オープンソース

サーバー構築のデージーネットTOP > OSS情報 > 一押しOSS > OSSのプライベート認証局 OpenXPKI

OSSのプライベート認証局 OpenXPKI

OpenXPKIは、SSL/TLSの管理を行うプライベートな認証局を構築するためのソフトウェアです。
The Open XPKI Projectが開発・管理を行っており、オープンソースソフトウェアとして公開されています。また、このプロジェクトにはデージーネットも参加していて、日本語化を行っています。なお、名称のPKIは、公開鍵基盤(Public Key Infrastructure)のことです。

プライベート認証局 OpenXPKIの特徴

OpenXPKIで認証局を構築することで、次のようなことが可能になります。

  • 証明書・鍵の管理(サーバ証明書、クライアント証明書、セキュアメール証明書)
  • ユーザと認証局管理者の権限の分離
  • 認証局が発行した証明書の失効処理と証明書失効リスト(CRL)の公開
  • SCEP(Simple Certificate Enrollment Protocol)による、オンラインでの証明書の登録・取得
  • 複数の認証局の管理

SSL/TLS証明書の発行は、opensslコマンドなどを使って行うこともできます。しかし、複雑な手続きが必要で認証局の管理者がすべてを行う必要があり、とても不便です。OpenXPKIで認証局を構築することで、WEBインタフェースから証明書の管理を行うことができます。さらに、ユーザから認証局への申請と証明書の発行のような業務のためのワークフローを作成することもできます。

プライベート認証局 OpenXPKIの機能

ここでは、OpenXPKIを使って認証局を構築し、SSL/TLS証明書の管理を行う方法についてご紹介します。

認証局による証明書の発行

OpenXPKIでは、次の2つの方法で証明書の発行業務を行うことができます。

  • 認証局の管理者がCSRと証明書を作成する
  • 利用者がCSRを作成し、認証局の管理者が証明書を発行する

認証局の管理者がCSRと証明書を作成する

認証局管理者がCSRと証明書を作成するイメージ図

利用者の要求に基づいて、認証局の管理者が証明書署名要求(CSR)と証明書を作成する方法です。図のような流れでOpenXPKIを利用します。

  1. 利用者が証明書の発行の必要なシステムを利用しようとします。
  2. 証明書が必要なため、認証局の管理者に証明書発行を依頼します。
  3. 認証局の管理者は、OpenXPKIを使って証明書を発行します。
  4. 認証局の管理者が、証明書を利用者に引き渡します。
  5. 利用者は証明書を使って、システムにアクセスできるようになります。

このように認証局を構築する場合、認証局の管理者が、CSRの発行に必要な情報を利用者からヒアリングし、その情報を元に作業を行います。そのため、利用者にとってはハードルが低く、親切な対応です。ただ、認証局の管理者の業務負担が大きくなります。

利用者がCSRを作成し、認証局の管理者が証明書を発行する

認証局の管理者が証明書を発行するイメージ図

利用者がWebインタフェースから証明書署名要求(CSR)を作成し、認証局の管理者が証明書を発行する方法です。次のような流れでOpenXPKIを利用します。

  1. 利用者が証明書の発行の必要なシステムを利用しようとします。
  2. 利用者はOpenXPKIに接続して、証明書署名要求(CSR)を作成し認証局への申請処理を行います。
  3. 利用者の申請は、自動的に認証局の管理者に通知されます。
  4. 認証局の管理者はOpenXPKIを使って、CSRを承認し、証明書を発行します。
  5. 自動的に認証局が発行した証明書と鍵ファイルのURLが、利用者に届きます。
  6. 利用者は証明書と鍵ファイルをダウンロードします。
  7. 利用者は証明書を使って、システムにアクセスできるようになります。

このように認証局を構築する場合、証明書の発行に必要な情報は利用者自身が入力します。認証局の管理者が行うのは、CSRの承認と証明書の発行のみです。そのため、認証局の管理者の負担が少ない方法です。

認証局が発行した証明書の失効

証明書が保管されたPCやスマートフォンなどを利用者がなくしてしまった場合には、証明書を失効し、システムにアクセスできないようにする必要があります。そのための処理が、証明書の失効処理です。失効処理も、次のような2つの方法があります。

  • 利用者が自分で失効処理を行う
  • 利用者から連絡を受けた認証局の管理者が失効処理を行う

利用者による証明書の失効処理

認証局への利用者による証明書失効処理

図は、利用者が自分で失効処理を行う場合の処理の流れを表しています。次のような流れでOpenXPKIを利用します。

  1. 利用者がPCやスマートフォンの紛失に気づきます。
  2. 利用者がOpenXPKIに接続して、証明書の失効処理を行います。
  3. OpenXPKIが、証明書失効リスト(CRL)を更新します。
  4. ネットワーク機器がCRLに基づき認証をします。そのため、証明書が利用できなくなります。

認証局の管理者による証明書の失効処理

認証局の管理者による証明書の失効処理

図は、利用者からの連絡を受けて、認証局の管理者が失効処理を行う場合の処理の流れを表しています。次のような流れでOpenXPKIを利用します。

  1. 利用者がPCやスマートフォンの紛失に気づきます。
  2. 利用者が認証局の管理者に連絡します。
  3. 認証局の管理者はOpenXPKIから証明書の失効処理を行います。
  4. OpenXPKIが、証明書失効リスト(CRL)を更新します。
  5. ネットワーク機器がCRLに基づき認証をします。そのため、証明書が利用できなくなります。

デージーネットの認証局構築サービスとサポート

デージーネットでは、OpenXPKIを活用してプライベート証明書を発行する認証局の構築サービスを行っています。プライベート認証局を構築すると、通常のパスワードを使った認証よりも解析されにくく、セキュリティを向上することができます。OSSを組み合わせて認証局を構築するサービスのため、ユーザライセンス料をかけず、設計・構築・保守に十分な費用をかけることが可能です。

認証局の構築後はOpen Smart Assistanceにより認証局管理のサポートが受けられます。Open Smart Assistanceは継続してシステム管理者の運用をサポートするサービスで、以下のようなサポートが受けられます。

  • Q&A(インストールしたOSSやソフトウェアの利用方法に関してのご質問にお答えします。)
  • セキュリティ情報提供
  • 障害調査、障害回避
  • 障害時オンサイト対応
  • 障害時システム再構築

プライベート認証局「OpenXPKI」

OSSのプライベート認証局 OpenXPKI
OpenXPKIの特徴・機能・デージーネットが提供する認証局の構築サービスについて紹介します。
OpenXPKIへのログイン
OpenXPKIによる認証局構築後のログイン方法を紹介します。
認証局への証明書署名要求(CSR)の作成
認証局への証明書署名要求(CSR)の作成とリクエスト送信を、WEBインタフェースを使い行うことができます。
認証局の証明書発行
認証局の管理者は、証明書の発行承認をWEBインタフェースから行うことができます。
認証局が発行した証明書の検索
認証局が発行した証明書は、WEBインタフェースから簡単に検索することができます。
認証局が発行した証明書の失効
認証局が発行した証明書の失効は、WEBインタフェースから行うことができます。
OpenXPKIのインストール
認証局を構築するため、OpenXPKIをインストールする場合には、公式サイトでDebian/Ubuntu用のパッケージが配布されています。ここでは、Debian Jessieへのインストール方法を紹介します。
OpenXPKIの認証局構築 〜よくある質問〜
OpenXPKIによる認証局構築の検討時に、お客様からよくいただくご質問にお答えします。

OSSのプライベート認証局 OpenXPKIの先頭へ