本セクションでは、KRA 向けに特別に適用されるデフォルトのアクセス制御設定を説明します。KRA ACL 設定には、
「共通 ACL」 に記載の共通 ACL がすべて含まれています。
KRA の各インターフェイス (管理コンソール、エージェント、およびエンドエンティティーサービスページ) と、キーの一覧表示やダウンロードなどの一般的な操作に対して、アクセス制御ルールが設定されています。
D.4.1. certServer.job.configuration
KRA のジョブを設定できるユーザーを制御します。
allow (read) group="Administrators" || group="Key Recovery Authority Agents" || group="Auditors";allow (modify) group="Administrators"
表D.43 certServer.job.configuration ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| read | 基本的なジョブ設定、ジョブインスタンス設定、ジョブプラグイン設定を表示します。ジョブプラグインおよびジョブインスタンスを一覧表示します。 | 許可 |
|
| modify | ジョブプラグインおよびジョブインスタンスを追加および削除します。ジョブプラグインとジョブインスタンスを変更します。 | 許可 | 管理者 |
D.4.2. certServer.kra.certificate.transport
KRA のトランスポート証明書を表示できるユーザーを制御します。
allow (read) user="anybody"
表D.44 certServer.kra.certificate.transport ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| read | KRA インスタンスのトランスポート証明書を表示します。 | 許可 | 全ユーザー |
D.4.3. certServer.kra.configuration
KRA の設定を設定および管理するユーザーを制御します。
allow (read) group="Administrators" || group="Auditors" || group="Key Recovery Authority Agents" || allow (modify) group="Administrators"
表D.45 certServer.kra.configuration ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| read | 必要なリカバリーエージェントの承認の数を確認します。 | 許可 |
|
| modify | 必要なリカバリーエージェントの承認の数を変更します。 | 許可 | 管理者 |
D.4.4. certServer.kra.connector
KRA に接続するために CA に設定された特別なコネクターで要求を送信できるエンティティーを制御します。デフォルト設定は以下のようになります。
allow (submit) group="Trusted Managers"
表D.46 certServer.kra.connector ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| submit | 新しい鍵のアーカイブ要求を送信します (TMS 以外)。 | 許可 | 信頼できるマネージャー |
D.4.5. certServer.kra.GenerateKeyPair
KRA にキーリカバリー要求を送信できるユーザーを制御します。デフォルト設定は以下のようになります。
allow (execute) group="Key Recovery Authority Agents"
表D.47 certServer.kra.GenerateKeyPair ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| 実行 | サーバー側のキー生成 (TMS のみ) を実行します。 | 許可 | KRA エージェント |
D.4.6. certServer.kra.getTransportCert
KRA にキーリカバリー要求を送信できるユーザーを制御します。デフォルト設定は以下のようになります。
allow (download) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
表D.48 certServer.kra.getTransportCert ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| download | KRA トランスポート証明書を取得します。 | 許可 | エンタープライズ管理者 |
D.4.7. certServer.kra.group
KRA インスタンスのユーザーおよびグループを追加するために内部データベースへのアクセスを制御します。
allow (modify,read) group="Administrators"
表D.49 certServer.kra.group ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| modify | インスタンスのユーザーおよびグループエントリーを作成、編集、削除します。 | 許可 | 管理者 |
| read | インスタンスのユーザーおよびグループエントリーを表示します。 | 許可 |
|
D.4.8. certServer.kra.key
鍵の表示、リカバリー、またはダウンロードを使用して鍵情報にアクセスできるユーザーを制御します。デフォルト設定は以下のようになります。
allow (read,recover,download) group="Key Recovery Authority Agents"
表D.50 certServer.kra.key ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| read | 重要なアーカイブ記録に関する公開情報を表示します。 | 許可 | KRA エージェント |
| recover | データベースからキー情報を取得してリカバリー操作を実行します。 | 許可 | KRA エージェント |
| download | エージェントサービスページからキー情報をダウンロードします。 | 許可 | KRA エージェント |
D.4.9. certServer.kra.keys
エージェントサービスページからアーカイブされた鍵を一覧表示できるユーザーを制御します。
allow (list) group="Key Recovery Authority Agents"
表D.51 certServer.kra.keys ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| list | アーカイブされた鍵の範囲を検索し、一覧表示します。 | 許可 | KRA エージェント |
D.4.10. certServer.kra.registerUser
インスタンス用にエージェントユーザーを作成できるグループまたはユーザーを定義します。デフォルト設定は以下のようになります。
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"
表D.52 certServer.kra.registerUser ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| modify | 新規ユーザーを登録します。 | 許可 | エンタープライズ管理者 |
| read | 既存のユーザー情報を読み込みます。 | 許可 | エンタープライズ管理者 |
D.4.11. certServer.kra.request
エージェントサービスインターフェイスでキーのアーカイブとリカバリー要求を表示できるユーザーを制御します。
allow (read) group="Key Recovery Authority Agents"
表D.53 certServer.kra.request ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| read | 鍵のアーカイブまたはリカバリー要求を表示します。 | 許可 | KRA エージェント |
D.4.12. certServer.kra.request.status
エンドエンティティーページでキーリカバリー要求のステータスを表示できるユーザーを制御します。
allow (read) group="Key Recovery Authority Agents"
表D.54 certServer.kra.request.status ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| read | エージェントサービスページでキーリカバリー要求のステータスを取得します。 | 許可 | KRA エージェント |
D.4.13. certServer.kra.requests
エージェントサービスインターフェイスでキーのアーカイブとリカバリー要求を一覧表示できるユーザーを制御します。
allow (list) group="Key Recovery Authority Agents"
表D.55 certServer.kra.requests ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| list | キーアーカイブおよびリカバリー要求の範囲の詳細を取得します。 | 許可 | KRA エージェント |
D.4.14. certServer.kra.systemstatus
KRA インスタンスの統計を表示できるユーザーを制御します。
allow (read) group="Key Recovery Authority Agents"
表D.56 certServer.kra.systemstatus ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| read | 統計を表示します。 | 許可 | KRA エージェント |
D.4.15. certServer.kra.TokenKeyRecovery
トークンのキーリカバリー要求を KRA に送信するユーザーを制御します。これは、失われたトークンを置き換えるための一般的なリクエストです。デフォルト設定は以下のようになります。
allow (submit) group="Key Recovery Authority Agents"
表D.57 certServer.kra.TokenKeyRecovery ACL の概要| 操作 | 説明 | アクセスの許可または拒否 | 対象のユーザーまたはグループ |
|---|
| submit | トークンリカバリーのキーリカバリー要求を送信または開始します。 | 許可 | KRA エージェント |
