運用構成パターン 1
すべてのケースにおけるポリシー設計段階での検証システム例
認証局構築においては証明書ポリシーの設計や他システムとの連携試験を図る際に試験的に証明書を発行するフェーズが発生します。
構築作業の負荷やマシン準備の負担を減らした必要最低限の構成を紹介します。
ポリシー設計段階での検証システムの構成は、UniCERTでは少なくとも1つの認証局(CA)とCAオペレータ(CAO)がなければ動作しません。
ですがこれらのモジュールさえあれば証明書を発行するための機能は全て揃ったことになります。
鍵ペアを格納するための専用のハードウェアは、実際の運用時にはセキュリティ上必要となりますが、 試験的な発行の際にはソフトウェア形式の格納で十分です。
CAOによるポリシー作成から証明書発行までは、他の要因で中断されることなくスムーズに行うことができます。
この環境で十分な確認を済ませた後、作成したポリシーを外部媒体(フロッピーディスク等)に保存しておくことで、 実際の環境での試験負荷を大幅に減らすことができます。
| UniCERT モジュール | 必要アプリケーション | ハードウェア構成 |
|---|---|---|
| CA | Oracle 9i/Oracle 10g | PC 1 台 |
| CAO |
※ Oracle を稼動させるだけのマシンスペックがない場合、別途 DB サーバが必要
運用構成パターン 2
特定の会社間で行う EDI 向け証明書発行システム
証明書を活用するユーザが自社の従業員だけでなく、取引先や関連会社にまで及ぶ場合、承認業務については自社内で行いますが証明書発行要求はリモートから受け付け可能にしておく必要があります。
特別なモジュールを配布することなく外部からの要求を可能にする構成を紹介します。
特定の会社間で行う EDI 向け証明書発行システムの構成では、まず、登録局(RA)を設け、 証明書発行のプロセスにオペレータの承認作業を介在させます。
また、全てのオペレータの作業にはスマートカードによる認証を必須とし、発行業務での責任所在を明確にします。
そして、認証局(CA)は鍵ペアをハードウェア(HSM)で保護し、マシン自体の設置場所を考慮します。 認証局(CA)と登録局(RA)が物理的に離れるため、データベースも分離すべきです。
外部からはブラウザによって証明書発行要求が行われ、WebRAO による承認が行われたものだけが証明書を取得することができます。
また、発行された証明書はディレクトリサーバに格納されるので、外部からの参照を可能にします。
| UniCERT モジュール | 必要アプリケーション | ハードウェア構成 |
|---|---|---|
| CA | Oracle 9i/Oracle 10g | PC 4 台 |
| CAO | (2 instances) | SmartCard Reader/Writer 3セット |
| Publisher | Web Server | Hardware Security Module 1セット |
| CSS | (Servlet Engine) | |
| RA | DirectoryServer | |
| RAX | ||
| WebRAO Servlet | ||
| WebHandler Servlet | ||
| WebRAO Client |
※ Oracle を稼動させるだけのマシンスペックがない場合、別途 DB サーバが必要
※ Directory Server のマシンは除く
※ ルート CA マシンは除く(別扱い)
※ WebRAO は、オペレータの数だけライセンスが必要になります
運用構成パターン 3
認証サービス向けシステム例
証明書発行サービスを運営する場合、ファシリティの準備とそれに応じた発行システムが必要になります。
発行枚数も規模が大きくなりますが、その発行処理能力にも気を配るべきです。 フォールトトレラントでかつハイパフォーマンスが要求される構成を紹介します。
認証サービス向けシステムを構築するためには、規模にもよりますが、 少なくとも下記のようなシステム構成が必要になります。 また、提供するサービスの内容によっていくつかの機能を付加することもできます。
ここでは、業務中断を極力避けるためのクローン構成を想定した場合を紹介いたします。 UniCERT のクローニングでは、鍵ペアとデータベースの情報を共有し特にフォールトトレラントなシステムを構築する場合、 クローンされた 認証局(CA)・登録局(RA)は別のマシンで稼動する必要があります。
これによって片方のマシンで何らかのハードウェア障害が発生したとしても、 もう片方のマシンで証明書発行業務が続行できます。 そして、復旧が済み次第システムを止めることなくクローニングシステムを再構築することができるのです。
また、サービスによっては一度に大量の証明書を発行する必要が生じてきます。 その場合には、登録業務をプログラマブルにする必要がありますが、 UniCERT ではそれらを実現するためのコンポーネントが用意されていますので柔軟な対応が可能です。
| UniCERT モジュール | 必要アプリケーション | ハードウェア構成 |
|---|---|---|
| CA | Oracle 9i/Oracle 10g | PC 1台 |
| CAO | (2 instances) | SmartCard Reader/Writer 3セット |
| Publisher X2 | Web Server | Hardware Security Module 1セット (鍵を複製できる製品であれば 2 セット用意することが望ましい) |
| CSS | (Servlet Engine) | |
| RA | DirectoryServer | |
| RAX | ||
| WebRAO Servlet | ||
| WebHandler Servlet | ||
| WebRAO Client | ||
| CA 及び RA のクローニング |
※ Directory Server のマシンは除く
※ ルート CA マシンは除く(別扱い)
※ 証明書大量発行用のマシンは除く(別扱い)
※ WebRAO は、オペレータの数だけライセンスが必要になります
※ クローニングする数にあわせたライセンスが必要になります
