9.3. CMC 認証プラグイン

CMC 登録により、登録クライアントは認証に CMC 認証プラグインを使用できます。これにより、証明書要求は、プラグインに応じて、エージェント証明書またはユーザー証明書のいずれかで事前署名されます。Certificate Manager は、有効な証明書で署名された要求を受信すると、証明書を自動的に発行します。
CMC 認証プラグインは、クライアントに CMC 失効も提供します。CMC の失効により、クライアントは、エージェント証明書または証明書を所有する検証可能なユーザーによって署名された証明書要求を取得し、そのような要求を Certificate Manager に送信できます。Certificate Manager は、有効な証明書で署名された要求を受け取ると、証明書を自動的に取り消します。
Certificate System は、次の CMC 認証プラグインを提供します。
CMCAuth
CA エージェントが CMC 要求に署名する場合は、このプラグインを使用します。
CMCAuth プラグインを使用するには、登録プロファイルで以下を設定します。
auth.instance_id=CMCAuth
デフォルトでは、以下の登録プロファイルは CMCAuth プラグインを使用します。
  • システム証明書の場合:
    • caCMCauditSigningCert
    • caCMCcaCert
    • caCMCECserverCert
    • caCMCECsubsystemCert
    • caCMCECUserCert
    • caCMCkraStorageCert
    • caCMCkraTransportCert
    • caCMCocspCert
    • caCMCserverCert
    • caCMCsubsystemCert
  • ユーザー証明書の場合:
    • caCMCUserCert
    • caECFullCMCUserCert
    • caFullCMCUserCert
CMCUserSignedAuth
署名付きまたは SharedSecret ベースの CMC 要求を送信する場合は、このプラグインを使用します。
CMCUserSignedAuth プラグインを使用するには、登録プロファイルに以下を設定します。
auth.instance_id=CMCUserSignedAuth
ユーザー署名の CMC 要求は、要求された証明書と同じ subjectDN 属性が含まれるユーザーの証明書で署名する必要があります。ユーザーが署名した CMC 要求を使用できるのは、ユーザーが他の証明書のユーザー ID を証明するために使用できる署名証明書を既に取得している場合のみです。
SharedSecret ベースの CMC 要求は、要求が要求自体の秘密鍵によって署名されたことを意味します。この場合、CMC 要求は認証に共有秘密メカニズムを使用する必要があります。SharedSecret ベースの CMC 要求は通常、ユーザーの最初の署名証明書を取得するために使用され、後で他の証明書を取得するために使用されます。詳細は、「CMC SharedSecret 認証」を参照してください。
デフォルトでは、以下の登録プロファイルは、CMCUserSignedAuth プラグインを使用します。
  • caFullCMCUserSignedCert
  • caECFullCMCUserSignedCert
  • caFullCMCSharedTokenCert
  • caECFullCMCSharedTokenCert