II-19-5. CA局の運用

CA局の運用環境やCA局の運用に必要な事項について解説する。また電子証明書の発行許可を与えるRegistration Authority (RA局、登録局)や、電子署名の有効性を確認するValidation Authority (VA局、検証局)、実際に電子証明書の発行を行うIssuing Authority (IA局、発行局)といった違いを説明する。

【学習の要点】

* CA局の運用は、認証局運用規定(CPS: Certificate Practice Statements)として策定される。CPSには、CA局の運用に関わる情報や証明書のライフサイクル等の規定が必要である。

* RA局が発行許可を与えた電子証明書の発行はIA局が行う。VA局はその有効性を保証する。

* 信頼性の担保という観点から、CAによって発行された公開鍵証明書にはライフサイクルという考え方をすることが重要である。ライフサイクルには証明書の発行からはじまり、失効、そして再発行に至るまでの証明書の各状態とCA局の関わりが決められなければならない。

図II-19-5. 公開鍵のライフサイクル

 

【解説】

1) CA局の運用
CA局の運用は、認証局運用規定(CPS: Certificate Practice Statements)として策定され、CA運用の信頼性を高めるために利用される。CPSには以下の項目が必要である。

* CA局の義務と責務、資産の責任、解釈と実行、料金、公開とリポジトリ、準拠するべき監査、機密に関するポリシー、知的財産権に関する情報。

* CAやRAに関して適用される認証手順要件。

* CA, CA証明書、RA、利用者に関する運用要件。

* 物理的な手続き、スタッフのセキュリティに関しての制御要件。

* CA局の暗号鍵、リポジトリに関する保護要件。

* 証明書とCRLのフォーマット要件。

* CPS自体の仕様書の管理要件。

2) RA局、VA局、IA局

* RA局は、申請に基づき電子証明書の発行許可を与える。

* VA局は、CA局とは別に電子証明書の有効性を保証する役割を担う。

* IA局は、RA局の許可に基づき電子証明書を発行する。

* 独自の基準で電子証明書を発行したい組織向けに各局の運営を支援するサービスが多くのベンダから提供されている。

3) 公開鍵証明書のライフサイクル
信頼性の担保という観点から、CA局によって発行された証明書にはライフサイクルという考え方をすることが重要である。

* 鍵ペア生成:公開鍵と秘密鍵のペアの生成。利用者であるエンドエンティティで行う場合もある。

* 証明書発行:RA局の審査後に行う。有効期限を含める。

* 証明書配付:安全な手段で証明書を配布する。

* 証明書開示:リポジトリへ利用者の証明書を開示する。

* 証明書活性化:利用者により証明書を活性化する。配布時点で活性化する運用もある。

* 証明書利用

* 証明書失効:秘密鍵の信頼性の喪失、CA秘密鍵の信頼性の喪失等により、有効期限前に証明書を失効させること。

* 有効期限切れ:証明書に記述された有効期限を超過すると証明書は失効する。

* 再発行・更新:失効した証明書を新たに発行すること。有効期限切れの場合は鍵はそのままで、期限だけを書き換えて更新する場合もある。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。