最終更新日:2005年 6月 9日
BCA と相互認証することにより、BCA に繋がる CA で発行された証明書は、同様にBCAに繋がる別の CA で発行された証明書同士で、相互運用が可能になります。
相互認証する際には横断証明書を用いて相互認証が行われますが、この横断証明書は BCA と府省 CA および民間 CA で互いに発行され、横断証明書ペアと呼ばれます。
また、BCA と相互認証を行うためには、特定認証業務相当のセキュリティ基準を満たすと共に、下記に示す技術要件を満たさなくてはなりません(表 8-3)。
表 8-3 横断証明書の技術要件
|
項目 |
解説 |
|
府省・民間CAから発行要求受け取り |
フォーマット: PKCS#10 フォーマット |
|
オンライン/オフライン:オフライン |
|
|
プロファイル:横断証明書発行要求プロファイル |
|
|
発行要求側要件 |
発行要求内に含む公開鍵は自身の CA の公開鍵でなければならない |
|
発行要求のフィンガープリント(MD5 もしくは SHA-1 によるハッシュ値)が生成できること |
|
|
発行要求内に日本語表記は入れないこと |
|
|
発行要求受け取り側 要件 |
発行要求自身の署名の検証を行い、内容が改ざんされていないことと、含まれている公開鍵と一致する秘密鍵で署名してあることを確認する |
|
発行要求のフィンガープリント(MD5 もしくは SHA-1 によるハッシュ値)をオフラインにより発行要求発行者に確認し、公開鍵と実際の所有者名を対応付ける |
|
|
Subject 内の DN が発行要求側 CA の DN に一致することを確かめる |
|
|
府省・民間CAへ横断証明書発行 |
フォーマット: DER 形式、または PKCS#7 フォーマット |
|
オンライン/オフライン:オフライン |
詳細は「政府認証基盤相互運用性仕様書」を参照して下さい。
横断証明書の有効期限は 5年以内と定められています。この有効期限を過ぎた横断証明書は無効になります。
また、横断証明書は有効期限内であっても失効される場合があります。主な失効理由は CA 鍵の変更(危殆化)、ポリシーの変更が挙げられます。失効要求は BCA からの場合と、府省 CA・民間 CA からの場合があります。認証局失効リスト( ARL) は、BCA から発行した横断証明書の場合は BCAリポジトリへ、府省 CA・民間 CA から発行された横断証明書の場合はそれぞれ府省・民間リポジトリへ格納されます。なお、府省 CA・民間 CA は ARL の即時発行が可能な機能を備える必要があります。
横断証明書は、以下の場合に更新されます。
(1) 有効期限に近づいた場合。
(2) 証明書記載内容に変更が生じた場合。
横断証明書を更新する際には、以下の点に注意しなければなりません。
(1) それぞれのリポジトリ内には最新の横断証明書のみを置きます。
(2) BCA リポジトリと府省/民間リポジトリの横断証明書ペアが不整合となる期間は短時間にしなければなりません。
横断証明書の有効期間および有効期限は、次の条件を満たさなくてはなりません。
(1) 横断証明書を要求する CA の自己署名証明書の有効期間の1/2より短いこと。
(2) 横断証明書を発行する CA の自己署名証明書の有効期限を越えないこと。
(3) BCA の発行する横断証明書の有効期間は5年以内であること。
統合リポジトリは、GPKI に接続されている CA の認証情報を公開する機能を提供します。各府省 CA や民間 CA の認証情報を単一のリポジトリに格納することにより、一元的な認証情報の提供ができるようになっています(図 8-4)。
図 8-4 リポジトリの関係
統合リポジトリには以下の目的があります。
(1) 民間及び将来相互接続の可能性のある自治体や海外からのアクセスの利便性を高める。
(2) 外部に公開されるサーバーの数を少なくし、セキュリティ面での脆弱性を下げる。
(3) PKI システム全体としての処理量、通信量の軽減を図る。
統合リポジトリに置いてある各種証明書や CRL/ARL などの認証情報は、常に BCA リポジトリと府省 CA リポジトリの内容を反映させ、適切な状態に更新されている必要があります。このため府省 CA リポジトリは、統合リポジトリに対して認証情報の複製を置かなくてはなりませんが、複製を置く場合の統合リポジトリへのアクセスは、TLS 双方向認証(LDAPS)にて行うことになっています。
民間 CA や海外 CA のリポジトリは統合リポジトリに複製を置くことが出来ないため、統合リポジトリからリフェラルされ認証情報の提供を行います。
統合リポジトリへの通信は原則として LDAP のバージョン3 (LDAPv3) を使用します。府省 CA と BCA のリポジトリ、証明書検証サーバーは LDAPv3 をサポートしなければなりません。民間側の各種行政アプリケーション(申請・届出など)では LDAPv3 をサポートすることを推奨されていますが、やむを得ない場合は LDAPv2 でのアクセスも可能としています。ただし、LDAPv2 でアクセスする場合は バージョン2 によるアクセスであることをプロトコル上で明言する必要があります [83]。
その他、統合リポジトリへの通信に関する規約を以下に示します(表 8-4、表 8-5)。
表 8-4 サポートするLDAP操作
|
操作名 |
LDAPバージョン |
パラメータ詳細 |
|
Bind Request / Response |
|
RFC1777 および RFC2251 を参照 |
|
Unbind Request / Response |
|
|
|
Search Request |
|
|
|
Search ResEntry / ResDone / ResRef |
LDAPv3 のみ |
|
|
Search Response |
LDAPv2 のみ |
|
|
Modify Request / Response |
|
|
|
Add Request / Response |
|
|
|
Delete Request / Response |
|
|
|
ModifyDN Request / Response |
LDAPv3 のみ |
|
|
ModifyRDN Request / Response |
LDAPv2 のみ |
|
|
Extended Request / Response |
LDAPv3 のみ |
表 8-5 LDAPv3に関する特記事項
|
項目 |
特記事項 |
|
binary 属性オプション
|
統合リポジトリにおいて、証明書及びCRL/ARL はバイナリ形式で格納され、LDAPv3 で送受信される場合、属性として";binary"属性オプションが付加される。統合リポジトリにアクセスするクライアントは、この属性オプションを認識できなければなりません。 |
|
UTF-8 の識別名及び属性値
|
統合リポジトリにアクセスするクライアントは、「3.5.2 リポジトリアクセス時の識別名文字列への変換方式」に示すように、RFC2253 で規定される識別名文字列表現のUTF-8 エンコーディングに対応しなければなりません。 |
|
複数AVA
|
統合リポジトリにアクセスするクライアントは、識別名の RDN コンポーネントにおける複数 AVA に対応しなければなりません。その場合、各々の AVA の順序は不同であり、これらを同一のものとして扱わなければなりません。つまり、"cn=Taro + uid=123"と"uid=123 + cn=Taro"は、同じものとして扱われます。 |
|
unsolicited notification
|
統合リポジトリは、RFC2251 4.4.1 に規定される切断通知のためのunsolicited notificationをサポートします。統合リポジトリにアクセスする LDAPv3 クライアントは、RFC2251 4.4.1 に規定される unsolicited notification を認識し、その手順に従わなければなりません。 |
|
リフェラルと継続参照
|
分散されたリポジトリ間の連携のため、統合リポジトリにアクセスするクライアントは、RFC2251 4.1.11 に規定されるリフェラルを認識する必要があります。同時に、認識したリフェラルを自動的に解決する機能の実装を推奨しています。また、RFC2251 4.5.3 に規定されるように、検索結果が不完全なためにさらに他のリポジトリにアクセスする必要がありうることを想定し、継続参照を認識するような機能の実装を推奨しています。 |
GPKI でプロファイルを定める各証明書について解説します(表 8-6)。
表 8-6 証明書の種別と要約
|
証明書種別 |
要約 |
有効期間 |
鍵長 |
|
横断証明書 |
BCAとの間で相互に発行し合う CA の証明書です。 |
5年. |
― |
|
自己署名証明書 |
各CA が自ら発行する自己署名の証明書です。EE は、この証明書をルート CA として設定(登録)します。 |
10年。 5年毎に鍵更新。 |
BCA: 2048 RSA 府省 CA: 同上 民間 CA: 1024以上の RSA |
|
リンク証明書 |
CA の鍵更新時に発行される証明書です。 |
― |
― |
|
その他のEE 証明書 |
申請者を除く EE の証明書です。これら証明書のプロファイルは、その目的と用途によって内容が異なるため、プロファイル策定のためのガイドラインのみが規定されています。 |
官職証明書の有効期間は3年。 |
官職:1024 以上の RSA 申請者:上記を推奨 |
横断証明書の鍵長は、自己署名証明書に依存します。リンク証明書の有効期間や鍵長は、CA 鍵更新のポリシーに準拠します。
BCA が発行する横断証明書のプロファイルの例を示します(表 8-7)。
表 8-7 BCA 横断証明書の例
|
領域名 |
クリティカルフラグ |
値(例) |
説明 |
|
Version (バージョン番号) |
|
2 |
v 整数 |
|
Serial Number (シリアル番号) |
|
10001 |
証明書のシリアル番号、整数 |
|
Signature algorithm ID(署名アルゴリズム) |
|
|
BCA署名アルゴリズム |
|
Algorithm identifier(アルゴリズム識別子) |
|
1.2.840.113549.1.1.5 |
Sha-1WithRSAEncryption |
|
Issuer name (発行者名) |
|
ou=Bridge, CA,o=japanese |
BCA識別名(DN),英語表記 |
|
Validity period (証明書有効期間) |
|
|
証明書の有効期間 (GPKI 定義期間) |
|
notBefore(発効日) |
|
YYMMDDHHMMSSZ 010401000000Z |
証明書の発効日 |
|
notAfter(終了日) |
|
YYMMDDHHMMSSZ 060331000000Z |
証明書の終了日 |
|
Subject name (主体者名) |
|
ou=CA 名(またはcn=CA 名), ou=CA サービス名, o=相互認証先名(府省名/認証法人名), c=JP |
相互認証先名 (府省 CA/民間 CA/商業登記CA/海外政府CA) |
|
subject public key info(主体者公開鍵情報) |
|
|
相互認証先 CA 公開鍵アルゴリズム |
|
algorithm identifier (アルゴリズム識別子) |
|
1.2.840.113549.1.1.1
|
相互認証先 CA 公開鍵識別、RSA Encryption |
|
parameter(パラメータ) |
|
NULL |
RSA の場合値なし |
|
public key (公開鍵) |
|
BIT STRING
|
相互認証先CA 公開鍵、BIT ストリング |
|
extensions(証明書拡張領域) |
|||
|
authorityKeyIdentifier(認証局鍵識別子) |
FALSE |
|
署名用に複数鍵使用の場合の鍵識別子 |
|
keyIdentifier |
|
OCTET STRING |
BCA 公開鍵のsha-1 ハッシュ値 |
|
subjectKeyIdentifier(主体者鍵識別子) |
FALSE |
OCTET STRING
|
主体者鍵識別子 |
|
keyUsage(鍵用途) |
TRUE |
|
鍵用途の目的を指定 |
|
keyCertSign |
1 |
[5] |
|
|
CRLSign |
1 |
[6] |
|
|
certificatePolicies(証明書ポリシー) |
|
パス検証ソフトは、この処理を必須とし、処理が不可能な場合はこの証明書を排除す。 |
|
|
policyIdentifier |
|
OID |
|
|
certPolicyId |
id-BCA-cp-ds.class10 |
電子署名ポリシー識別子 |
|
|
policyQualifiers
|
|
ポリシー修飾子 (CPS へのポインタまたはユーザ通知情報) |
|
|
policyQualifierId |
id-qt-cps |
CPS |
|
|
qualifier
|
cps=http://www.gpki.go.jp/cps/BCA/ |
公開するCPS のURI。IA5 ストリング |
|
|
policyMappings (ポリシーマッピング)
|
FALSE |
|
発行者ポリシーと主体者ポリシーを等価と見なす。 (申請時に調整が必要) |
|
issuerDomainPolicy
|
id-BCA-cp-ds.class10
|
BCA のドメイン.ポリシーOID(申請時に調整が必要) |
|
|
subjectDomainPolicy |
id-府省-cp-ds.class10
|
相互認証先CA のドメイン.ポリシー OID (申請時に調整が必要) |
|
|
basicConstraints (基本制約) |
TRUE |
|
CA 証明書とエンド.エンティティ証明書を区別 |
|
cA |
cA=TRUE |
必須 (MUST)とする |
|
|
policyConstraints (ポリシー制約) |
TRUE |
|
|
|
requireExplicitPolicy |
0 |
ポリシーの明示を要求 (申請時に調整が必要) |
|
|
inhibitPolicyMapping |
0 |
ポリシーマッピング禁止 (申請時に調整が必要) |
|
|
CRLDistributionPoints (CRL 配布点) |
FALSE |
cn=CRL1, ou=Bridge CA, o=Japanese Government, c=JP |
directory Name にてCRL / ARL の配布点を指定 |
|
issuer’s signature (発行者署名) |
|
|
|
|
algorithm identifier (アルゴリズム識別子) |
|
1.2.840.113549.1.1.5
|
sha-1WithRSAEncryption |
|
|
ENCRYPTED (署名値) |
||
政府認証基盤相互運用性仕様書には、この他に自己署名証明書とリンク証明書の例が提示されています。
前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.