プライベート認証局の構築「OpenXPKI」のよくある質問

このページでは、OpenXPKIによる認証局構築時に、お客様からよくいただくご質問にお答えしていきます。
デージーネットでは、OpenXPKIを使った認証局の構築サービスを行っています。また、OpenXPKIをより安全で便利に利用いただくため、導入後支援も行っています。

OpenXPKIのよくある質問

QPKIとは？

PKIとは公開鍵基盤（Public Key Infrastructure）という、インターネット上で安全に情報の通信を行うセキュリティ基盤です。PKIでは公開鍵に電子署名を付与することで、公開鍵が正当なものかどうかチェックします。そのため、PKIを利用することで、なりすまし・盗聴・改ざんといったリスクに対応することができます。

QPKIにはどのような要素がありますか？

PKIには、以下の構成要素があります。

認証局
認証局は、PKIにおいて重要な役割を持っています。認証局には、証明書の発行、鍵管理の機能があります。
証明書
PKIにおける証明書は、暗号通信に利用する電子証明書です。証明書は認証局によって発行されます。
リポジトリ
証明書やCRL（証明書失効リスト）が格納されます。

QPKIを専用ソフトウェアで構築するメリットは何ですか？

PKIは、opensslコマンドで構築できます。しかし、opensslコマンドでのPKI構築は難易度が高く、PKIが発行した証明書の管理も煩雑です。PKIの専用ソフトウェアには、証明書の管理を行う機構が備わっています。そのため、PKIの専用ソフトウェアを利用することで、管理の手間を軽減することが可能になります。

Q証明書の一括登録はできますか？

OpenXPKIは、証明書署名要求の一括処理を行うことができます。

Q証明書情報を一括して出力することはできますか？

管理している証明書の情報は、CSV形式で外部出力することができます。

Q管理者が証明書の発行した時に、ユーザに通知することはできますか？

OpenXPKIでは、CSRの発行時などに登録者のメールアドレスを入力します。証明書が発行された場合に、そのメールアドレスに対してメールで通知する機能があります。この機能を有効にしておくことで、ユーザに通知を送ることができます。

QCentOSやRedHat Enterprise Linuxにもインストールできますか？

OpenXPKIは、Perlで開発されています。そのため、Ubuntu/Debianに付属しているPerlモジュールを利用します。そのため、OpenXPKIをそのままRedhat Enterprise LinuxやCentOSにインストールし認証局を構築しようとしても、上手く動作しません。デージーネットでは、CentOS上で利用したい場合は、Ubuntu/Debianのコンテナを作って管理することを推奨しています。

Q構築やサポートを受けることはできますか？

デージーネットでは、OpenXPKIを使った認証局の構築サービスを行っています。また、RADIUSサーバ（FreeRADIUS）と連携してEAP-TLSの認証サーバを構築することもできます。構築したサーバについては、導入後もOpen Smart Assistanceサービスで保守・サポートを受けることができます。なお、OpenXPKIについては正式なサポートサービスは行っていません。障害が発生した場合には、デージーネット内で調査を行い、コミュニティに連絡を行うなどの方法で、障害対応サービスを受けることができます。

デモのお申込み

もっと使い方が知りたい方へ
OpenXPKIの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。OpenXPKIのデモをご希望の方は、下記よりお申込みいただけます。

デモの申し込みイメージ

一押しOSS【OpenXPKI】

プライベート認証局 〜OpenXPKI〜: OpenXPKIの特徴・機能・デージーネットが提供する認証局の構築サービスについて紹介します。

OpenXPKIのログイン: OpenXPKIによる認証局構築後のログイン方法を紹介します。

クライアント証明書・サーバ証明書のCSR作成: 認証局への証明書署名要求(CSR)の作成とリクエスト送信を、WEBインタフェースを使い行うことができます。

認証局でのクライアント証明書・サーバ証明書発行: 認証局の管理者は、証明書の発行承認をWEBインタフェースから行うことができます。

認証局の証明書検索: 認証局が発行した証明書は、WEBインタフェースから簡単に検索することができます。

認証局の証明書失効: 認証局が発行した証明書の失効は、WEBインタフェースから行うことができます。

OpenXPKIのインストール: 認証局を構築するため、OpenXPKIをインストールする場合には、公式サイトでDebian/Ubuntu用のパッケージが配布されています。ここでは、Debian Jessieへのインストール方法を紹介します。

OpenXPKI手順書: ここではOpenXPKI Web UIの管理画面を使用したOpenXPKIサーバの操作手順についてのマニュアルについて紹介します。

プライベート認証局(CA)の構築「OpenXPKI」のよくある質問: OpenXPKIによる認証局構築の検討時に、お客様からよくいただくご質問にお答えします。

OCSPレスポンダ〜OpenCA OCSPD〜: OCSPとは、公開鍵証明書の失効状態を取得するための通信プロトコルです。OCSPを実装するための通信プロトコルです。OCSPを実装するためのOCSPレスポンダであるOpenCA OCSPDについて紹介します。