3.5. スマートカードの管理

Manage Smart Cards ページを使用すると、トークンに保存されている暗号鍵のいずれかに適用できる多くの操作を実行できます。
このページを使用して、トークンのフォーマット、カードのパスワードの設定とリセット、およびカード情報の表示を行うことができます。その他の 2 つの操作 (トークンの登録および診断ログの表示) は、Manage Smart Cards ページからもアクセスできます。これらの操作は他のセクションで扱われます。

図3.3 スマートカードページの管理

スマートカードページの管理

3.5.1. スマートカードのフォーマット

スマートカードをフォーマットすると、初期化されていない状態にリセットされます。これにより、以前に生成されたユーザーのキーペアがすべて削除され、登録時にスマートカードに設定されたパスワードが消去されます。
TPS サーバーは、新しいバージョンのアプレッキー鍵と対称キーをカードに読み込むように設定できます。TPS は、Red Hat Enterprise Linux 7.9 に同梱される CoolKey アプレットをサポートします。
スマートカードをフォーマットするには、以下を行います。
  1. 対応しているスマートカードをコンピューターに挿入します。カードが Active Smart Cards テーブルに表示されることを確認します。
  2. Manage Smart Cards 画面の Smart Card Functions セクションで、Format をクリックします。
  3. TPS がユーザー認証用に設定されている場合は、認証ダイアログにユーザー認証情報を入力して、Submit をクリックします。
  4. フォーマットプロセス中に、カードのステータスが BUSY に変更され、進捗バーが表示されます。フォーマットプロセスが完了すると、成功メッセージが表示されます。OK をクリックしてメッセージボックスを閉じます。
  5. フォーマットプロセスが完了すると、Active Smart Cards の表に、UNINITIALIZED というカードステータスが表示されます。

3.5.2. スマートカードパスワードのリセット

カードを登録した後にユーザーがスマートカードのパスワードを忘れた場合は、パスワードをリセットできます。スマートカードのパスワードをリセットするには、次のコマンドを実行します。
  1. 対応しているスマートカードをコンピューターに挿入します。カードが Active Smart Cards テーブルに表示されることを確認します。
  2. Manage Smart Cards 画面の Smart Card Functions セクションで、Reset Password をクリックして、Password ダイアログを表示します。
  3. Enter new password フィールドに新しいスマートカードパスワードを入力します。
  4. Re-Enter password フィールドで新しいスマートカードパスワードを確認して、OK をクリックします。
  5. TPS がユーザー認証用に設定されている場合は、認証ダイアログにユーザー認証情報を入力して、Submit をクリックします。
  6. パスワードのリセットが完了するのを待ちます。

3.5.3. 証明書の表示

Smart Card Manager は、保存した鍵や証明書など、選択したスマートカードの基本情報を表示できます。証明書情報を表示するには、以下を行います。
  1. 対応しているスマートカードをコンピューターに挿入します。カードが Active Smart Cards テーブルに表示されることを確認します。
  2. 一覧からカードを選択し、View Certificates をクリックします。
    これにより、シリアル番号、証明書のニックネーム、有効日など、カードに保存されている証明書の基本情報を表示します。
  3. 証明書に関する詳細情報を表示するには、一覧から証明書を選択して 表示 をクリックします。

3.5.4. CA 証明書のインポート

Xulrunner Gecko エンジンは、ブラウザーや Enterprise Security Client のようにクライアントがアクセスできる SSL ベースの URL に対する文字列制御を実装します。(Xulrunner フレームワークを介して) Enterprise Security Client が URL を信頼しない場合、URL にアクセスできなくなります。
SSL ベースの URL を信頼する 1 つの方法として、サイトの証明書を発行した CA の CA 証明書チェーンをインポートおよび信頼する方法があります。(もう 1 つは、「サーバーの例外の追加」 のようにサイトに信頼 セキュリティー例外 を作成することです)
スマートカードの証明書を発行する CA は、Enterprise Security Client アプリケーションによって信頼される必要があります。つまり、その CA 証明書を Enterprise Security Client にインポートする必要があります。
  1. Web ブラウザーで CA のエンドユーザーページを開きます。
    https://server.example.com:9444/ca/ee/ca/
  2. 上部の Retrieval タブをクリックします。
  3. 左側のメニューで Import CA Certificate Chain リンクをクリックします。
  4. チェーンをファイルとしてダウンロードするにはラジオボタンを選択し、ダウンロードしたファイルの場所と名前を書き留めます。
  5. Enterprise Security Client を開きます。
  6. 証明書の表示 ボタンをクリックします。
  7. 認証 タブをクリックします。
  8. インポート をクリックします。
  9. CA 証明書チェーンファイルを参照し、これを選択します。
  10. プロンプトが表示されたら、CA を信頼することを確認します。

3.5.5. サーバーの例外の追加

Xulrunner Gecko エンジンは、ブラウザーや Enterprise Security Client のようにクライアントがアクセスできる SSL ベースの URL に対する文字列制御を実装します。(Xulrunner フレームワークを介して) Enterprise Security Client が URL を信頼しない場合、URL にアクセスできなくなります。
SSL ベースの URL を信頼する 1 つの方法として、サイトの証明書をインポートして、Enterprise Security Client がそれを認識するよう強制するサイトに信頼 セキュリティー例外 を作成するものがあります。(もう 1 つのオプションは、「CA 証明書のインポート」 のように、サイトの CA 証明書チェーンをインポートし、自動的に信頼するオプションです)。
スマートカードは、特別なセキュリティー例外を必要とする SSL 経由でサービスまたは Web サイトにアクセスするために使用できます。これらの例外は、Mozilla Firefox などのブラウザーで Web サイトの例外を設定するのと同様に、Enterprise Security Client で設定できます。
  1. Enterprise Security Client を開きます。
  2. 証明書の表示 ボタンをクリックします。
  3. Servers タブをクリックします。
  4. Add Exception をクリックします。
  5. スマートカードがアクセスに使用されるサイトまたはサービスの URL (ポート番号) を入力します。次に、証明書の取得 ボタンをクリックして、サイトのサーバー証明書をダウンロードします。
  6. セキュリティー例外の確認をクリックして、許可されたサイトの一覧にサイトを追加します。

3.5.6. スマートカードの登録

ほとんどのスマートカードは、自動登録手順を使用して自動的に登録されます。Manage Smart Cards 機能を使用して、スマートカードを手動で登録することもできます。
ユーザーキーペアでトークンを登録する場合、トークンは SSL クライアント認証や S/MIME などの証明書ベースの操作に使用できます。
注記
TPS サーバーは、トークンが失われた場合のリカバリーのために、サーバー上でユーザーキーペアを生成し、DRM サブシステムでアーカイブするように設定できます。
スマートカードを手動で登録するには、以下を実行します。
  1. 対応している未登録のスマートカードをコンピューターに挿入します。カードが Active Smart Cards テーブルに表示されることを確認します。
  2. Enroll をクリックして、Password ダイアログを表示します。
  3. Enter a password フィールドに新しいキーパスワードを入力します。
    Re-Enter a password フィールドで新規パスワードを確認します。
  4. OK をクリックして登録を開始します。
  5. TPS がユーザー認証用に設定されている場合は、認証ダイアログにユーザー認証情報を入力して、Submit をクリックします。
    TPS がキーを DRM にアーカイブするように設定されている場合は、登録プロセスでキーの生成およびアーカイブが開始されます。
登録が完了すると、スマートカードのステータスが ENROLLED として表示されます。