前へ 目次 DocHome 索引 次へ |
Identrus システムへの iPlanet Portal Server Plug-in インストール、管理、およびユーザガイド |
概要
この章では、Identrus スキーマを使用するために必要な主要コンポーネントについて説明しています。また Identrus システムへの iPlanet Portal Server Plug-in によってどのように電子メールメッセージのセキュリティが保護されるかについても説明します。 内容は以下とおりです。
関連ドキュメント
Solaris 8 および Java Development Kit 1.2.1
iPlanet Portal Server 3.0
- http://docs.sun.com
- http://java.sun.com/products/jdk/1.2/download-docs.html
iPlanet Certificate Management System
- http://docs.iplanet.com/docs/manuals/ips.html
『Oracle 8i Installation Guide』および『Oracle 8i Configuration Guide』
- http://docs.iplanet.com/docs/manuals/cms.html
Hardware Security nCipher KeySafe 1.0 および CAFast
- http://www.oracle.com
Identrus メッセージ仕様
- http://www.ncipher.com
- http://active.ncipher.com/documentation/PKCS11/solaris-4.01/nforce.pdf
- http://www.identrus.com
このガイドの構成
このガイドは、次のユーザを対象としています。このガイドは、4 つの章で構成されています。
第 1 章、「インストール」 : 『iPlanet Portal Server 3.0 インストールガイド』に紹介されている、特別な考慮事項について
第 2 章、「管理」 : Netmail ユーザの設定、証明書の割り当て、Certificate Status Check (CSC) レスポンダの定義などを行う管理者のための情報
第 3 章、「ユーザ」 : スマートカードを使用したログオン、電子メールメッセージへのデジタル署名、およびセキュリティ保護されたメッセージングについて
第 4 章、「アプリケーションを導入する」 : Identrus 対応の証明書ステータスチェックを行うために必要なソースコードの開発方法について
Identrus スキーマの概要
Identrus は、インターネットなどの電子ネットワーク上でエンティティを識別するための高度に安全なシステムを確立し、運営するために設立されました。 Identrus は、金融機関で構成されて、公開鍵の暗号化と PKI の基本技術を使用し、電子コマースを促進するための共通の運営規則したがって管理されています。Identrus PKI ネットワークは、次に示す「4 コーナーモデル」を基盤としています。
図 1 Identrus 4 コーナーモデル
IP (Issuing Participant) : 秘密鍵および証明書を含むスマートカードを SC に発行する銀行 (またはその他の金融機関)
4 コーナーモデルを使用した典型的なトランザクションの流れは次のとおりです。SC (Subscribing Customer) : Identrus アクティビティに参加する権限を持つ IP 銀行のメンバー
RC (Relying Customer) : SC が署名付きトランザクションを開始する相手
RP (Relying Participant) : SC から受け取った署名付きデータの信頼性をある程度確認するため、RC が問い合わせる銀行 (またはその他の金融機関)
SC がスマートカードを使用してトランザクションリクエストに署名し、そのリクエストがシステムから RC に送信される
Identrus スキーマを利用するために、Identrus システムへの iPlanet Portal Server Plug-in では、次に示すように Portal Server に接続したホストシステムを使用します。RC が、SC から送信された署名付きデータが送信の過程で変更されていないことを確認する
RC が銀行にサービスをリクエストする。たとえば、SC の証明書が有効である (廃棄されていない) ことを確認するために、銀行にステータスチェックを依頼することが可能
RP が IP にサービスをリクエストする。また、Identrus ルートに RC のサービスリクエストに対応するようにリクエストする
図 2 iPlanet Portal Server と Identrus スキーマ
iPlanet の Portal Plug-in ソリューション
Identrus システムへの iPlanet Portal Server Plug-in は、電子メールメッセージの送受信を行う際に、メッセージ交換を信頼性のあるものにしたいという開発者、ユーザ、および管理者を対象に設計されています。 何らかの方法によって次のものが提供される場合、メッセージは意義を持つようになります。Identrus システムへの iPlanet Portal Server Plug-in では、次のメカニズムが使用されます。
有効なデジタル署名と、確認済みの証明書がある場合にのみ、メッセージは否認防止性を備えているということができます。 これらのメカニズムなしでは、否認防止が可能なメッセージは成り立ちません。このため、このガイドでは次の操作に関連する主なコンポーネントについて説明します。
Identrus システムへの iPlanet Portal Server Plug-in では、送受信するすべての電子メールに対し、NetMail Lite メッセージヘッダーの要約部分に上記のアイコンが表示されます。 これにより、ユーザが受信するメッセージのステータスを確認すること、および変更されていないメッセージを送信することが可能になります。
図 3 メッセージヘッダーの例
Identrus スマートカードのしくみ
Identrus システムへの iPlanet Portal Server Plug-in の設定作業の一環として、ユーザにスマートカードを発行する必要があります。 各スマートカードには証明書が含まれています。次の図に示すように、この証明書はどのユーザが Portal Server にログオンできるかを決定する Identrus 階層を持っています。
図 4 スマートカードの証明書階層
特定のスマートカード証明書と信頼できる CA との間に信頼チェーンを構築できる場合、その証明書は信頼できるものとみなされます。 このような場合、管理者が Identrus メンバーであるユーザに対して Identrus 証明書階層を含む適切な証明書を設定していれば、そのユーザは Portal Server にログオンできます。
Indentrus を使用するためには、次の証明書が必要です。
ユーザの身元に関する情報を提供する、Identrus 対応の アイデンティティ証明書
ユーザのアクセス権に関する情報を提供する、Identrus 対応のユーティリティ証明書
ユーザのアイデンティティを発行する、Identrus 対応のアイデンティティ CA 証明書
Identrus 証明書スキーマ
Identrus システムへの iPlanet Portal Server Plug-in をインストールする管理者は、ユーザがこれらの目的を達成するために必要な主要コンポーネントについて認識する必要があります。 次の図は、Identrus スキーマ内の適切な認証局によって発行された証明書を使用することによってメッセージの完全性を確認する、一般的な方法の例を示しています。
図 5 Identrus スキーマの証明書確認の概要
電子メールの認証と、送信者/受信者の完全性を確保するには、Identrus スキーマに 3 種類の証明書が必要です。
アプリケーション認可証明書
信頼できるログイン CA 証明書 : これは通常 RP 銀行であり、この場合、ログインできるのは RP 銀行の顧客のみ。 この証明書は確認に使用される
証明書ステータスチェックの証明書信頼できる電子メール証明書 : これは通常 Identrus ルートであり、この場合、Identrus メンバーが受信したすべての電子メールを確認可能
リクエスト署名証明書 : RC ホストから、Identrus CSC または OCSP に送信される。ステータスチェックはこの証明書によって署名される
トランスポート認証と完全性の証明書応答署名証明書 : RC ホストのユーザに返されるステータスメッセージの署名に使用される
信頼できる応答確認証明書 : OCSP か Identrus CSC かにはかかわらず、RC ホストによって応答の確認に使用される
前へ 目次 DocHome 索引 次へ
Copyright © 2001 Sun Microsystems, Inc. Some preexisting portions Copyright © 2001 Netscape Communications Corp. All rights reserved.
最終更新日 2001 年 3 月 14 日