PacketiX VPN 2.0 マニュアル 第4章 PacketiX VPN Client 2.0 マニュアル 4.6 スマートカードの使用と管理

 
< 4.5 VPN Server への接続4.7 大規模環境での管理>

4.6 スマートカードの使用と管理

PacketiX VPN Client はスマートカードによる PKI に対応しています。ここでは、PacketiX VPN Client とスマートカードを組み合わせて利用する方法について解説します。なお、スマートカード認証の概要については 「1.5.4 スマートカードへの対応」 および 「1.5.5 日本国住民基本台帳カードへの対応」 をお読みください。

 

4.6.1 スマートカードのデバイスドライバ

必要なデバイスドライバ

スマートカードまたはスマートカードと互換性のあるハードウェアセキュリティトークンデバイス (以下、まとめて「スマートカード」と表現します) を使用して PKI 機能を利用するためには、下記の 2 種類のデバイスドライバがコンピュータにインストールされている必要があります。

  • スマートカードリーダなどのハードウェアデバイスのデバイスドライバ。
  • 使用するスマートカードに対応した PKCS#11 インターフェイスを持つデバイスドライバ。

また、VPN Client をインストールしてからスマートカードリーダおよびスマートカードのドライバをインストールした場合は、一度 VPN Client サービスまたはコンピュータ自体を再起動しなければならない場合があります。

さらに、スマートカードリーダまたはスマートカードのデバイスドライバにおいて、スマートカードを使用する上で何らかの設定が必要になる場合は、事前にそれらの設定を行っておく必要があります。詳しくは、スマートカードリーダおよびスマートカードのハードウェアマニュアルをお読みください。

対応しているスマートカードの種類

PacketiX VPN Client 2.0 は PKCS#11 に対応したスマートカードを使用することができる場合があります。ただし、ソフトイーサ株式会社が正式にサポートするスマートカードの種類は 「12.2.6 対応したスマートカードおよびハードウェアセキュリティデバイスの一覧」 に掲載されている種類のもののみであり、それ以外のすべてのスマートカードが使用できることを保証するものではありません。

 

4.6.2 スマートカードの選択

使用するスマートカードの種類を選択するには、VPN クライアント接続マネージャの [スマートカード] メニューから [使用するスマートカードの選択] をクリックしてください。すると、[スマートカードの選択] ダイアログボックスが表示されます。

ここで表示されるスマートカードの種類を選択し [OK] をクリックすると、そのスマートカードを使用できるようになります。なお、ここに表示されるスマートカードすべてが PacketiX VPN Client 2.0 によって使用できるとは限りません。ソフトイーサ株式会社が正式にサポートするスマートカードの種類は 「12.2.6 対応したスマートカードおよびハードウェアセキュリティデバイスの一覧」 に掲載されている種類のもののみです。

クリックするとこの画像を拡大して表示できます。

図4-6-1 使用するスマートカードの選択画面

 

4.6.3 スマートカードオブジェクトの列挙と取得

スマートカードマネージャについて

PacketiX VPN Client は対応したスマートカードの内部のオブジェクトの一覧を列挙したり、オブジェクトを取得したり、またオブジェクトを書き込んだりすることができる「スマートカードマネージャ」機能を持っています。スマートカードマネージャを起動するには、[スマートカード] メニューから [スマートカードマネージャ] を起動してください。

スマートカードマネージャを起動すると、スマートカードにアクセスするための PIN コードを入力するための画面が表示されます。ここで PIN コードを正しく入力すると、スマートカード内のオブジェクト一覧が列挙されます。

クリックするとこの画像を拡大して表示できます。

図4-6-2 スマートカードへのアクセス中の画面

 

スマートカードマネージャを使用すると、スマートカード内に含まれている下記の種類のデータを列挙したり、取得したり、また新たに書き込んだりすることができます。

  • X.509 形式の証明書オブジェクト
  • RSA 形式の秘密鍵オブジェクト
  • 任意の形式のデータ (バイナリデータ)
クリックするとこの画像を拡大して表示できます。

図4-6-3 スマートカードマネージャ画面

 

スマートカードへのオブジェクトの書き込み

スマートカードがオブジェクトの書き込みに対応しており、新しいオブジェクトを書き込みたい場合は [カードへ書き込み] ボタンをクリックします。すると、[オブジェクトの種類の選択] ダイアログボックスが表示されます。ここで [証明書]、[秘密鍵] または [任意のデータ] を選択してから [OK] をクリックし、書き込みたいファイルを指定してください。

図4-6-4 スマートカードへのオブジェクトのインポート画面

また、書き込む際にスマートカード内に新しく作成するオブジェクト名を指定する必要があります。オブジェクト名には任意の英数字を指定することができますが、スマートカードによっては使用することができる文字に制限のあるものもあります。

クリックするとこの画像を拡大して表示できます。

図4-6-5 インポートするオブジェクトの名前の入力画面

スマートカードからのオブジェクトの読み込み

スマートカード内の証明書オブジェクトと任意の形式のバイナリデータを読み込むことができます。秘密鍵オブジェクトを読み込むことはできません。オブジェクトを読み込むにはオブジェクトを選択してから [カードから読み込み] ボタンをクリックし、名前を付けて保存してください。

新しい証明書と RSA 秘密鍵を作成してすぐにスマートカードに書き込む方法

[新しい証明書と秘密鍵を作成してカードに書き込む] ボタンをクリックすると、新しい証明書と RSA 秘密鍵を作成してすぐにスマートカードに書き込むことができます。作成する証明書の種類としては、ルート証明書または他の証明書によって署名された証明書を選択することができます。また、証明書の各種サブジェクト名もここで設定します。

クリックするとこの画像を拡大して表示できます。

図4-6-6 新規証明書と秘密鍵の生成画面

VPN サーバー管理マネージャでのスマートカードマネージャの起動

VPN サーバー管理マネージャ (詳しくは 「2.4 VPN サーバー管理マネージャ」 を参照してください) にもスマートカードマネージャが搭載されています。VPN サーバー管理マネージャでスマートカードを管理するためには、最初の画面で [スマートカードマネージャ] ボタンをクリックしてください。VPN サーバー管理マネージャに搭載されているスマートカードマネージャ機能と VPN クライアント接続マネージャに搭載されているスマートカードマネージャ機能は同等です。

 

4.6.4 スマートカードオブジェクトの削除

スマートカードがオブジェクトの削除に対応していれば、スマートカード内のオブジェクトを削除することもできます。削除したいオブジェクトを選択してから [カードから削除] をクリックしてください。なお、一度削除したオブジェクトは二度と復元できませんのでご注意ください。

 

4.6.5 PIN コードの変更

スマートカードは PIN コードによって保護されています。スマートカードの PIN コードを変更する場合は、[PIN コードの変更] ボタンをクリックしてから、現在の PIN コードと新しい PIN コードを入力します。なお、スマートカードによっては PIN コードの変更に対応していない場合もありますのでご注意ください (そのスマートカード用の専用アプリケーションを使用すると PIN コードを変更できるものもあります)。

クリックするとこの画像を拡大して表示できます。

図4-6-7 スマートカードの PIN コード変更画面

 

4.6.6 スマートカード認証時の VPN Server への接続

VPN Server への接続設定でユーザー認証の種類として [スマートカード認証] を選択した場合は、VPN Server への接続時にスマートカードを挿入して PIN コードを入力するための画面が表示されますので、PIN コードを入力してください。

クリックするとこの画像を拡大して表示できます。

図4-6-8 スマートカード使用時の PIN コード入力画面

 

4.6.7 日本国住民基本台帳カードを使用する場合の注意事項

PacketiX VPN Client では、特殊な仕様のスマートカードとして、日本国総務省が推進する「住民基本台帳カード」を使用することができるように拡張されています。住民基本台帳カードと公的個人認証サービスを組み合わせると、住民基本台帳カード内に都道府県知事が電子署名し発行した個人のための X.509 形式の証明書と RSA 秘密鍵が書き込まれます。

住民基本台帳カードは住民基本台帳ネットワークに参加している個人であれば誰でも市役所で 500 円で作成することができ、また公的個人認証サービスも 500 円で購入することができます (カード発行手数料および公的個人認証サービスの販売価格については、地方自治体によって異なる場合があります)。住民基本台帳カードは基本的な IC カードと同等の機能を有しているためセキュリティ上十分な PKI 機能を提供します。

ただし、住民基本台帳カードを使用する場合は下記のような注意事項があります。

  • 住民基本台帳カードに新しいデータを書き込んだり、既存のデータを削除したりすることはできません。
  • 住民基本台帳カードを PacketiX VPN Client と共に使用するには、住民基本台帳カード用の PKCS#11 ドライバを事前にインストールしておく必要があります。
  • 住民基本台帳カード内に登録されている「都道府県知事の証明書」は「ROOTCERT」というオブジェクト名で登録されています。
  • 住民基本台帳カード内に登録されている個人の証明書は「USERCERT」というオブジェクト名で、その証明書に対応した RSA 秘密鍵データは「USERKEY」というオブジェクト名で登録されています。

 

4.6.8 制限事項

PacketiX VPN とスマートカード機能を組み合わせて使用する際には下記のような制限事項および注意事項があります。

  • PKCS#11 に対応したすべてのスマートカードに対応している訳ではありません。対応しているスマートカードの一覧については、「12.2.6 対応したスマートカードおよびハードウェアセキュリティデバイスの一覧」 をお読みください。
  • PacketiX VPN が外部のプログラムを呼び出す場合は、ユーザーはその呼び出す先の外部のプログラムが定める別のライセンス契約の内容に従ってその外部のプログラムを使用しなければなりません。
  • スマートカードへの証明書や秘密鍵の書き込みは PacketiX VPN の持つスマートカードマネージャで行うことも可能ですが、できればスマートカードに付属しているユーティリティや市販の PKI ソフトウェアを使用されることが推奨されています。

 

 

< 4.5 VPN Server への接続4.7 大規模環境での管理>

PacketiX VPN 2.0 Manual Version 2.10.5070.01
Copyright © 2004-2005 SoftEther Corporation. All Rights Reserved.
 www.softether.com | サポート情報 | 使用条件