English

お問い合わせ

電子認証局構築ソフトウェア UniCERT

電子認証局構築ソフトウェア UniCERT とは

世界の主要な PKI (Public Key Infrastructure:公開鍵基盤)である UniCERT は、e ビジネスに必要なセキュリティを確保します。

UniCERT は、リアルワールドのビジネスに適用されているセーフガードと同じ保護機能を電子世界にも適用する非常に重要なシステムとして、世界の主な組織や企業で使用されています。

機密性、認証、整合性、否認防止サービスを備えている UniCERT は、新しい e ビジネスの成功に欠かせません。

UniCERT は、それぞれの企業の業務内容に合った PKI を実施できるように設計されています。

UniCERT を PKI のコアシステムとして使用すると新しいアプリケーションのサポート、ユーザーの追加、パートナー企業との相互運用性の確保などの要件の変化に合わせて、PKI を展開していくことができます。

UniCERT の特長

柔軟性

UniCERT は非常に柔軟性があり、各企業や国の固有の要件を含む様々なPKIの要件に対処できるように設計されています。 以下は UniCERT の機能の一部です。

  • 登録および配信システムとして、Web、Email、対面発行、VPN など多数の異なる仕組みをサポート
  • 豊富な種類のセキュリティ・ハードウェア・モジュール、トークン、およびスマートカードをサポート
  • 様々な暗号アルゴリズムをサポート
  • 外部 LDAP ディレクトリサーバへの証明書および CRL のパブリッシングをサポート
  • CRL、OCSP、CRLDP を含む様々な廃棄方式をサポート
  • 階層構造を持つ CA、複数の RA、他の CA との相互認証などをサポートし、複合的な PKI 階層を構築することが可能
  • 承認プロセスは特に柔軟性が高く、ポリシー単位で必要な承認条件などを定義することが可能
操作性

UniCERT は、直観的な GUI を採用し、すべてのカテゴリのユーザーにとって使いやすいように設計されています。 そのため、複雑なファイル設定などに煩わされることなく、認証局の管理・運用を行うことが可能です。

したがって、各カテゴリのユーザーに必要なトレーニングは最小限に抑えられ、システム使用時に発生する問題が減少します。

CAO には PKI を一括管理するための手段が用意されており、オペレーターはそれを使用して多数のタスクを実行します。

ポリシー

UniCERT を使用すると、1 つの CA で複数の証明書ポリシーを設定、適用できます。
これらのポリシーは、SSL、S/MIME、およびユーザー定義のフォーマットなど、異なる種類の証明書フォーマットをサポートします。

ユーザー定義のエクステンションを含めて、証明書のエクステンションを設定するには、 オペレーターが優れた GUI を利用して設定を行います。

また、ポリシーにはビジネス情報を追加することもできます。
この情報は、証明書には記述されませんが、登録時に取得されて安全に格納されます。個々の登録エンティティがどのポリシーを使用できるかは、すべてセキュリティオフィサーが制御します。

拡張性

UniCERT は、CA、RA、およびデータベースを1台のコンピュータで実行する小規模な構成から、 非常に大規模なインストールまで拡張できるように設計されています。

大規模な実装では、ルート CA の下位に複数の CA があり、それぞれ数人のオペレータがいます。
UniCERT を中心にして PKI を構築すると、時間の経過に伴うシステム拡張も容易です。

CA、RA、CAO、RAO を追加するときに、システムのどの部分も停止する必要はありません。
そのため、組織が拡大した場合や PKI 要件が変化した場合は、関連する UniCERT コンポーネントを追加して、簡単に対応できます。

UniCERT は、数百万件の証明書を処理するように設計されています。

オープン性

PKI で様々なアプリケーションを実行し、ビジネスパートナーと相互運用するには、 ディレクトリ、Email、Web ブラウザ、VPN、ほかの CA、 PKI 対応アプリケーションなどの幅広いプロダクトとの相互運用性を確保する必要があります。

米国サイバートラスト社は、PKI 分野において規格に準拠し、規格に貢献し、規格を実装することに努力しています。 また、サードパーティプロダクトに対する広範で継続的なサポートと相互運用性の確保につとめています。

この目的のため、UniCERT は最も重要な X.509 などのオープンスタンダードの実装に基づいており、様々なサードパーティプロダクトとの相互運用性に優れています。

セキュリティ

UniCERT は、総合的な内部設計の特長によって、機密性、安全性、および可用性が確保されています。 また、スマートカードや HSM のサポート、通信での署名付メッセージの使用、 データベースと監査ログのデータへの署名によって、システムのセキュリティが確保されています。

UniCERT Core Technology

UniCERT のアーキテクチャは、ビジネスの内容を最大限に活かした上で、柔軟なセキュリティソリューションを実現し、 組織が展開するビジネスの補完を目指して設計されています。
PKI(Public Key Infrastructure:公開鍵基盤)システムの中核を担う UniCERT は、新しいアプリケーションの統合、 新規ユーザーの追加、サードベンダーとの相互運用性の確保、組織構造の変更など、 絶え間なく変わる組織の環境に合わせて容易に展開させることができます。

UniCERT 主要コンポーネント

CA ( Certification Authority )

CA モジュールは PKI の中核となるもので、インフラストラクチャ内での信頼は、全て CA の署名によって確立されます。 CA は、CAO ( Certification Authority Operator ) が設定する独自の柔軟なポリシーに従って動作します。

CAO ( Certification Authority Operator )

CAO モジュールは、PKI のセキュリティ・オフィサーです。 CAO は全ての管理機能をコントロールし、他の UniCERT モジュールやオペレーターの権限を定義します。 分散管理が必要な場合、権限が制限された複数の CAO を使用することも可能です。

RA ( Registration Authority )

RA モジュールは証明書発行リクエストをプールし、承認を受けるまでそれを保存します。 また、CA が発行した後、証明書を各オペレータが取得するまで保存しています。RA は、CAO が管理している独自の運用ポリシーに従って動作します。

RAX ( Registration Authority eXchange )

RAX モジュールは各リモートからの登録業務をコントロールし、プロトコル変換処理とフィルタリングの役目を果たします。

WebRAO ( Web Registration Authority Operator )

WebRAO クライアントモジュールを使用すれば、オペレータが Web ブラウザを使用した証明書リクエストの承認作業を行うことができます。 WebRAO は SSL を使用して、UniCERT モジュールとインターネット上で安全に通信できます。

CSS ( Certificate Status Server )

CSS は、発行された証明書のステータス情報を提供する機能を持っています。 また、各 UniCERT モジュール同士がお互いの証明書の有効性を確認するために、OCSP レスポンダとしての役目を果たしています。

Publisher

Publisher は、企業やコマーシャル CA が抱える複雑で多様な証明書パブリッシングの要求に対応するべくデザインされています。
Microsoft Active Directory の完全サポートをはじめ、ディレクトリ機能と柔軟性を備えています。 Publisher は他の全ての UniCERT モジュールと同様に、使いやすい GUI で設定や管理が簡単に行えるようにデザインされています。

PH ( Protocol Handlers )

PH は WebHandler、eMail Handler、SCEP Handler、CMP Handler という 4 つの独立したモジュールで構成されています。 この 4 つのモジュールはそれぞれが受け持つプロトコルのリモートリクエストを受け取り、 それに対する証明書と情報メッセージを返します。

Utilities

Utilities は Token Manager、KeyGeneration、Database Wizard、Service Manager という 4 つの独立した機能をもつアプリケーションの総称です。 これら 4 つのアプリケーションは PKI システムの構築を簡単でスムースに実行できるようデザインされ、 UniCERT の構築・運用時に補助的な役割を果たします。

証明書

UniCERT が対応する公開鍵アルゴリズムおよびハッシュアルゴリズム
公開鍵 ・RSA (512~8192bit)
・DSA
・ECDSA (お問い合わせください)
ハッシュ ・SHA-1
・SHA-224
・SHA-256
・SHA-384
・SHA-512
・MD5
・MD2
UniCERT で使用可能な証明書エクステンション
  • Authority Key Identifier
  • Subject Key Identifier
  • Key Usage
  • Extended Key Usage
  • Private Key Usage Period
  • Certificate Policies
  • Policy Mapping
  • Subject Alternative Name
  • Issueer Alternative Name
  • Subject Directory Attributes
  • Basic Constraints
  • Name Constraints
  • Policy Constraints
  • CRL Distribution Points
  • Authority Information Access
  • Qualified Certificate Statements

運用構成パターン

UniCERT は、各機能がコンポーネント化されたスケーラビリティの高い PKI 製品です。
認証局(CA)と登録局(RA)が設計上において完全に独立して稼動することはもちろん、 お客様のビジネスニーズに合わせて様々な運用形態を実現することが可能です。

また、ただ単に構成を組むことができるだけでは最も重要な要素であるセキュリティの面で問題が生じてしまいます。

その点 UniCERT では全てのサーバモジュール及び全ての専用オペレータは互いに認証し合い、 また一般ユーザからの発行要求でさえもアクセスコントロールをすることが可能になっています。

ここではいくつかの構成例をあげることで UniCERT が持つ無限の可能性の一部を紹介いたします。