5.6. Certificate System サブシステムのキーおよび証明書を保存するトークン

トークン は、暗号化機能を実行し、公開鍵証明書、暗号化鍵、およびその他のデータを格納するハードウェアまたはソフトウェアデバイスです。 Certificate System は、Certificate System サブシステムに属するキーペアと証明書を格納するために、内部外部 の 2 種類のトークンを定義します。
内部 (ソフトウェア) トークンは、通常は 証明書データベース (cert8.db) および キーデータベース (key3.db) と呼ばれるファイルのペアで、Certificate System がキーペアと証明書を生成および保存するために使用します。Certificate System は、最初に内部トークンを使用するときに、ホストマシンのファイルシステムにこれらのファイルを自動的に生成します。これらのファイルは、キーペアの生成に内部トークンが選択されている場合、Certificate System サブシステムの設定時に作成されます。
これらのセキュリティーデータベースは、/var/lib/pki/instance_name/alias ディレクトリーにあります。
外部トークンとは、スマートカードやハードウェアセキュリティーモジュール (HSM) など、Certificate System がキーペアと証明書を生成および保存するために使用する外部ハードウェアデバイスを指します。Certificate System は、PKCS #11 に準拠するハードウェアトークンに対応します。
PKCS#11 は、暗号化デバイスの詳細からアプリケーションを分離する API と共有ライブラリーの標準セットです。これにより、アプリケーションは PKCS #11 準拠の暗号化デバイスに統合されたインターフェイスを提供できます。
Certificate System に実装されている PKCS #11 モジュールは、さまざまな製造元が提供する暗号化デバイスをサポートしています。このモジュールを使用すると、Certificate System は、外部暗号化デバイスの製造元が提供する共有ライブラリーをプラグインし、それを使用して、Certificate System マネージャーのキーおよび証明書を生成および保存できます。
外部トークンを使用して、Certificate System が使用する鍵ペアと証明書を生成および保存することを検討します。ハードウェアトークンはソフトウェアトークンよりも安全であると見なされることがあるため、これらのデバイスは秘密鍵を保護するためのもう 1 つのセキュリティー対策です。
外部トークンを使用する前に、サブシステムで外部トークンをどのように使用するかを計画します。
  • サブシステムのすべてのシステムキーは、同じトークンで生成する必要があります。
  • サブシステムは空の HSM スロットにインストールする必要があります。HSM スロットが以前に他のキーを格納するために使用されていた場合は、HSM ベンダーのユーティリティーを使用してスロットの内容を削除します。Certificate System は、デフォルトのニックネームを持つスロットで証明書および鍵を作成できます。適切にクリーンアップされない場合、これらのオブジェクトの名前は以前のインスタンスと共存する可能性があります。
Certificate System は、外部トークンで ハードウェア暗号化プレーヤー を使用することもできます。アクセラレーターの多くは、以下のセキュリティー機能を提供します。
  • 高速 SSL/TLS 接続。多数の同時登録またはサービス要求に対応するには、速度が重要です。
  • 秘密鍵のハードウェア保護これらのデバイスは、ハードウェアトークンから秘密鍵をコピーまたは削除できないようにすることで、スマートカードのように動作します。これは、オンラインの Certificate Manager のアクティブな攻撃から鍵の盗難に対する予防措置として重要です。
Certificate System は、デフォルトで nCipher nShield ハードウェアセキュリティーモジュール (HSM) に対応します。Certificate System がサポートする HSM は、PKCS #11 ライブラリーモジュールがデフォルトのインストールパスにある場合は、インストールの事前設定段階で modutil を使用して secmod.db データベースに自動的に追加されます。
設定中、Security Modules パネルには、サポートされているモジュールと、NSS 内部ソフトウェア PKCS #11 モジュールが表示されます。検出された、サポートされているすべてのモジュールは、Found のステータスを示し、ログイン済み または 未ログイン のいずれかとして個別にマークされます。トークンが見つかり、ログインしていない場合には、Operations の下にある Login を使用してログインできます。管理者がトークンを正常にログインできる場合、パスワードは設定ファイルに保存されます。Certificate System インスタンスの次回の起動時または再起動時に、パスワードストア内のパスワードを使用して、対応する各トークンのログインが試行されます。
管理者は、システムキーの生成に使用されるデフォルトトークンとしてログインしている任意のトークンを選択できます。