D.3. 証明書マネージャー固有の ACL

本セクションでは、Certificate Manager 用に特別に設定されたデフォルトのアクセス制御設定属性を説明します。CA ACL 設定には、「共通 ACL」 に記載の共通 ACL がすべて含まれています。
CA の各インターフェイス (管理コンソール、エージェント、およびエンドエンティティーサービスページ) と、証明書の一覧表示やダウンロードなどの一般的な操作に対して、アクセス制御ルールが設定されています。

D.3.1. certServer.admin.ocsp

Certificate Manager の OCSP 設定へのアクセスを、エンタープライズ OCSP 管理者グループのメンバーに制限します。
allow (modify,read) group="Enterprise OCSP Administrators"

表D.13 certServer.admin.ocsp ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
modify OCSP 設定、OCSP ストア設定、およびデフォルトの OCSP ストアを変更します。 許可 エンタープライズ OCSP 管理者
read OCSP 設定を読み取ります。 許可 エンタープライズ OCSP 管理者

D.3.2. certServer.ca.certificate

証明書のインポートや取り消しなど、エージェントサービスインターフェイスでの証明書の基本的な管理操作を制御します。デフォルト設定は以下のようになります。
allow (import,unrevoke,revoke,read) group="Certificate Manager Agents"

表D.14 certServer.ca.certificate ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
import シリアル番号で証明書を取得します。 許可 Certificate Manager Agent
unrevoke 証明書のステータスを失効から変更します。 許可 Certificate Manager Agent
revoke 証明書のステータスを失効に変更します。 許可 Certificate Manager Agent
read リクエスト ID に基づいて証明書を取得し、リクエスト ID またはシリアル番号に基づいて証明書の詳細を表示します。 許可 Certificate Manager Agent

D.3.3. certServer.ca.certificates

エージェントサービスインターフェイスを介して証明書の一覧表示または取り消しを行う操作を制御します。デフォルト設定は以下のようになります。
allow (revoke,list) group="Certificate Manager Agents"|| group="Registration Manager Agents"

表D.15 certServer.ca.certificates ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
revoke 証明書を取り消すか、または証明書失効リスト要求を承認します。TPS から証明書を取り消します。失効要求に関する追加データのプロンプトを表示します。 許可
Certificate Manager Agent
登録マネージャーエージェント
list 検索に基づいて証明書を一覧表示します。シリアル番号の範囲に基づいて証明書の範囲の詳細を取得します。 許可
Certificate Manager Agent
登録マネージャーエージェント

D.3.4. certServer.ca.configuration

Certificate Manager の一般的な設定での操作を制御します。デフォルト設定は以下のようになります。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"

表D.16 certServer.ca.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read CRL プラグイン情報、一般的な CA 設定、CA コネクター設定、CRL 発行ポイント設定、CRL プロファイル設定、要求通知設定、失効通知設定、キュー内要求通知設定、および CRL 拡張設定を表示します。CRL 拡張設定および CRL 発行ポイント設定を一覧表示します。 許可
管理者
エージェント
監査者
modify CRL 発行ポイントを追加し、削除します。一般的な CA 設定、CA コネクター設定、CRL 発行ポイント設定、CRL 設定、要求通知設定、失効通知設定、キュー内要求通知設定、および CRL 拡張設定を変更します。 許可 管理者

D.3.5. certServer.ca.connector

特別なコネクターを CA に送信する操作を制御します。デフォルト設定は以下のようになります。
allow (submit) group="Trusted Managers"

表D.17 certServer.ca.connector ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
submit リモート信頼できるマネージャーからのリクエストを送信します。 許可 信頼できるマネージャー

D.3.6. certServer.ca.connectorInfo

コネクター情報へのアクセスを制御して、CA と KRA と間の信頼できる関係を管理します。これらの信頼関係は、CA と KRA が自動的に接続して、主要なアーカイブおよび復元操作を実行できるようにする特別な設定です。これらの信頼関係は、特別なコネクタープラグインを使用して設定されます。
allow (read) group="Enterprise KRA Administrators";allow (modify) group="Enterprise KRA Administrators" || group="Subsystem Group"

表D.18 certServer.ca.connectorInfo ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read コネクタープラグイン設定を読み取ります。 許可 エンタープライズ KRA 管理者
modify コネクタープラグイン設定を変更します。 許可
エンタープライズ KRA 管理者
サブシステムグループ

D.3.7. certServer.ca.crl

エージェントサービスインターフェイスを介して CRL の読み取りまたは更新へのアクセスを制御します。デフォルト設定は次のとおりです。
allow (read,update) group="Certificate Manager Agents"

表D.19 certServer.ca.crl ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read CRL を表示し、CA CRL 処理に関する詳細情報を取得します。 許可 Certificate Manager Agent
update CRL を更新します。 許可 Certificate Manager Agent

D.3.8. certServer.ca.directory

証明書および CRL の公開に使用される LDAP ディレクトリーへのアクセスを制御します。
allow (update) group="Certificate Manager Agents"

表D.20 certServer.ca.directory ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
update CA 証明書、CRL、およびユーザー証明書を LDAP ディレクトリーに公開します。 許可 Certificate Manager Agent

D.3.9. certServer.ca.group

Certificate Manager インスタンスのユーザーおよびグループを追加するために内部データベースへのアクセスを制御します。
allow (modify,read) group="Administrators"

表D.21 certServer.ca.group ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
modify インスタンスのユーザーおよびグループエントリーを作成、編集、削除します。属性内でユーザー証明書の追加または変更 許可 管理者
read インスタンスのユーザーおよびグループエントリーを表示します。 許可 管理者

D.3.10. certServer.ca.ocsp

エージェントサービスインターフェイスを介して、使用統計などの OCSP 情報にアクセスして読み取る機能を制御します。
allow (read) group="Certificate Manager Agents"

表D.22 certServer.ca.ocsp ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read OCSP 使用状況の統計を取得します。 許可 Certificate Manager Agent

D.3.11. certServer.ca.profile

エージェントサービスページで証明書プロファイル設定へのアクセスを制御します。
allow (read,approve) group="Certificate Manager Agents"

表D.23 certServer.ca.profile ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 証明書プロファイルの詳細を表示します。 許可 Certificate Manager Agent
approve 証明書プロファイルを承認し、有効にします。 許可 Certificate Manager Agent

D.3.12. certServer.ca.profiles

エージェントサービスインターフェイスで証明書プロファイルを一覧表示するアクセスを制御します。
allow (list) group="Certificate Manager Agents"

表D.24 certServer.ca.profiles ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
list 証明書プロファイルの一覧表示。 許可 Certificate Manager Agent

D.3.13. certServer.ca.registerUser

インスタンス用にエージェントユーザーを作成できるグループまたはユーザーを定義します。デフォルト設定は以下のようになります。
allow (modify,read) group="Enterprise CA Administrators" || group="Enterprise KRA Administrators" || group="Enterprise OCSP Administrators" || group="Enterprise TKS Administrators" || group="Enterprise TPS Administrators"

表D.25 certServer.ca.registerUser ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
modify 新しいエージェントを登録します。 許可 エンタープライズ管理者
read 既存のエージェント情報を読み取ります。 許可 エンタープライズ管理者

D.3.14. certServer.ca.request.enrollment

登録リクエストの処理方法および割り当て方法を制御します。デフォルト設定は次のとおりです。
allow (submit) user="anybody";allow (read,execute,assign,unassign) group="Certificate Manager Agents"

表D.26 certServer.ca.request.enrollment ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 登録リクエストを表示します。 許可 Certificate Manager Agent
execute リクエストの承認状態を変更します。 許可 Certificate Manager Agent
submit リクエストを送信します。 許可 Anybody
assign Certificate Manager エージェントに要求を割り当てます。 許可 Certificate Manager Agent
unassign 要求の割り当てを変更します。 許可 Certificate Manager Agent

D.3.15. certServer.ca.request.profile

証明書プロファイルベースの要求の処理を制御します。デフォルト設定は次のとおりです。
allow (approve,read) group="Certificate Manager Agents"

表D.27 certServer.ca.request.profile ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
approve 証明書プロファイルベースの証明書要求の承認状態を変更します。 許可 Certificate Manager Agent
read 証明書プロファイルベースの証明書要求を表示します。 許可 Certificate Manager Agent

D.3.16. certServer.ca.requests

エージェントサービスインターフェイスで証明書要求を一覧表示できるユーザーを制御します。
allow (list) group="Certificate Manager Agents"|| group="Registration Manager Agents"

表D.28 certServer.ca.requests ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
list 要求の範囲の詳細を取得し、複雑なフィルターを使用して証明書を検索します。 許可
Certificate Manager Agent
登録マネージャーエージェント

D.3.17. certServer.ca.systemstatus

Certificate Manager インスタンスの統計を表示できるユーザーを制御します。
allow (read) group="Certificate Manager Agents"

表D.29 certServer.ca.systemstatus ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 統計を表示します。 許可 Certificate Manager Agent

D.3.18. certServer.ee.certchain

エンドエンティティーの CA 証明書チェーンにアクセスできるユーザーを制御します。
allow (download,read) user="anybody"

表D.30 certServer.ee.certchain ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
download CA の証明書チェーンをダウンロードします。 許可 全ユーザー
read CA の証明書チェーンを表示します。 許可 全ユーザー

D.3.19. certServer.ee.certificate

エンドエンティティーページを介して、証明書のインポートや取り消しなどのほとんどの操作で、証明書にアクセスできるユーザーを制御します。
allow (renew,revoke,read,import) user="anybody"

表D.31 certServer.ee.certificate ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
renew 既存の証明書を更新する要求を送信します。 許可 全ユーザー
revoke ユーザー証明書の失効要求を送信します。 許可 全ユーザー
read 証明書のシリアル番号または要求 ID に基づいて証明書を取得して表示します。 許可 全ユーザー
import シリアル番号に基づいて証明書をインポートします。 許可 全ユーザー

D.3.20. certServer.ee.certificates

失効した証明書を一覧表示したり、エンドエンティティーに失効リクエストを送信できるユーザーを制御します。
allow (revoke,list) user="anybody"

表D.32 certServer.ee.certificates ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
revoke 取り消しする証明書の一覧を送信します。 許可
取り消される証明書の対象は、CA に認証するために提示された証明書と一致させる必要があります。
list 指定の基準に一致する証明書を検索します。 許可 全ユーザー

D.3.21. certServer.ee.crl

エンドエンティティーページから CRL へのアクセスを制御します。
allow (read,add) user="anybody"

表D.33 certServer.ee.crl ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 証明書失効リストを取得および表示します。 許可 全ユーザー
add CRL を OCSP サーバーに追加します。 許可 全ユーザー

D.3.22. certServer.ee.profile

プロファイルの詳細を表示したり、プロファイルを介してリクエストを送信したりできるユーザーなど、エンドエンティティーページの証明書プロファイルへのアクセスを制御します。
allow (submit,read) user="anybody"

表D.34 certServer.ee.profile ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
submit 証明書プロファイルを使用して証明書要求を送信します。 許可 全ユーザー
read 証明書プロファイルの詳細の表示 許可 全ユーザー

D.3.23. certServer.ee.profiles

エンドエンティティーページでアクティブな証明書プロファイルを一覧表示できるユーザーを制御します。
allow (list) user="anybody"

表D.35 certServer.ee.profiles ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
list 証明書プロファイルの一覧表示。 許可 全ユーザー

D.3.24. certServer.ee.request.ocsp

クライアントが OCSP 要求を送信する IP アドレスに基づいてアクセスを制御します。
allow (submit) ipaddress=".*"

表D.36 certServer.ee.request.ocsp ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
submit OCSP 要求を送信します。 許可 すべての IP アドレス

D.3.25. certServer.ee.request.revocation

エンドエンティティーページで証明書失効リスト要求を送信できるユーザーを制御します。
allow (submit) user="anybody"

表D.37 certServer.ee.request.revocation ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
submit 証明書を取り消す要求を送信します。 許可 全ユーザー

D.3.26. certServer.ee.requestStatus

エンドエンティティーページで証明書要求のステータスを表示できるユーザーを制御します。
allow (read) user="anybody"

表D.38 certServer.ee.requestStatus ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read その要求に対して発行された証明書の要求およびシリアル番号を取得します。 許可 全ユーザー

D.3.27. certServer.job.configuration

Certificate Manager にジョブを設定できるユーザーを制御します。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"

表D.39 certServer.job.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 基本的なジョブ設定、ジョブインスタンス設定、ジョブプラグイン設定を表示します。ジョブプラグインおよびジョブインスタンスを一覧表示します。 許可
管理者
エージェント
監査者
modify ジョブプラグインおよびジョブインスタンスを追加および削除します。ジョブプラグインとジョブインスタンスを変更します。 許可 管理者

D.3.28. certServer.profile.configuration

証明書プロファイル設定へのアクセスを制御します。デフォルト設定は次のとおりです。
allow (read) group="Administrators" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents" || group="Auditors";allow (modify) group="Administrators"

表D.40 certServer.profile.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read 証明書プロファイルのデフォルトと制約、入力、出力、入力設定、出力設定、デフォルト設定、ポリシー制約設定、および証明書プロファイルインスタンス設定を表示します。証明書プロファイルプラグインおよび証明書プロファイルインスタンスを一覧表示します。 許可
管理者
エージェント
監査者
modify 証明書プロファイルのデフォルトおよび制約、入力、出力、および証明書プロファイルインスタンスの追加、変更、削除を行います。デフォルトのポリシー制約設定を追加および変更します。 許可 管理者

D.3.29. certServer.publisher.configuration

Certificate Manager の公開設定を表示および編集できるユーザーを制御します。デフォルト設定は以下のようになります。
allow (read) group="Administrators" || group="Auditors" || group="Certificate Manager Agents" || group="Registration Manager Agents" || group="Key Recovery Authority Agents" || group="Online Certificate Status Manager Agents";allow (modify) group="Administrators"

表D.41 certServer.publisher.configuration ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read LDAP サーバーの宛先情報、パブリッシャープラグイン設定、パブリッシャーインスタンス設定、マッパープラグイン設定、マッパーインスタンス設定、ルールプラグイン設定、およびルールインスタンス設定を表示します。パブリッシャープラグインとインスタンス、ルールプラグインとインスタンス、およびマッパープラグインとインスタンスを一覧表示します。 許可
管理者
エージェント
監査者
modify パブリッシャープラグイン、パブリッシャーインスタンス、マッパープラグイン、マッパーインスタンス、ルールプラグイン、およびルールインスタンスを追加および削除します。パブリッシャーインスタンス、マッパーインスタンス、ルールインスタンス、および LDAP サーバーの宛先情報を変更します。 許可 管理者

D.3.30. certServer.securitydomain.domainxml

ドメインホストの Certificate Manager によってレジストリーに保持されるセキュリティードメイン情報へのアクセスを制御します。セキュリティードメイン設定は、設定中にサブシステムインスタンスによって直接アクセスおよび変更されるため、サブシステムへの適切なアクセスを常に許可する必要があります。そうしないと、設定が失敗する可能性があります。
allow (read) user="anybody";allow (modify) group="Subsystem Group"

表D.42 certServer.securitydomain.domainxml ACL の概要

操作 説明 アクセスの許可または拒否 対象のユーザーまたはグループ
read セキュリティードメイン設定を表示します。 許可 Anybody
modify インスタンス情報を変更し、インスタンスを追加および削除して、セキュリティードメイン設定を変更します。 許可
サブシステムグループ
エンタープライズ管理者