GPKI は BCA を中心とし、複数のコンポーネントから構成されます(図 8-3)。
(政府認証基盤相互運用性仕様書 [80] より構成図を転載)
図 8-3 GPKI の構成
GPKI を構成するコンポーネントは、下記の役割・機能があります(表 8-2)。
表 8-2 GPKI の各名称と解説
|
名称 |
解説 |
|
BCA (ブリッジ認証局) |
府省CAや民間CAと相互認証証明書を交換し、相互接続を可能にするGPKIの中核に位置します。 |
|
府省・民間 CA (PCA) |
CA (PCA)は各組織や業務上必要となる証明書の発行と、それら証明書の失効、更新を行います。 |
|
BCA リポジトリ |
BCA が署名した自己署名証明書、相互認証署名書と CRL/ARLを格納します。 |
|
府省・民間リポジトリ |
府省・民間 CA (PCA)が署名した証明書や CRL/ARL 等を格納します。 |
|
統合リポジトリ |
BCA リポジトリや府省リポジトリが持つリポジトリ情報のうち、証明書の有効性検証に必要な各種証明書、CRL、ARL を選択的に格納します。 |
|
OCSP レスポンダ |
要求者が指定した証明書の妥当性を検証し、その要求者に証明書の検証結果を返します。 |
|
証明書検証サーバ |
OCSP と同様、要求者が指定した証明書の有効性を検証し、その要求者に証明書の検証結果を返します。 |
|
エンドエンティティ (EE) |
CA から証明書の発行を受ける対象です。 |
(政府認証基盤相互運用性仕様書より抜粋)
(1) BCA (ブリッジ認証局)
- 自己署名証明書を発行し、BCA リポジトリに格納します。
- 相互認証証明書の発行、受け入れ、更新、検証、BCA リポジトリへの格納を行います。
- BCA が発行した証明書の失効要求の受付・発行と BCA リポジトリへの格納を行います。
- BCA の鍵更新を行います。
GPKI は BCA を設置することで各府省の認証局同士や民間認証局と個別に相互認証し合うような煩雑さを解消します。また、BCA を通じて GPKI としてのセキュリティポリシーの統合と管理も行います。
(2) 府省・民間CA(PCA)
- 自己署名証明書を発行し、BCA リポジトリに格納します。
- 相互認証証明書発行要求の作成、受付、検証、発行、更新を行います。
- 他CAへの証明書失効要求を作成します。
- EE(コンピュータシステムを含む)からの証明書発行要求の受付、証明書の発行、失効、更新を行います。
- 相互認証証明書ペア、発行した証明書、CRL/ARL のリポジトリへの格納(統合リポジトリへの格納は府省 CA のみ)を行います。
- 自 CA が発行した証明書に関する失効要求の受付、発行、リポジトリへの格納を行います。
- 自 CA の鍵更新(民間 CA はオプション)を行います。
(3) BCA リポジトリ
- BCA の自己署名証明書、相互認証証明書ペア、CRL/ARL の格納を行います。
- 証明書、CRL/ARL の検索を行います
- 統合リポジトリへ複製を作成します。
BCA リポジトリは直接他のエンティティから参照されることはありません。統合リポジトリへ情報を転送します。
(4) 府省・民間リポジトリ
- 管轄CAの自己署名証明書、相互認証証明書ペア(CA が他の CA と相互認証する場合)、EE、OCSP レスポンダ、証明書検証サーバ(府省リポジトリのみ)の各証明書とCRL/ARLの格納を行います。
- 証明書、CRL/ARLの検索を行います。
- 他のリポジトリとの連携(リフェラル [81] )します。
- 統合リポジトリへの複製(府省リポジトリのみ)を作成します。
他のリポジトリとの連携に関しては LDAPv3 [82] のリフェラルを使うことを前提としています。
(5) 統合リポジトリ
- 府省 CA および BCA の自己署名証明書、相互認証証明書ペア、官職証明書と CRL/ARL を格納します。
- 証明書、CRL/ARL の検索を行います。
- 民間 CA のリポジトリとの連携(リフェラル)します。
- 府省リポジトリ及び BCA リポジトリからの複製を作成します。
他のリポジトリとの連携に関しては LDAPv3 リフェラルを使うことを前提としています。
(6) OCSPレスポンダ
- CA への OCSP レスポンダ自身の証明書の発行要求、発行された証明書の受け入れもしくは自己署名証明書の生成を行います。
- 証明書所有者から証明書検証要求受け付けます。
- CA が発行した証明書失効情報を検証し、証明書所有者への証明書検証結果に対し OCSP レスポ ンダ自身の署名鍵証明書の添付し返答します。
(7) 証明書検証サーバー
- 証明書検証サーバ自身の証明書の発行要求、発行された証明書の受け入れを行います。
- 署名検証者から証明書検証要求受け付け証明書検証結果を送信します。
- 各 CA が発行した CRL/ARLを検証します。
- 各 CA が提供する OCSP レスポンダへの検証要求送信とその応答を受信します。
- 認証パスを構築し、検証(指定されたリポジトリによるチェック等)を行います。
OCSPレスポンダと異なる点は、証明書認証パス構築と各証明書の有効性に関する検証もできることです。
(8) エンドエンティティ (EE)
EE 共通の機能
- EE 自身の証明書の発行、更新要求を行い、発行された証明書を受け入れます。
署名者のエンドエンティティの機能
- データに署名します。
- リポジトリから証明書、CRL/ARL の取得を行います。
- 署名検証のため自分が所属する認証ドメインのPCAまでの認証パスの構築(オプション)を行います。
- LDAPv3 Referral による他リポジトリとの連携を行います。
- OCSPレスポンダへ問い合わせを行います。
- 証明書検証サーバーへの問い合わせ機能(府省EEのみ)を備えます。
- 証明書検証サーバーと同等の証明書検証機能を備えます。
官側EEは LDAPv3 をサポートしなければなりません。民間側 EE は LDAPv3 をサポートすることを強く推奨されますが、やむを得ない場合は統合リポジトリへの LDAPv2 によるアクセスも可能としています。
前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.