押すことによって、このメールは保護される。
なお、メールの暗号化を行うには暗号化メールの受信者の公開鍵が必要となる。ユーザーの公開鍵を入手する一番簡単な方法は、署名メールを受け取ることであるので、暗号化メールをやり取りする前に署名メールの交換をしておけばよい。
 |
| 図5 Outlook Expressでメッセージを作成し暗号化、電子署名を選択したところ(画面右端、宛先、CCの欄外にリボンと鍵のマークが付いている) |
Outlook Expressでは、S/MIME形式のメールを受信すると以下のようなメッセージが表示される。
 |
| 図6 Outlook Expressで暗号化、電子署名したメールを受け取ったところ |
この電子メールは、[署名]により送信者の公開鍵を使用した改ざん防止と、本人が作成したという証明が行われている。そして受信者の公開鍵で[暗号化]されているため、受信者の秘密鍵でしか解読できない。これにより、その内容の機密性が保たれる。
[署名]と[暗号化]の両方を設定することにより、「改ざん」「機密」の保持が得られることになる。このようにごく簡単な操作で暗号化、および電子署名付きメールを使用することができる。
●Webブラウザでの活用
WebサーバとWebブラウザの間の通信を安全に行いたい場合にも、暗号が使われる。SSLと呼ばれる暗号化通信は、Webブラウザ(クライアントPC)側にサーバ証明書をダウンロードし、クライアントから見て、サーバが間違いなくそのサーバであることを確認してから、暗号化通信を行うという形でよく使われている。
こうしたサーバ認証のほかに、クライアント側にデジタル証明書を取得してサーバ側からクライアントの確認・信頼の上でアクセスを許す――といった、パスワードを使ったものよりはるかに強力なクライアント認証にも利用できる。
ここではクライアントにVeriSign OnSiteで取得した証明書を使用し、クライアント認証を行ってみる。
まず、サーバ側でクライアント認証を行うための設定をする。設定の方法は、IISのインターネットサービスマネージャの[セキュリティで保護された通信]ダイアログボックスで[このリソースにアクセスするときに、セキュリティで保護されたチャネルを必要とする]にチェックを入れ、さらに[クライアント証明書の認証]の[クライアント証明書を要求]にチェックを入れる必要がある。
 |
| 図7 IISで証明書によるクライアント認証を行うための設定 |
このような設定を行い、証明書がインストールされたクライアントPCで、クライアント認証が必要なWebサイトに接続した場合、以下のようにPCに格納されている証明書の一覧が表示される。
 |
| 図8 証明書の一覧 |
この画面に表示される証明書は、クライアント側にインストールされている証明書のうち、サーバ側で「信頼する認証機関」として登録している認証局から発行されたものだけである。もし該当する証明書がクライアント側に1つもインストールされていない場合、証明書選択画面は表示されるが該当する証明書が1つもないという画面が表示されることになる。
すなわち、サーバ側が信頼していない認証局から発行された証明書を持っていても、そのサーバにはアクセスできないということだ。クライアント認証の一番基本的な部分は、このように「クライアントがサーバの信頼する認証局から発行した証明書を持っているか否か」のチェックを行うものである。
ここで、アクセスに必要な証明書を選択する。アクセスが正常に行われた場合、通常のSSL通信と同じようにWebブラウザに暗号化通信を行っていることの証明となる「鍵のマーク」が出る。
 |
| 図9 画面右下に鍵のマークが出る |
なお、この鍵マークをダブルクリックすることによって、サーバ側の証明書の内容を確認することが可能だ。
|
VeriSign
OnSite入門(速習コース)プレゼントは
好評のうちに、すべて受け付けを終了いたしました!
|
多数の資料請求をいただき、ありがとうございました。
(プレゼント当選者の方へは、ベリサインより直接ご連絡さしあげます)
資料請求をご希望の方は<こちら>へどうぞ
|
|
|
![@IT[FYI]](/ad/adindex/image/fyi_logo_s.gif){kind=logo}
