Version 5.1
システム |
|---|
| ||||||||||
|
|
Version 5.1 |
||||||||||||||||||||||||||||||||
|
|
ドメインのPKI 設定を定義する場合、WebAdmin インターフェイスを開き、設定を行うドメインの [Settings] ページを開きます。その後、[Security] リンクをクリックします。[PKI] ページが表示さ れます。
[PKI Functions] メニューでは、ドメインのPKI モードを指定できます。
デフォルトでは、CommuniGate Pro のドメインには秘密鍵は割り当てられていません。ドメインの秘 密鍵を生成して割り当てる場合、[Size] オプションで秘密鍵のキーのサイズを指定し、[Generate Key] ボタンをクリックします。これで、ランダムの秘密鍵が生成され、ドメインに割り当てられま す。
注意: 2048 ビットの秘密鍵を生成する場合、サーバーのハードウェアプラットフォームによっては 数秒かかることもあります。
秘密鍵の生成と割り当てが完了すると、[Security] ページに証明書関連のフィールドが表示されます (後述)。
秘密鍵はまた、サードパーティのプログラム(OpenSSL など) を使って生成することもできます。 その場合まず、プログラムで秘密鍵をPEM フォーマットで生成します。その後、[Private Key] パネルの[Size] メニューで[Custom] を選択し、[Generate Key] ボタンをクリックします。これで、 下側にテキストフィールドが表示されます。このフィールドに、サードパーティのプログラムで生成 した秘密鍵(PEM フォーマット) をコピーしてください。その後、もう一度、[Generate Key] ボタ ンをクリックします。
注意: Make sure that the key you import is not password-encrypted. Something like the following starting lines:
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-CBC,90C96A721C4E4B0B GzLyio+Or3zXm1N7ILWlYDsR6cgPlzHomAxi6aeUthl4lSqBHaqMlh+/76I/6sNx .................という秘密鍵は暗号化されており、したがってCommuniGate Pro サーバーでは使用できません。
秘密鍵が正常に生成されれば、その秘密鍵を使って公開鍵/ 秘密鍵暗号化が可能です。また、正常に 生成されると、次のパネルが表示されます。
一方、[Key Test] の右にエラーが表示された場合、問題が発生したことを示しており、その秘密鍵 は暗号化には使用できません。
ドメインの既存の秘密鍵は、[Remove Key & Certivicate] ボタンをクリックすることで削除できます。 なお、ドメインの証明書は、対応する単一の秘密鍵についてのみ有効であるため、秘密鍵を削除する と、対応する証明書は無効になります。同時に、証明書も削除されます。
ドメインでPKI 機能を使用する場合、ドメインに証明書がなければなりません。
証明書のドメイン名(証明書の件名フィールドの名前、パネルでは[Common Name] フィールド)
は、クライアントアプリケーションで使用されるドメインの名前と同じでなければなりません。
証明書のドメイン名とクライアントアプリケーションで使用されるドメインの名前が異なる場合、ク
ライアントワークステーション上に警告メッセージが表示され、名前が一致しないことがユーザーに
報告されます。例えば、ドメインにエイリアスがあり、そのエイリアスを使ってユーザーがCommuniGate
Pro サーバーに接続しようとした場合、警告メッセージが表示されます。証明書では、ドメイ
ン名は一つしか指定できないことから、クライアントアプリケーションで使われているドメイン名を
考慮して、証明書のドメイン名(実際のドメイン名またはドメインのエイリアス) を決めることが必
要です。例えば、CommuniGate Pro のドメイン名がcompany.dom で、そのドメイン名にDNS A レ
コードがなく、一方、そのドメインのエイリアスがmail.company.dom で、このエイリアスのA
レコードがCommuniGate Pro サーバーを指しているとします。この場合、ユーザーのクライアントア
プリケーションとWebUser インターフェイスではドメインの名前としてmail.company.dom を登
録しておきます。また、そのドメインの証明書のドメイン名は、company.dom ではなく、
mail.company.dom に設定しなければなりません。
証明書のドメイン名としては、「ワイルドカード」ドメイン名を使うこともできます。ドメイン名が 2 つ以上の要素で構成されている場合、[Common Name] メニューに「ワイルドカード」ドメイン名、 つまり、最初の要素がアステリスク(*) に置き換えられたドメイン名が表示されます。また、ドメ イン名の構成要素が2 つのときには、3 番目の要素の場所にアステリスクが追加され、構成要素が3 つになります。
証明書のドメイン名が決まれば、[Certificate] パネルの各フィールドに情報を入力します。
上の2 つのフィールド以外のフィールドはすべて任意です。
自己署名証明書を作成したい場合、[Generate Self-Signed] ボタンをクリックします。自己署名証明 書の発行者は、証明書のドメイン名([Common Name] フィールド) と同じです。自己署名証明書に は、ドメインの秘密鍵を使って署名が付加されます。なお、証明書が自己署名証明書の場合、「不明 の機関から発行された証明書」という旨のメッセージがクライアントアプリケーション上に表示され ます。このメッセージは、自己署名証明書を「インストール」すると表示されなくなります。
すでに自己署名証明書が存在する場合、[Generate Self-Signed] ボタンをクリックすると、新規の自 己署名証明書が作成されます。この自己署名証明書は、シリアル番号は既存の自己署名証明書と同じ ですが、有効期限が更新されています。
また、外部ソース(信頼機関) から証明書を入手するときには、[Generate Signing Request] ボタン をクリックします。クリック後、テキストフィールドが開き、中にPEM エンコードCSR (証明書署 名要求) が表示されます。
CSR (証明書署名要求) の内容をコピーし、証明書を入手したい証明機関(CA) に送信します。送 信は、電子メールを使ってもいいですし、証明機関のWeb サイトのフォームを使っても結構です。 しばらくして、証明機関から署名付きの証明書(PEM フォーマット) が返送されてくるはずです。 返送されれば、その証明書をパネルの[Enter a PEM-encoded Certificate] フィールドに入力( コ ピー) します。その後、[Set Certificate] ボタンをクリックします。
返送された証明書が受け付けられれば、その内容がフィールドに表示されます。
[Certificate] パネルには、証明書の発行者(証明機関)、証明書の件名(入力したデータと指定した ドメイン名)、証明書のシリアル番号、有効期限が表示されます。
注意: 秘密鍵と証明書は、[Secure Certificate To Use] オプションが[Yes] に設定されているときに 限って使用され、ドメインでセキュア通信が可能になります。
注意: 証明書には、「件名」データの一部としてドメイン名またはドメインのエイリアスが格納され ています。ドメインの名前を変更し、一方、ドメインの証明書のドメイン名を変更しなかったときに は、名前の不一致を知らせるメッセージがクライアントアプリケーション上で表示されます。
[Remove Certificate] ボタンをクリックすると証明書が削除されます。
証明書の発行者(証明機関) がユーザーのクライアントソフトウェア( メーラーまたはブラウザ) に 登録されていれば、サーバーから送られた証明書がクライアントソフトウェアで受信されたときに警 告メッセージは表示されません。ただし、一般に、「信頼機関」が、それ自体の証明書を発行するこ とはありません。代わりに、信頼機関は、別の証明機関に証明書を発行する権利を委譲します。こう した証明機関を中間機関と呼んでいます。サーバーで、こうした中間機関が発行した証明書が使われ ている場合、サーバーからは、「信頼機関」が中間機関に対して発行した証明書がクライアントソフ トウェアに送信されます。 その場合、クライアントソフトウェア上では、まず、その証明書がチェックされ、チェックで、その 証明書の発行者が「信頼機関」ではないことが検出されます。その後、サーバーから送られた追加証 明書がチェックされます。この追加証明書が「信頼機関」が発行した証明書であり、しかも、その信 頼機関がユーザーのドメインの証明書の発行者だったときには、証明書は受け入れられ、警告メッ セージが表示されることもありません。
上のように、「信頼機関」として登録されていない証明機関(中間機関) の証明書がサーバーから送 られてきた場合、証明書には、その中間機関の証明書、つまり「信頼機関」が中間機関に対して発行 した証明書が付属しています。こういった中間機関の証明書は、[Certificate Authority Chain (Optional)] フィールドを使って登録しておくことができます。この証明書は、ドメインの証明書と 同じくPEM フォーマットでなければなりません。
信頼機関が中間機関に対して発行した証明書は、複数列挙することができ、このリストを証明機関 チェーンと呼んでいます。最初の証明書は、ドメインの証明書(上で作成した証明書) の証明書で す。この証明書の発行者は信頼機関ではなく、中間機関です。必要であれば、その次にも中間機関が 発行した証明書を指定します。チェーンの最後は、クライアントソフトウェアが認識できる証明機 関、つまり、通常はルート機関が発行した証明書です。
証明機関チェーンの証明書はいずれもPEM エンコード形式でなければならず、そのすべてを [Certificate Authority Chain (Optional)] フィールドに入力します。また、上記のように、リストの最 後はルート機関による証明書でなければなりません。
証明機関チェーンの入力が完了すれば、[Set CA Chain] ボタンをクリックします。これで、証明機 関チェーンがドメインに割り当てられます。ボタンのクリック後、証明機関チェーンの証明書がすべ て正常にデコードされ、そのフォーマットが正しければ、下記のような画面が表示されます。
注意: 証明機関チェーンのチェックでは、各証明書のフォーマットしか検証されません。証明書がそ れぞれ、一つ前の証明書を実際に証明しているかどうか、また、チェーンの最後の証明書がルート機 関による証明書であるかどうかは検証されません。
証明機関チェーンに関する情報は、ドメインの証明書とともにクライアントに送信されます。
既存の証明機関チェーンを削除したい場合、[Remove CA Chain] ボタンをクリックします。これで、 証明機関チェーンは、ドメインのセキュリティ設定から削除されます。
クライアントアプリケーション上で証明書が受信され、その発行者が信頼機関ではなかった場合(つ まり、証明書が自己署名証明書だった場合)、警告メッセージが表示されたり、その証明書の受け取 りが拒否されることがあります。
このメッセージの表示や受け取りの拒否は、そういった証明書を信頼機関のリストにインストール (登録) することで回避できます。インストールすると、証明書は「信頼」証明書として認識される ようになります。とくに、プログラムによっては(Mac バージョンのMicrosoft Outlook やOutlook Express)、このインストールを行うことが、そうした「非信頼」証明書を使ってセキュア通信を行う ときの唯一の方法です。
「非信頼」証明書のインストールは、ユーザーが行わなければなりません。インストール手順は、ま ず、ブラウザで自分のドメインのWebUserインターフェイスにアクセスし、ログインページを開き ます。ドメインの証明書が有効になっている場合、[Secure Certificate] リンクが表示されます。このリンクをクリックして、ドメインの証明書をダウンロードし、「オープン」します。この後、ブラウ ザ上で証明書をチェックし、信頼機関のリストにインストール(登録) します。
証明書は、次の条件が満足されたときに有効とみなされます。
信頼証明書とは、次の証明書をいいます。
いずれかのドメイン(または、そのドメインのアカウント) についてPKI 処理が実行される際、次 の信頼証明書がチェックされます。
システム自体についてPKI 処理が実行される際(例えば、送信TLS 接続が確立されるとき)、次の信 頼証明書がチェックされます。
サーバーワイド信頼証明書とクラスタ信頼証明書はどちらも、必要に応じて更新できます。更新する 場合、WebAdmin インターフェイスの[Domains] セクションを開き、[Security] リンクをクリック します。
ドメインワイド信頼証明書も同じく更新が可能です。更新する場合、WebAdmin インターフェイス で、そのドメインの[Domain Settings] ページを開いた後、[Domain Security] ページを開きます。そ の後、[Trusted] リンクをクリックします。これで[Trusted Certificates] ページが開きます。
パネルでは、信頼証明書(ドメインワイド信頼証明書)にはチェックボックスが付けられています。
信頼証明書を削除したいときには、そのチェックボックスを選択して[Remove Marked] ボタンをク
リックします。
ドメインワイドのページでは、上記のドメインワイド信頼証明書のほか、サーバーワイド信頼証明書
(ドメインが共有ドメインでない場合)またはクラスタワイド信頼証明書(ドメインが共有ドメイン
の場合)が表示されます。
一方、サーバーワイドのページとクラスタワイドのページでは、内蔵信頼証明書が表示されます。
こうした証明書にはチェックボックスは表示されません。
証明書を新たに追加したい場合、上記のパネルのテキストフィールドにPEM エンコードの証明書 データを入力し、[Add Certificate] ボタンをクリックします。これで、上記の信頼証明書のパネルに 新規の証明書が表示されます。
CommuniGate Pro サーバーでは、そのTCP ベースサービス/ モジュールですべてSSL/TLS 接続(セ キュア接続) がサポートされています。SSL/TLS 接続を行いたい場合、接続確立の方法としては、 クライアントアプリケーションの種類に応じて次の2 種類があります。
SSL/TLS 通信で使用する証明書をCommuniGate Pro のドメインに割り当てる場合、そのドメインに は、ネットワーク(IP) アドレスが少なくても一つ割り当てられていることが必要です。この制限 は、現在のTLS プロトコルの設計上の仕様から来ています。つまり、TLS プロトコルでは現在、ク ライアントアプリケーション上でセキュア接続が開始されたとき、サーバー上では、クライアントの 接続先のドメインを認識できません。ただし、クライアントの接続先のドメインにローカルIP アド レスが割り当てられている場合、そのIP アドレスを使ってドメインが開かれ、その後、ドメインの PKI 設定を使ってセキュア通信が正常に実行されます。
An exception to this rule is the XMPP protocol. Before an XMPP client sends the <starttls> command, it explicitly specifies the target domain in the <stream> data, so the Server can initiate a TLS session with a Domain that has no assigned network address.
SSL/TLS の処理パラメータ(サーバーワイドのパラメータ) は、WebAdmin インターフェイスの [Settings] セクションの[Obscure] ページで設定できます。
外部クライアント( メーラー、ブラウザ、リアルタイムデバイスなど) からいずれかのドメインに対 してTLS接続が確立される際、サーバーから、そのクライアントに対して要求を出し、クライアン ト証明書を送信させるように設定できます。
上記の設定を行いたい場合、WebAdmin インターフェイスを使って、そのドメインの[Domain Settings] ページを開き、[Security] リンクをクリックします。[PKI] ページが開きますので、この ページで設定を行います。
この末端と末端の間のS/MIME セキュリティ機能を使用する場合、ユーザーはそれぞれ自分のPKI 鍵(秘密鍵と公開鍵) を持っていなければなりません。秘密鍵は、安全で自分だけが利用できる場所 に保管し、また秘密鍵に対応する公開鍵は、証明書に格納しておくことが必要です。この証明書は、 通信相手のユーザーが信頼する証明機関によって発行されたものでなければなりません。
CommuniGate Pro のWebUser インターフェイスは、S/MIME をサポートしています。WebUser イン ターフェイスには、ユーザーの秘密鍵を安全に保管する機能が用意されており、とくに設定や操作は 必要ありません。一方、WebUser インターフェイスではなくデスクトップクライアントアプリケー ションを使用する場合、ユーザーの秘密鍵は、デスクトップオペレーティングシステムのPKI スト レージに保管しておかなければなりません。WebUser インターフェイスには、秘密鍵のインポート/ エクスポート機能があり、この機能を使うことで、デスクトップアプリケーションとWebUser イン ターフェイスの両方で同じ秘密鍵を使用できます。インポート/ エクスポートについては、詳しくは 「Secure Mail」のセクションを参照してください。
CommuniGate Pro サーバーには証明書サーバー機能があり、CommuniGate Pro ユーザーに証明書を発 行できます。
CommuniGate Pro のドメインを証明機関として動作させることができます。その場合、証明機関は、 そのドメインの全アカウントに対して有効です。ドメインを証明機関として動作させるときには、次 の条件が必要です。
ドメインのS/MIME に関する設定を行う場合、WebAdmin インターフェイスで、設定対象のドメイン の[Settings] ページを開きます。続いて、[Security] ページを開き、[S/MIME] リンクをクリック します。そのドメインに有効な秘密鍵があれば、ドメイン証明書のページに似たページが開きます。 このページを使って、特殊S/MIME 証明書を作成できます。作成した特殊S/MIME 証明書は、そのド メインのユーザーがS/MIME 証明書を要求した場合、そのS/MIME 証明書の発行者(証明機関) とし て使用されます。
特殊S/MIME 証明書を作成していないときには、ドメイン証明書が特殊S/MIME 証明書の代わりに使 用されます。
S/MIME 機能を使って、受信メッセージを安全に保管することができます。具体的には、S/MIME 機 能を利用し、全メッセージまたはメッセージを指定して暗号化し、ユーザーのメールボックスに格納 することが可能です。
受信メッセージの暗号化とメールボックスへの格納は、[Store Encrypted] アクション(信頼証 明書の説明を参照) を使って行います。
処理では、メッセージは、メールボックスのオーナーのS/MIME 証明書を使って暗号化されます。な お、Store Encrypted アクションがアカウントレベル(つまり、単一のアカウントまたはドメイ ン全体) のアクションで、かつ、カレントのユーザーが指定したメールボックスが、そのユーザーの アカウントに属していなかった場合、メッセージは、メールボックスのオーナーの証明書とカレント のユーザーの証明書の両方を使って暗号化されます。
After CommuniGate Pro users receive certain clear-text E-mail messages, they may prefer to keep them encrypted in the Server Mailboxes. The MAPI and XIMSS clients, and the WebUser Interface provide the Encrypt and Decrypt functions that allow users to encrypt and decrypt individual messages in their Mailboxes.