Red Hat Summit5.4. スマートカードの管理
Manage Smart Cards ページを使用すると、トークンに保存されている暗号鍵のいずれかに適用できる多くの操作を実行できます。
このページを使用してトークンのフォーマットし、カードのパスワードの設定およびリセットして、カード情報の表示を行うことができます。その他 2 つの操作 (トークンの登録および診断ログの表示) は、Manage Smart Cards ページからもアクセスできます。これらの操作は他のセクションで扱われます。
図5.1 Manage Smart Cards ページ
5.4.1. スマートカードのフォーマット
スマートカードをフォーマットすると、初期化されていない状態にリセットされます。これにより、以前に生成されたユーザー鍵のペアがすべて削除され、登録中にスマートカードに設定されたパスワードが消去されます。
TPS サーバーは、新しいバージョンのアプレット鍵と対称キーをカードにロードするように設定できます。TPS は、Red Hat Enterprise Linux 6 に同梱される CoolKey アプレットをサポートします。
スマートカードのフォーマット:
- 対応しているスマートカードをコンピューターに挿入します。カードが Active Smart Cards テーブルに表示されることを確認します。
- Manage Smart Cards 画面の Smart Card Functions セクションで、 をクリックします。
- TPS がユーザー認証用に設定されている場合は、認証ダイアログにユーザー認証情報を入力して、 をクリックします。
- フォーマット処理中に、カードのステータスが BUSY に変更され、進捗バーが表示されます。フォーマットプロセスが完了すると、成功メッセージが表示されます。 をクリックしてメッセージボックスを閉じます。
- フォーマットプロセスが完了すると、Active Smart Cards の表に、UNINITIALIZED というカードステータスが表示されます。
5.4.2. スマートカードパスワードのリセット
- 対応しているスマートカードをコンピューターに挿入します。カードが Active Smart Cards テーブルに表示されることを確認します。
- Manage Smart Cards 画面の Smart Card Functions セクションで、 をクリックして、Password ダイアログを表示します。
- Enter new password フィールドに新しいスマートカードパスワードを入力します。
- Re-Enter password フィールドで新しいスマートカードパスワードを確認して、 をクリックします。
- TPS がユーザー認証用に設定されている場合は、認証ダイアログにユーザー認証情報を入力して、 をクリックします。
- パスワードのリセットが終了するのを待ちます。
5.4.3. 証明書の更新
Smart Card Manager は、保存した鍵や証明書など、選択したスマートカードの基本情報を表示できます。証明書情報を表示するには、以下を実行します。
- 対応しているスマートカードをコンピューターに挿入します。カードが Active Smart Cards テーブルに表示されることを確認します。
- 一覧からカードを選択し、 をクリックします。
これにより、シリアル番号、証明書のニックネーム、および有効日など、カードに保存されている証明書の基本情報を表示します。 - 証明書に関する詳細情報を表示するには、一覧から証明書を選択して をクリックします。
5.4.4. CA 証明書のインポート
XULRunner Gecko エンジンは、ブラウザーまたは Enterprise Security Client のようにクライアントが表示する SSL ベースの URL に対する文字列制御を実装します。(XULRunner フレームワーク経由の Enterprise Security Client が URL を信頼しない場合、その URL はアクセスできません。
SSL ベースの URL を信頼する 1 つの方法として、サイトの証明書を発行した CA の CA 証明書チェーンをインポートおよび信頼する方法があります。(もう 1 つは、「サーバーの例外の追加」 にあるように、そのサイトに信頼セキュリティー例外を作成することです。)
スマートカードの証明書を発行する CA は、Enterprise Security Client アプリケーションによって信頼される必要があります。つまり、その CA 証明書を Enterprise Security Client にインポートする必要があります。
- Web ブラウザーで CA のエンドユーザーページを開きます。
http
s://server.example.com:9444/ca/ee/ca/ - 上部の Retrieval タブをクリックします。
- 左側のメニューで Import CA Certificate Chain リンクをクリックします。
- チェーンをファイルとしてダウンロードするにはラジオボタンを選択し、ダウンロードしたファイルの場所と名前を書き留めます。
- スマートカードマネージャー GUI を開きます。
- ボタンをクリックします。
- 認証 タブをクリックします。
- インポート をクリックします。
- CA 証明書チェーンファイルを参照し、これを選択します。
- プロンプトが表示されたら、CA を信頼することを確認します。
5.4.5. サーバーの例外の追加
XULRunner Gecko エンジンは、ブラウザーまたは Enterprise Security Client のようにクライアントが表示する SSL ベースの URL に対する文字列制御を実装します。(XULRunner フレームワーク経由の Enterprise Security Client が URL を信頼しない場合、その URL はアクセスできません。
SSL ベースの URL を信頼する 1 つの方法として、サイトの証明書をインポートして、Enterprise Security Client がそれを認識するよう強制するサイトに信頼 セキュリティー例外 を作成するものがあります。(他に、「CA 証明書のインポート」 にあるように、サイトの CA 証明書チェーンをインポートし、自動的に信頼するオプションがあります。)
スマートカードは、特別なセキュリティー例外を必要とする SSL 経由でサービスまたは Web サイトにアクセスするために使用できます。このような例外は、Mozilla Firefox などのブラウザーで Web サイトに例外を設定するのと同様に、Enterprise Security Client で設定できます。
- Smart Card Manager UI を開きます。
- ボタンをクリックします。
- Servers タブをクリックします。
- Add Exception をクリックします。
- スマートカードがアクセスに使用されるサイトまたはサービスの URL (ポート番号) を入力します。次に、 ボタンをクリックして、サイトのサーバー証明書をダウンロードします。
- をクリックして、許可されたサイトの一覧にサイトを追加します。
5.4.6. スマートカードの登録
ほとんどのスマートカードは、「スマートカードの自動登録」 に説明されている自動登録手順を使用して自動的に登録されます。Manage Smart Cards 機能を使用して、スマートカードを手動で登録することもできます。
ユーザーキーペアでトークンを登録する場合、トークンは SSL クライアント認証や S/MIME などの証明書ベースの操作に使用できます。
注記
TPS サーバーは、トークンが失われた場合のリカバリーのために、サーバー上でユーザーキーペアを生成し、DRM サブシステムでアーカイブするように設定できます。
スマートカードを手動で登録するには、以下を実行します。
- 対応している未登録のスマートカードをコンピューターに挿入します。カードが Active Smart Cards テーブルに表示されることを確認します。
- をクリックして、Password ダイアログを表示します。
- Enter a password フィールドに新しいキーパスワードを入力します。Re-Enter a password フィールドで新規パスワードを確認します。
- をクリックして登録を開始します。
- TPS がユーザー認証用に設定されている場合は、認証ダイアログにユーザー認証情報を入力して、 をクリックします。
- TPS がキーを DRM にアーカイブするように設定されている場合、登録プロセスでキーの生成およびアーカイブが開始されます。
登録が完了すると、スマートカードのステータスが ENROLLED として表示されます。
