Identrus システムへの iPlanet Portal Server Plug-in インストール、管理、およびユーザガイド: 概要

前へ目次 DocHome 索引次へ

Identrus システムへの iPlanet Portal Server Plug-in インストール、管理、およびユーザガイド

概要

この章では、Identrus スキーマを使用するために必要な主要コンポーネントについて説明しています。また Identrus システムへの iPlanet Portal Server Plug-in によってどのように電子メールメッセージのセキュリティが保護されるかについても説明します。内容は以下とおりです。

本ガイドの構成

Identrus スキーマ

スマートカードユーザによる Portal Server へのログオンと電子メールのチェック

Identrus スキーマまたは適切な認証局によって行われる証明書ステータスチェック

 関連ドキュメント

Solaris 8 および Java Development Kit 1.2.1

http://docs.sun.com

http://java.sun.com/products/jdk/1.2/download-docs.html

iPlanet Portal Server 3.0

http://docs.iplanet.com/docs/manuals/ips.html

iPlanet Certificate Management System

http://docs.iplanet.com/docs/manuals/cms.html

『Oracle 8i Installation Guide』および『Oracle 8i Configuration Guide』

http://www.oracle.com

Hardware Security nCipher KeySafe 1.0 および CAFast

http://www.ncipher.com

http://active.ncipher.com/documentation/PKCS11/solaris-4.01/nforce.pdf

Identrus メッセージ仕様

http://www.identrus.com

このガイドの構成

このガイドは、次のユーザを対象としています。

メールのチェックおよび証明書ステータスのチェックを行う電子メールユーザ

システムのインストール、構成、および維持を行うシステム管理者 (銀行員または地元の製品サポート担当者など)

Identrus 対応の Portal Server に独自のアプリケーションを導入する開発者
このガイドは、4 つの章で構成されています。

第 1 章、「インストール」 : 『iPlanet Portal Server 3.0 インストールガイド』に紹介されている、特別な考慮事項について

第 2 章、「管理」 : Netmail ユーザの設定、証明書の割り当て、Certificate Status Check (CSC) レスポンダの定義などを行う管理者のための情報

第 3 章、「ユーザ」 : スマートカードを使用したログオン、電子メールメッセージへのデジタル署名、およびセキュリティ保護されたメッセージングについて

第 4 章、「アプリケーションを導入する」 : Identrus 対応の証明書ステータスチェックを行うために必要なソースコードの開発方法について

 Identrus スキーマの概要

Identrus は、インターネットなどの電子ネットワーク上でエンティティを識別するための高度に安全なシステムを確立し、運営するために設立されました。 Identrus は、金融機関で構成されて、公開鍵の暗号化と PKI の基本技術を使用し、電子コマースを促進するための共通の運営規則したがって管理されています。
Identrus PKI ネットワークは、次に示す「4 コーナーモデル」を基盤としています。
図 1 Identrus 4 コーナーモデル

4 コーナーは次のエンティティで構成されます。

IP (Issuing Participant) : 秘密鍵および証明書を含むスマートカードを SC に発行する銀行 (またはその他の金融機関)

SC (Subscribing Customer) : Identrus アクティビティに参加する権限を持つ IP 銀行のメンバー

RC (Relying Customer) : SC が署名付きトランザクションを開始する相手

RP (Relying Participant) : SC から受け取った署名付きデータの信頼性をある程度確認するため、RC が問い合わせる銀行 (またはその他の金融機関)
4 コーナーモデルを使用した典型的なトランザクションの流れは次のとおりです。

SC がスマートカードを使用してトランザクションリクエストに署名し、そのリクエストがシステムから RC に送信される

RC が、SC から送信された署名付きデータが送信の過程で変更されていないことを確認する

RC が銀行にサービスをリクエストする。たとえば、SC の証明書が有効である (廃棄されていない) ことを確認するために、銀行にステータスチェックを依頼することが可能

RP が IP にサービスをリクエストする。また、Identrus ルートに RC のサービスリクエストに対応するようにリクエストする

銀行からの応答に基づき、RC が SC からのリクエストを実行または拒否する
Identrus スキーマを利用するために、Identrus システムへの iPlanet Portal Server Plug-in では、次に示すように Portal Server に接続したホストシステムを使用します。
図 2 iPlanet Portal Server と Identrus スキーマ

iPlanet の Portal Plug-in ソリューション

Identrus システムへの iPlanet Portal Server Plug-in は、電子メールメッセージの送受信を行う際に、メッセージ交換を信頼性のあるものにしたいという開発者、ユーザ、および管理者を対象に設計されています。何らかの方法によって次のものが提供される場合、メッセージは意義を持つようになります。

認証 : メッセージの送信者を確認できること

完全性 : 電子メールメッセージが変更されていないこと

否認防止 : 送信者がメッセージを否認できないこと
Identrus システムへの iPlanet Portal Server Plug-in では、次のメカニズムが使用されます。

デジタル署名

: 完全性を実現

証明書

: 送信者のメッセージを確認
有効なデジタル署名と、確認済みの証明書がある場合にのみ、メッセージは否認防止性を備えているということができます。これらのメカニズムなしでは、否認防止が可能なメッセージは成り立ちません。このため、このガイドでは次の操作に関連する主なコンポーネントについて説明します。

システムを構成し、証明書ステータスチェックによってメッセージを認証するために、適切な信頼できる証明書階層を配置する方法

ユーザが送受信するデジタル署名と証明書付きのメッセージを適切に表示する方法

開発者が Identrus 対応の独自のアプリケーションを導入する方法
Identrus システムへの iPlanet Portal Server Plug-in では、送受信するすべての電子メールに対し、NetMail Lite メッセージヘッダーの要約部分に上記のアイコンが表示されます。これにより、ユーザが受信するメッセージのステータスを確認すること、および変更されていないメッセージを送信することが可能になります。
図 3 メッセージヘッダーの例

Identrus スマートカードのしくみ

Identrus システムへの iPlanet Portal Server Plug-in の設定作業の一環として、ユーザにスマートカードを発行する必要があります。各スマートカードには証明書が含まれています。次の図に示すように、この証明書はどのユーザが Portal Server にログオンできるかを決定する Identrus 階層を持っています。
図 4 スマートカードの証明書階層

特定のスマートカード証明書と信頼できる CA との間に信頼チェーンを構築できる場合、その証明書は信頼できるものとみなされます。このような場合、管理者が Identrus メンバーであるユーザに対して Identrus 証明書階層を含む適切な証明書を設定していれば、そのユーザは Portal Server にログオンできます。
Indentrus を使用するためには、次の証明書が必要です。

ユーザの身元に関する情報を提供する、Identrus 対応のアイデンティティ証明書

ユーザのアクセス権に関する情報を提供する、Identrus 対応のユーティリティ証明書

ユーザのアイデンティティを発行する、Identrus 対応のアイデンティティ CA 証明書

ユーザのユーティリティを発行する、Identrus 対応のユーティリティ CA 証明書

Identrus ルート証明書

 Identrus 証明書スキーマ

Identrus システムへの iPlanet Portal Server Plug-in をインストールする管理者は、ユーザがこれらの目的を達成するために必要な主要コンポーネントについて認識する必要があります。次の図は、Identrus スキーマ内の適切な認証局によって発行された証明書を使用することによってメッセージの完全性を確認する、一般的な方法の例を示しています。
図 5 Identrus スキーマの証明書確認の概要

電子メールの認証と、送信者/受信者の完全性を確保するには、Identrus スキーマに 3 種類の証明書が必要です。

アプリケーション認可証明書

信頼できるログイン CA 証明書 : これは通常 RP 銀行であり、この場合、ログインできるのは RP 銀行の顧客のみ。この証明書は確認に使用される

信頼できる電子メール証明書 : これは通常 Identrus ルートであり、この場合、Identrus メンバーが受信したすべての電子メールを確認可能

証明書ステータスチェックの証明書

リクエスト署名証明書 : RC ホストから、Identrus CSC または OCSP に送信される。ステータスチェックはこの証明書によって署名される

応答署名証明書 : RC ホストのユーザに返されるステータスメッセージの署名に使用される

信頼できる応答確認証明書 : OCSP か Identrus CSC かにはかかわらず、RC ホストによって応答の確認に使用される

トランスポート認証と完全性の証明書

SSL クライアント証明書 : クライアントとサーバ間の SSL トランスポートハンドシェイクの署名に使用される

前へ目次 DocHome 索引次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2001 Netscape Communications Corp. All rights reserved.

最終更新日 2001 年 3 月 14 日