第 3 章   ユーザ


デジタル証明書の設定が終わったら、Identrus システムへの iPlanet Portal Server Plug-in を使用する準備は完了です。 NetMail Lite を使用すると、問題なく送信するメッセージにデジタル署名を行ったり、受信するメッセージの完全性や信頼性をチェックしたりすることができます。 この章では、これらの操作を行うための、次のような機能について説明します。

• スマートカードを使用したログイン

• メッセージ確認の概要

• 電子メール署名の例

• 取り消し済みのメッセージ

• 無効な署名

• 証明書ステータスログ

スマートカードを使用したログイン

---

• ブラウザで、Portal Server にアクセスする URL (例: https://firestorm.uksun.com:8080) を入力します。

図 3-1 ログインメインメニュー

• 「SmartCardUser」を選択します。

図 3-2 スマートカードを挿入する

• スマートカードをカードリーダに挿入します。

図 3-3 スマートカードをカードリーダに挿入する

• 「入力」ボタンをクリックすると、ダイアログボックスが表示され、スマートカードの PIN を入力するよう求められます。

図 3-4 スマートカードエントリに署名する

• 「Sign」を選択します。

図 3-5 スマートカードの PIN を入力する

• PIN を入力して「Verify」をクリックすると、情報がサーバに送られます。 次の場合には、アクセスが拒否され、対応するメッセージが表示されます。

• スマートカードがリーダに挿入されていない

• 入力したスマートカードの PIN が誤っている

• スマートカードの証明書チェーンが無効

• スマートカードの証明書チェーンに信頼できる CA 証明書が含まれていない

• スマートカードの証明書のステータスが「不明」である。つまり、スマートカードが「スキーマ」の一部ではない

• スマートカード証明書のステータスが「取り消し済み」である

  
  

  ---

  注	PIN 番号は、スマートカード発行時にスマートカードのサードパーティベンダーから通知されます。

  ---

  
  

• スマートカードのログインページで「入力」をクリックすると、ログインモジュールによりユーザの個人情報がチェックされ、信頼性が確認されます。次に、ユーザプロファイルが画面に表示されます。 システムに初めてログインする場合は、新規ユーザ登録ページが表示されます。 このページを送信すると、モジュールにより新規ユーザが作成および追加されます。

図 3-6 新規ユーザ登録

• 個人情報を入力したら、「送信」をクリックします。Portal Server のメインメニューが開きます。

• 管理者によって構成されたセキュリティポリシーに基づいて、サーバが証明書ステータスチェックを実行します。 採用されている証明書ステータスチェックのポリシーに関係なく、クライアントからの署名付きレスポンスの有効性が常に確認されます。また、署名証明書は一般に認められたソースによって発行されたものでなくてはなりません。

図 3-7 Portal Server メインメニュー画面

• 最後に「NetMail Lite」をクリックします。

メッセージ確認の概要

---

電子メールメッセージを確認するには、次の 2 つのオプションがあります。

• 認証を提供する証明書を表示する

• 完全性を提供する署名を表示する

証明書を表示する

図 3-8 NetMail Lite メッセージヘッダーの例

証明書のステータスが、次に示すステータス 1 または 2 以外の場合は、証明書ステータスのアイコン

をクリックすると最新のステータスチェックの詳細が表示されます。 システムがメッセージ受信時に自動的にステータスチェックを行うように構成されている場合、ステータス 2 が発生することはありません。 証明書には、次の 5 種類のステータスがあります。

• ステータス 1 : メッセージがスキーマ証明書によって署名されていない (アイコンなし)

• ステータス 2 : 署名証明書が未チェック (アイコンなし)

• ステータス 3 : 証明書が取り消し済み
  
  

• ステータス 4 : 証明書が確認済み
  
  

• ステータス 5 : 証明書が不明
  
  、またはステータスの取得中にエラーが発生

証明書ステータスチェックを開始するには、証明書チェックのアイコン

をクリックします。 このアイコンをクリックすると、証明書ステータスチェックのリクエストを送信するという旨のメッセージが表示され、ユーザの銀行にこのサービスの手数料が請求されます。 リクエストを確認するには、スマートカードを挿入して、PIN を入力する必要があります。 PIN を入力して「OK」をクリックすると、署名付きの証明書ステータスチェックのリクエストが Portal Server に送信されます。 数秒後、レスポンスが受信されると、証明書ステータスのページが表示されます。

図 3-9 証明書ステータスチェックの例

RC ホストでは、レスポンス署名証明書 (構成方法については「RC ホストの構成」を参照) を使用して、ステータス情報を表示する HTML ソースが署名され、署名は証明書ステータスページの HTML の一部として base64 エンコードの隠しデータの形態で送信されます。 ユーザは、請求書確認などの目的でこの情報が必要になる場合に備え、この HTML ページをローカルディスクに保存することができます。

署名を表示する

メッセージには、次の 3 種類のステータスがあります。

• ステータス 1 : 未署名 (アイコンなし)

• ステータス 2 : 署名が無効
  
  

• ステータス 3 : 署名が有効
  
  

署名の有効性は、証明書ステータスには依存しません。 スキーマに属する証明書によって署名されたメッセージの場合は、署名の有効性を示すアイコンが常に表示されます。 また、システムは、スキーマに属さない証明書によって署名されたメッセージに対しても、署名の有効性を示すアイコン

を表示するように構成されている場合もあります。

図 3-10 署名の詳細を選択する

署名の詳細ページには、署名および署名証明書の詳細が表示されます。 このページを表示するには、メッセージヘッダーのページまたはメッセージのページで、署名の有効性を示すアイコン

をクリックします。

アイコンをクリックすると、署名の詳細ページに次の情報が表示されます。

• サブジェクト : 証明書の保持者の識別名

• 発行元 : 証明書の発行元の識別名

• 有効性 : 証明書の有効期限の最初と最後の日

• シリアル番号 : 証明書のシリアル番号

• 署名ステータス : 「有効」または「無効」。次のような情報も示される
  • 署名後にメッセージの内容が変更されていないか

  • 署名証明書の有効期限が切れていないか

  • 署名証明書がスキーマのメンバーであるか

図 3-11 署名を表示する

いったんチェックされた後は、証明書は有効なものとして認識されます。 ただし、証明書ステータスチェックの数日後に証明書の期限が切れる場合、メッセージの証明書ステータスが有効であるかどうかを確認するために、再度証明書ステータスチェックを実行できます。

電子メール署名の例

---

次の 4 人のユーザが存在すると仮定し、電子メールメッセージの例を見てみましょう。 最初の 3 人のユーザは、有効な証明書を持っています。 4 人目のユーザの証明書は取り消し済みで、Identrus スキーマ外で署名されたメッセージを送信しようとしています。

• John Smith (証明書は有効)

• Tom Jones (証明書は有効)

• Rajeev Patel (証明書は有効)

• Manuelo Revoka (証明書は取り消し済み、無効な署名を送信)

Identrus システムへの iPlanet Portal Server Plug-in では、次の機能がサポートされています。

• 署名付きメッセージの作成

• 署名付きメッセージの転送

• 送信者のメッセージに対し、証明書ステータスのリクエストを実行

• 署名付きメッセージの受信

• 署名付きメッセージのステータスの表示

• 取り消し済み証明書の表示

• Identrus スキーマ外の無効な署名の表示

これらの機能を順番に説明します。

署名付きメッセージを作成する

デジタル署名を付けてメッセージを送信すると、受信者に対してメッセージの完全性を提供することができます。

• John Smith が NetMail Lite にログオンし、Rajeev Patel にメッセージを送信するとしましょう。 John Smith は、「この電子メールに署名する」を選択することによって、メッセージに署名しています。

図 3-12 メッセージを作成する

• Identrus システムへの iPlanet Portal Server Plug-in では、署名付きメッセージを作成する際に、次のオプションを選択できます。
  • 送信済みメッセージフォルダにコピーを保存 : メッセージのコピーを保存する

  • 署名の使用 : 文書の最後に、署名のテキストを追加する。 このテキストファイルへのリンクを確立するには「プリファレンス」を選択

  • この電子メールに署名する : メッセージにデジタル署名する。これにより、受信者が、 送信者が本人であるか、およびメッセージが変更されていないかどうかを確認することができる

• メッセージの送信後、メッセージにどのように署名するかの確認を求められます。 「Sign」を選択し、前と同様にスマートカードの PIN 番号を入力します。 スマートカードリーダにスマートカードが挿入されていることを確認してください。

図 3-13 メッセージにデジタル署名する

署名付きメッセージを受信する

メッセージヘッダーには、どのメッセージがデジタル署名されているかが示されます。また、受信メッセージの送信者を確認したい場合のために、証明書ステータスチェックの必要なメッセージが示されます。 これには次の 2 つの目的があります。

• メッセージの受信者が送信者を確認できる :
  
  アイコンをクリックすると、システムに証明書ステータスチェックのリクエストが送信される。 この機能は、自動的に設定することも可能 (詳細は、管理者に問い合わせること)

• メッセージの受信者が、メッセージの内容が有効で、変更されていないことを確認できる : メッセージが有効である場合は、署名欄にはチェックマーク
  
  のアイコンが表示される

• 次に、Rajeev Patel が NetMail Lite にログインし、受信した電子メールを読むとしましょう。

図 3-14 Rajeev Patel の Portal ホームページ

• Rajeev Patel が、John Smith からのメッセージのヘッダーを表示します。

図 3-15 Rajeev Patel の NetMail Lite メッセージヘッダー

• 証明書チェックのアイコン
  
  を選択することによって、John Smith の証明書が有効であるか、取り消し済みであるかを確認できます。

図 3-16 John Smith に対する証明書ステータスチェック

• 証明書ステータスチェックが完了すると、次に示すように、メッセージヘッダーに証明書のアイコン
  
  が表示されます。

図 3-17 手作業で証明書ステータスチェックを実行したことを示す Rajeev Patel のメッセージヘッダー

署名付きメッセージを転送する

メッセージを転送する場合にも、メッセージが署名されているか、証明書ステータスチェックを行ったかにはかかわらず、メッセージのステータスを示すことができます。 したがって、転送されたメッセージには、未署名の署名や、取り消し済みの証明書が含まれることもあります。このような場合、転送されたメッセージでは階層の一部のみが示されるため、状況をどのように解釈するかはユーザ次第です。 転送する埋め込みメッセージの数には、制限はありません。

• Rajeev Patel が内容を確認するために Tom Jones にメッセージを転送するとしましょう。

図 3-18 メッセージを転送する

• Tom Jones が NetMail Lite にログインし、受信したメッセージを表示します。

図 3-19 Tom Jones のメッセージヘッダー

転送メッセージを受信した場合、そのメッセージに添付されているファイルをクリックすると、メッセージがデジタル署名されているかどうかを確認できます。

図 3-20 転送メッセージ

• 「新着メールの確認」を選択します。証明書チェック済みのアイコンが表示されます。

図 3-21 転送メッセージに対して実行された証明書ステータスチェック

メッセージの転送は、否認防止のためにメッセージデータをまったく変更していない証拠を残しておく必要がある場合に便利です。 このような場合には、Identrus ネットワーク内の独立機関にメッセージを転送します。 メッセージを開いた時に証明書ステータスが取り消し済みであれば、元の証明書ステータスが作成された時点まで戻らなければなりません。 このような場合には、証明書ステータスログを見るか、必要であればステータスログビューを HTML ファイルとしてローカルマシンに保存します。

添付ファイルを保存する

添付ファイルを保存するには、リンクを強調表示してマウスを右クリックし、「リンクを名前を付けて保存」を選択します。

図 3-22 添付ファイルを保存する

取り消し済みのメッセージ

---

場合によっては、従業員が退社したり、あるいは過去に有効だった証明書の期限が切れたり、取り消されたりすることがあります。

• Manuelo Revoka が NetMail Lite にログオンし、取り消された証明書を使って John Smith にメッセージを送信するとしましょう。

図 3-23 取り消された証明書を使って電子メールメッセージを送信する

• Manuelo Revoka は、取り消された証明書を使用してメッセージに署名しています。

図 3-24 取り消された証明書でメッセージに署名する

• John Smith が NetMail Lite にログオンして、受信した電子メールをチェックします。

図 3-25 John Smith の Portal ユーザ画面

• John Smith が Manulo Revoka からのメッセージを表示します。

図 3-26 John Smith のメッセージヘッダー

• John Smith は、証明書チェックのアイコン
  
  をクリックして、手作業で証明書ステータスチェックを実行します。

図 3-27 取り消された証明書を含むヘッダーの詳細

• 証明書のアイコン
  
  が、証明書が取り消し済みであることを示しています。 ただし、メッセージのテキストと送信者は、完全性を保っています。

図 3-28 取り消された証明書を含むメッセージヘッダーの概要

無効な署名

---

無効な署名が発生する理由には、次のようなものがあります。

• 署名が、管理者によって構成された証明書スキーマ外のものである : 通常これは Identrus スキーマ。 疑問がある場合は、管理者にお問い合わせください。

• メッセージが変更されている : 何者かがシステム内に侵入し、メッセージの内容を変更した場合。 このような事態が起こることはあまりないが、万が一発生した場合には、システム管理者にすぐにご連絡ください。

• 署名の証明書の有効期限が切れている : この場合には、送信者に署名証明書を更新してメッセージを再度送信するように依頼してください。

• 送信者の電子メールアドレスは、証明書のサブジェクトと同じであることが必要 : これは当たり前のように思えるが、送信者が証明書スキーマ内のほかの人物の証明書を使ってメッセージに署名しようとすると、このエラーが発生する

無効な署名の例

• Manuelo Revoka が 証明書スキーマ外の証明書でメッセージに署名し、そのメッセージを Tom Jones に送信するとしましょう。

図 3-29 メッセージヘッダーに表示される無効なデジタル署名の例

• Tom Jones が
  
  アイコンを選択して、署名が無効な理由を表示します。

図 3-30 無効な署名の詳細

証明書ステータスログ

---

ユーザは、自分が実行したすべての証明書ステータスチェックのログを表示できます。 このログにアクセスするには、iPlanet Portal Server のメインページで「Applications」リストのリンクをクリックします (図 3-31 を参照)。 「Certificate Status Log」リンクをクリックすると、ブラウザのウィンドウにログページが表示されます。

図 3-31 iPlanet Portal Server メインページ

このページには、ユーザが実行した証明書ステータスチェックのリストが、新しいものから順に表示されます。

図 3-32 証明書ステータスログ

• 各エントリについて、次のデータが表示されます。
  • サブジェクト : 証明書の保持者の共通名

  • 証明書ステータス : 証明書ステータスチェックの結果。有効、取り消し済み、または不明

  • チェック日 : 証明書ステータスチェックの日時

• ユーザ (この場合は John Smith) は、「他の詳細」をクリックすると、そのエントリの証明書ステータスページにアクセスできます。

図 3-33 証明書ステータスの詳細