シグニチャー証明書の作成とインストール
ここでは、否認防止および署名者の検証に使用されるシグニチャー証明書について説明します。
インバウンドのシグニチャー証明書
Document Manager は、文書を受信すると、参加者の署名証明書を使用して、送信者の署名を確認します。参加者は、自己署名証明書を X.509 DER 形式で管理者に送信します。管理者は、Community Console を使用して、参加者の証明書をそれぞれの参加者のプロファイルにインストールします。
証明書をインストールするには、以下の手順を実行します。
- 参加者の X.509 シグニチャー証明書を DER 形式で受信します。
- Community Console を使用して、証明書を参加者のプロファイルにインストールします。
- 「アカウント管理」>「プロファイル」>「コミュニティー参加者」をクリックして、参加者のプロファイルを検索します。
- 「証明書」をクリックします。
- 「証明書のロード」をクリックします。
- 証明書のタイプとして「デジタル署名」を選択します。
- 証明書の説明を入力します (必須)。
- 「状況」を「使用可能」に変更します。
- 「参照」をクリックし、証明書の保管先のディレクトリーに移動します。
- 証明書を選択し、「オープン」をクリックします。
- 「アップロード」をクリックし、次に「保管」をクリックします。
- 証明書がすでに CA で署名されているにもかかわらず
、CA ルート証明書や証明書チェーンに所属する証明書の中にまだハブ・オペレーター・プロファイルにインストールされていないものがあ
る場合は、ここでそれらの証明書をインストールします。
- 「アカウント管理」>「プロファイル」>「証明書」をクリックして、「証明書リスト」ページを表示します。
Community Console にハブ・オペレーターとしてログインし、証明書を自分のプロファイルにインストールしてください。
- 「証明書のロード」をクリックします。
- 「ルートおよび中間」を選択します。
- 証明書の説明を入力します (必須)。
- 「状況」を「使用可能」に変更します。
- 「参照」をクリックし、証明書の保管先のディレクトリーに移動します。
- 証明書を選択し、「オープン」をクリックします。
- 「アップロード」をクリックし、次に「保管」をクリックします。
注: CA 証明書がすでにインストールされている場合は、このステップを実行する必要がありません。
- パッケージ (最も高いレベル)、参加者、または接続レベル (最も低いレベル) で署名を使用可能にします。
この設定により、接続レベルの他の設定をオーバーライドできます。
必要な属性が欠落している場合は、接続の要約によって通知されます。
例えば、参加者接続の属性を変更するには、「アカウント管理」>「参加者の接続」をクリックし、参加者を選択します。「属性」をクリックし、属性を編集します (「AS 署名済み」など)。
アウトバウンド署名証明書
Document Manager は、参加者にアウトバウンド署名文書を送信するときにこの証明書を使用します。すべてのポートおよびプロトコルに対して同じ証明書および鍵が使用されます。
デジタル署名証明書は、複数持つことができます。そのうちの 1 つが、デフォルトで使用される 1 次証明書になります。他の 1 つは 2 次証明書となり、1 次証明書の有効期限が切れた場合や、他の理由で 1 次証明書を使用できない場合に使用されます。
自己署名証明書の使用
自己署名証明書を使用する場合は、以下の手順を実行します。
- IKEYMAN ユーティリティーを始動します。
- IKEYMAN を使用して、自己署名証明書および鍵ペアを生成します。
- IKEYMAN を使用して、ご使用の公開鍵を含む証明書をファイルに抽出します。
- 参加者に証明書を配布します。配布方法としては、証明書をパスワードで保護された ZIP ファイルにして、E メールで送信することをお勧めします。参加者は、管理者に連絡して、ZIP ファイルのパスワードを求める必要があります。
- IKEYMAN を使用して、自己署名証明書と秘密鍵のペアを PKCS12 ファイルの形式でエクスポートします。
-
Community Console を使用して、自己署名証明書と秘密鍵のペアを PKCS12 ファイルの形式でエクスポートします。
- 「アカウント管理」>「プロファイル」>「証明書」をクリックして、「証明書リスト」ページを表示します。
ハブ・オペレーターとして Community Console にログインしてください。
- 「PKCS12 のロード」をクリックします。
注:
- アップロードされる PKCS12 ファイルには、秘密鍵が 1 つだけと、それに関連する証明書が含まれている必要があります。
- 証明書と秘密鍵を DER エンコード証明書および PKCS#8
エンコード秘密鍵としてアップロードすることもできます。
- 証明書のタイプとして「デジタル署名」を選択します。
- 証明書の説明を入力します (必須)。
- 「状況」を「使用可能」に変更します。
- 「参照」をクリックし、証明書の保管先のディレクトリーに移動します。
- 証明書を選択し、「オープン」をクリックします。
- パスワードを入力します。
- デジタル署名証明書が 2 つある場合は、「証明書の使用」リスト
から「1 次」または「2 次」を選択して、証明書が 1 次証明書な
のか 2 次証明書なのかを指定します。
- 「アップロード」をクリックし、次に「保管」をクリックします。
- 参加者がもう 1 つ署名証明書を持っている場合には、ステップ 6 を繰り返します。
SSL クライアント認証とデジタル署名の両方の 1 次証明書と 2 次証明書をアップロードし、さらに 1 次証明書を 2 つの異なるエントリーとしてアップロードする場合は、対応する 2 次証明書を 2 つの異なるエントリーとしてアップロードしてください。
CA が署名した証明書の使用
CA が署名した証明書を使用する場合は、以下の手順に従います。
- IKEYMAN ユーティリティーを始動します。
- IKEYMAN を使用して、Receiver の認証要求および鍵ペアを生成します。
- CA に証明書署名要求 (CSR) をサブミットします。
- CA から署名証明書を受信したら、IKEYMAN を使用して、この署名証明書を鍵ストアに配置します。
- すべての参加者に署名 CA 証明書を配布します。
