2.3 デジタル署名の環境設定

この節では、Identity Managerユーザアプリケーションに用意されているデジタル署名サポートを活用するための環境設定について説明します。

メモ:デジタル署名機能用にNovell Certificate Server(Novell PKIインフラストラクチャ)を使用する場合は、eDirectory 8.8以上を使用する必要があります。デジタル署名機能には、eDirectory 8.8に付属するPKI 3.1が必要です。

警告:デジタル署名したドキュメントを保持するには、Novell Audit(またはSentinel)を使用する必要があります。デジタル署名ドキュメントはワークフローデータと一緒にユーザアプリケーションデータベースには保管されません。ログデータベースに保管されます。これらのドキュメントを保管するには、ログを有効にする必要があります。

この項では、次のトピックについて説明します。

2.3.1 ユーザ証明書の設定

  1. iManagerを使ったユーザ証明書の作成

    1. 管理者としてログインします。

    2. [Novell Certificate Server][Create User Certificate(ユーザ証明書の作成)]を選択します。

    3. 証明書を作成するユーザを選択して、[次へ]をクリックします。

      オブジェクトセレクタまたはオブジェクト履歴を使ってユーザを選択できます。

    4. サーバを選択して、証明書のニックネームを作成します。作成方法として[カスタム]を指定して、[次へ]をクリックします。

    5. 要件に応じて、1024ビットまたは2048ビットのキーサイズを死しますキータイプを[署名]に設定します。他の設定はそのままにして、[次へ]をクリックします。

    6. デフォルトの環境設定を使用する場合、証明書パラメータはそのままにして[次へ]をクリックします。

      証明書取り消しリスト(CRL)サポートを有効にする場合は、[カスタム]を選択して[CRL signing(CRL署名)]チェックボックスを選択します。

      CRL環境設定の詳細は、Novell Certificate Serverのマニュアルを参照してください。

    7. 完了]をクリックします。

    8. ログアウトします。

  2. ユーザ証明書を、秘密鍵を含むPFXファイルとして保存します。

    1. 証明書をエクスポートするユーザとしてログインします。

    2. [Novell Certificate Access(Novell証明書アクセス)]で、[View My Certificates (自分の証明書を表示)]を選択します。

    3. 証明書を選択して、[エクスポート]ボタンをクリックします。

    4. 証明書のエクスポートウィザードで、[はい]をクリックして証明書と秘密鍵をエクスポートします。次に、[次へ]をクリックします。

    5. 秘密鍵を保護するパスワードを入力して、[次へ]をクリックします。

    6. カードリーダーがない場合は、[Export the certificate into the browser(証明書をブラウザにエクスポート)]を選択します。そうでない場合は、[Save exported certificate to a file(エクスポートしたファイルを証明書に保存)]リンクをクリックします。

      後でブラウザにインポートすることもできます。別のブラウザにインポートする場合は、[Save exported certificate to a file(エクスポートしたファイルを証明書に保存)]をクリックします。

    7. ファイルを開かないで保存する場合は、[Save to Disk(ディスクに保存)]をクリックします。

    8. 閉じる]をクリックします。

  3. スマートカードを使用している場合は、スマートカードリーダドライバをインストールしてください。

  4. 証明書情報をスマートカードに転送するために必要なソフトウェアをインストールします。たとえば、cryptovision(cv act sc/interface)が提供するスマートカードミドルウェアソフトウェアを入手したり、製品の評価版やマニュアルをダウンロードする場合は、http://www.cryptovision.com/idmdigsig.htmlを参照してください。

    メモ:cryptovisionミドルウェアソフトウェアは、バージョン3.3以上をインストールする必要があります。スマートカードに証明書情報を転送するには、管理ソフトウェアが必要です。Linux*では、cryptovisionソフトウェアはサポートされていません。

  5. スマートカードにキーペア(証明書)をインポートする

スマートカードの代わりにブラウザ証明書サポートの使用を計画している場合は、上記の手順3~5をスキップすることができます。証明書は、iManagerまたはブラウザ証明書管理ユーザインタフェースを使ってブラウザにインポートできます。cryptovisionアプレットは、Windows上で動作するInternet ExplorerとFirefox*のみをサポートしています。

2.3.2 アプリケーションサーバの環境設定

アプリケーションサーバを環境設定するには、次の手順に従ってください。

  1. JBossを利用している場合はJBOSS_HOME/server/IDM/libディレクトリに、WebSphereを利用している場合は/IBM/WebSphere/AppServer/lib/extディレクトリに、次のJARをコピーします。

    • dom.jar

    • xmldigsig.jar

    • xmlsec.jar

    dom.jarxmldsig.jar、およびxmlsec.jarは、http://java.sun.comからダウンロードできます。これらのJARは、Web Services Developer Packに同梱されています。

    cryptovisionの場合は、SafXVerifier.jarも必要です。 SafXVerifier.jarのダウンロードについては、http://www.cryptovision.com/idmdigsig.htmlを参照してください。

  2. JBossに展開するには、xmlsigner.warJBOSS_HOME/server/IDM/deployディレクトリにコピーします。

    WebSphereに展開するには、WebSphere管理コンソールを使ってxmlsigner.warを展開します。

    xmlsigner.warのダウンロードの詳細は、http://www.cryptovision.com/idmdigsig.htmlを参照してください。

  3. ルート認証局およびすべての中間証明書をエクスポートし(iManagerを使用)、それをkeytoolコマンドを使ってシステムのローカル設定に指定されているキーストアにインポートします。

    JBossの場合の例を次に示します。

    keytool -import -trustcacerts -file certFile

    certFileは、証明書ファイルへの完全修飾パスです。

    WebSphereの場合の例を次に示します。

    keytool -import -trustcacerts -file servercert.der -alias myserveralias -keystore trust.p12 -storetype PKCS12

    Novell Certificate Serverをご利用の場合は、ルート認証局をエクスポートする必要はありません。

  4. configupdateスクリプト(Windowsの場合configupdate.bat、Linux/Solarisの場合configupdate.sh)を実行して、ユーザアプリケーション環境設定ユーティリティを開始します。

  5. [詳細オプションの表示]をクリックします。

  6. [トラステッドキーストア]で、[トラステッドストアパス]に証明書ファイルのパスを入力します。[キーストアパスワード]フィールドに、自分のパスワードを入力します。デフォルトのパスワードは、「changeit」です。

    トラステッドキーストアには、有効なデジタル署名に使用するすべてのトラステッド署名者の証明書が含まれます。

    メモ:JBossの場合、Novell Certificate Serverを使用している場合は、[eDirectory証明書][キーストアパス]フィールドにある文字列(例:C:\Program Files\Java\jdk1.5.0_08\jre\lib\security\cacerts)を単にコピーして、それを[トラステッドキーストア][トラステッドキーストアパス]に貼り付けることができます。また、[キーストアパスワード]をコピーして、[トラステッドストアパスワード]フィールドに貼り付けることもできます。

    WebSphereの場合、たとえばこの文字列は、「/opt/IBM/WebSphere/AppServer/profiles/AppSrv01/ config/cells/citgoNode01Cell/nodes/MyServerNode01/trust.p12」のようになります。

  7. OCSPを使用している場合は、[その他][OCSP URI]フィールドに、OCSPのURIを入力します。この値は、信頼されている証明書のステータスをオンラインで更新する場合に使用されます。URIは、OCSP(Online Certificate Status Protocol)サーバのアクセスポイントを示します。

JBossアプリケーションサーバ設定の詳細は、メーカーが提供する次のような資料をを参照してください。

2.3.3 ログの環境設定

デジタル署名のログを有効にするには、ログプラットフォームエージェントを設定する必要があります。Novell AuditまたはSentinelにイベントをレポートするクライアントはすべて、プラットフォームエージェントが必要です。プラットフォームエージェントは、logevent環境設定ファイルで設定できます。このファイルでは、プラットフォームエージェントがNovell Auditサーバと通信するために必要な情報を設定します。

重要:デジタル署名を含むイベントを記録する場合、記録するデータを十分に処理できる値をLogMaxBigDataに指定する必要があります。

ログの環境設定の詳細は、セクション 3.0, ログのセットアップを参照してください。

2.3.4 ユーザアプリケーションの設定

ユーザアプリケーションのデジタル署名サポートを設定するには、ユーザアプリケーションの[管理]タブにある[デジタル署名サービス]ページを使用してください。詳細については、セクション 8.3, デジタル署名サービスの環境設定を参照してください。

2.3.5 プロビジョニング要求定義の環境設定

Identity ManagerのDesignerまたはiManagerを使って、プロビジョニング要求定義のデジタル署名サポートを設定することができます。デジタル署名サポートの基本要件は、Designerを使用する場合でも、iManagerを使用する場合でも同じです。

プロビジョニング要求定義でデジタル署名をサポートするように設定するには、次の事項が必要です。

  1. プロビジョニング要求を開始するためにデジタル署名が必要かどうかを指定する。

  2. ワークフロー内の各承認ステップでデジタル署名が必要かどうかを指定する。各承認ステップには複数の送信リンクがある場合もあるため、各リンクに対してデジタル署名が必要かどうかを指定する必要があります。

要求の開始または承認ステップの実行にデジタル署名が必要かどうかを指定したら、デジタル署名を必要とする各要求/承認ステップに対して次の事項を指定する必要があります。

表 2-2 デジタル署名設定

設定

説明

デジタル署名タイプ

デジタル署名がタイプとしてデータを使用するのか、またはフォームを使用するのかを指定します。

  • データ: ユーザ合意として、XML署名を使用することを示します。[データ]を選択した場合、XMLデータが監査ログに記録されます。ユーザは署名を送信する前に、XMLデータをプレビューすることができます。

  • フォーム: 生成するデジタル署名宣言を含むPDFドキュメントを使用することを示します。このドキュメントがユーザ合意として使用されます。ユーザは、要求の送信や承認前に、生成されたPDFドキュメントをプレビューできます。[フォーム]を選択した場合、PDFドキュメント(XML内にカプセル化)が監査ログに記録されます。

警告:デジタル署名したドキュメントを保持するには、Novell Audit(またはSentinel)を使用する必要があります。デジタル署名ドキュメントはワークフローデータと一緒にユーザアプリケーションデータベースには保管されません。ログデータベースに保管されます。これらのドキュメントを保管するには、ログを有効にする必要があります。

デジタル署名宣言

ユーザの署名を確認する、デジタル署名確認文字列を指定します。

Designerを使ったプロビジョニング要求定義の設定方法の詳細は、『Identity Managerユーザアプリケーション:設計ガイド』を参照してください。iManagerを使ったプロビジョニング要求定義の設定方法の詳細は、セクション 17.0, プロビジョニング要求定義の設定を参照してください。