- PR -

電子証明書のエクスポートの方法を教えてください。

1
投稿者投稿内容
ras
会議室デビュー日: 2007/12/26
投稿数: 3
投稿日時: 2007-12-26 15:38
お願いします。

windowsのワークグループ環境から、ドメイン環境に移行を考えています。

その際ユーザーが銀行決済の電子証明書を利用していますが、秘密鍵のエクスポート

不可になっていてドメインに移行すると電子証明書が使えなくなってしまいます。

端末が60台くらいありその内30台くらいに電子証明書が入っています。

WEBブラウザは全てIE6.0を使用しています。

電子証明書を再発行せずになんとかドメイン環境に移行したいのですが、

何か良いお知恵がありましたらお教え下さい。




BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-12-26 16:19
こんにちは。

金融機関の電子証明書の場合、認証した際のクライアントのロケーション情報が
残るはずなので、証明書自体の移行は無理です。
# 移行しても証明書は無効になったはずです。

ドメイン環境が構築し終わったら当該金融機関に事情を説明して再発行を願い出る
以外の対応方法はないと思いますが。

編集:以降のコメントを追加

とりあえず、金融機関側に状況説明して対応方法を確認するべきだと思います。

[ メッセージ編集済み 編集者: BackDoor 編集日時 2007-12-26 16:44 ]
ras
会議室デビュー日: 2007/12/26
投稿数: 3
投稿日時: 2007-12-26 20:24
返信が遅くなって申し訳ありません

やはり、難しいみたいですね、証明書を再発行する

方向で考えてみます。

ありがとうございました。
unibon
ぬし
会議室デビュー日: 2002/08/22
投稿数: 1532
お住まい・勤務地: 美人谷        良回答(20pt)
投稿日時: 2007-12-26 21:07
良く知らないのですが、的外れかもしれませんが。

引用:

rasさんの書き込み (2007-12-26 15:38) より:
windowsのワークグループ環境から、ドメイン環境に移行を考えています。

これはサーバー(Web サーバー)側の話なのでしょうか?クライアント(ブラウザー)側の話なのでしょうか?

引用:

rasさんの書き込み (2007-12-26 15:38) より:
その際ユーザーが銀行決済の電子証明書を利用していますが、秘密鍵のエクスポート

不可になっていてドメインに移行すると電子証明書が使えなくなってしまいます。

「銀行決済の電子証明書」というのはクライアント証明書でしょうか?

もしクライアント側のドメインの話でしたら、クライアント側のドメインは関係ないと思うのですが。
もしサーバー側のドメインの話でしたら、どうしようもないとは思います。この場合は、なぜわざわざ質問されるのかが逆に疑問になります。
ras
会議室デビュー日: 2007/12/26
投稿数: 3
投稿日時: 2007-12-26 21:34
説明が下手で申し訳ありません。

クライアントのIEにインポートされている電子証明書の事です。

調べると電子認証でクライアントのユーザー名を見ているので、

「ユーザー名」だけだった物が「ドメイン名¥ユーザー名」に変更になるので

電子認証ができなくなるみたいです。

「インポート時に秘密鍵をエクスポートしない」様にインポートしていました。




blunder
ベテラン
会議室デビュー日: 2003/09/11
投稿数: 65
投稿日時: 2007-12-27 12:37
引用:

クライアントのIEにインポートされている電子証明書の事です。
調べると電子認証でクライアントのユーザー名を見ているので、
「ユーザー名」だけだった物が「ドメイン名¥ユーザー名」に変更になるので
電子認証ができなくなるみたいです。


ここは微妙な点だと思います。普通に考えると、Windowsアカウント名の変更は
その「電子認証」には影響しないはずです。証明書内のCNなどのIDを見て認証
する、と考えるのが筋でしょう。

ただ「電子認証」を実行するときにWindows上で「秘密鍵」にアクセスする必要
がありますから、そのさいに異なるWindowsアカウント名でログオンしていると、
「秘密鍵」にアクセス不可になるとは思います。その結果「電子認証」が不可
になるというのは筋が通ります。

そう考えると、「秘密鍵」の所有者を新アカウントに移行できるのであれば、証明
書の再発行は不要になる「はず」です。もちろん「電子認証」が何をどうチェック
するかは、アプリケーションに依存する部分があるので、この辺はあくまで「推測」
の域をこえられませんが。


引用:

「インポート時に秘密鍵をエクスポートしない」様にインポートしていました。


「インポート」が証明書だけをインポートしたのなら、「秘密鍵」を取り出せないので、
証明書失効・再発行はやむをえないと思います。

「秘密鍵」も含めてインポートしたのなら、その媒体から再度インポートし直せばいいよう
に思えます。その媒体には「秘密鍵」が入っているのでしょうから。ただし「ドメイン名¥
ユーザー名」でインポートすれば、ということです。これは前述の理由によります。

もちろん単純に失効・再発行の手順を踏んだほうが簡単かもしれませんし、「電子認証」
の詳細はこちらではわかりませんので、銀行の言う通りにするのが無難かもしれません。

あと余談なのですが、ググってみると、多くの銀行が秘密鍵をエクスポート(バックアップ)
不可にするようになっていて、PCの入れ替え時などには失効手続きをとるようにしている
みたいです。実際は「秘密鍵」ではなく、「証明書」をエクスポート不可と書いていて、
その辺からして何だか怪しげな匂いがしたりはするのですが。

で、その理由が「セキュリティ向上」のためだそうで、たしかにそれはそうかもしれません
が、エクスポート不可にしなければならない真の理由は、私が思うには、SSLクライアント
証明をするさいにいちいちパスワードを入れさせたくない、ということじゃないかと推測
します。

そうなると、エクスポート可の状態は非常に危ないわけで、その回避策としてエクスポート
不可にしているだけのように思えてなりません。「秘密鍵」をパスワード保護しておけば
エクスポート(バックアップ)可でもよいはずですし、そもそも高度なセキュリティを
追求するなら、ハードウェアトークンの類を使うしか手がないように思います。何かが変な
気がするのは私だけ?
(余談でした)。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-12-27 16:51
rasさん、ゴミレス失礼。

引用:
blunderさんの書き込み (2007-12-27 12:37) より:

あと余談なのですが、ググってみると、多くの銀行が秘密鍵をエクスポート(バックアップ)
不可にするようになっていて、PCの入れ替え時などには失効手続きをとるようにしている
みたいです。実際は「秘密鍵」ではなく、「証明書」をエクスポート不可と書いていて、
その辺からして何だか怪しげな匂いがしたりはするのですが。

で、その理由が「セキュリティ向上」のためだそうで、たしかにそれはそうかもしれません
が、エクスポート不可にしなければならない真の理由は、私が思うには、SSLクライアント
証明をするさいにいちいちパスワードを入れさせたくない、ということじゃないかと推測
します。

そうなると、エクスポート可の状態は非常に危ないわけで、その回避策としてエクスポート
不可にしているだけのように思えてなりません。「秘密鍵」をパスワード保護しておけば
エクスポート(バックアップ)可でもよいはずですし、そもそも高度なセキュリティを
追求するなら、ハードウェアトークンの類を使うしか手がないように思います。何かが変な
気がするのは私だけ?

個人的にこういう発展コメントは大好きです。
ここは「会議室」ということで質問とそれに対する回答だけでなくこうした
発展が魅力だと感じています。
本題と無関係な内容はともかくblunderさんの余談は個人的に大歓迎。
# 但し下手な方向に発展させると「成りすまし」の方法論に向かってしまうので
# ここでは止めておきますwww
# 金融機関側も万全の対応ができていないことはこの辺りからも判ります・・・。
1

スキルアップ/キャリアアップ(JOB@IT)