目次を表示

7.20.6 PKIエディタの設定

暗号化アルゴリズムと鍵のサイズを選択します。

この選択はアプリケーションによって異なります。

• データをセキュアに保つ必要があるのはどのくらいの期間ですか?

• 費用はどのくらいで、その価値はどのくらいありますか?

最近の標準では、現在、企業の使用に1024ビット、認証局が使用するルート キー ペアのように非常に重要な鍵には2048ビットのRSA鍵サイズを推奨しています。

長い鍵サイズのほうがセキュアですが、セキュリティを増強するとパフォーマンスが低下します。

RSAモジュールを2倍にすると、処理の所要時間が4倍（公開鍵の操作 - 署名の検証、暗号化）と8倍（秘密鍵の操作 - 署名生成、復号化）に増加します。

暗号化アルゴリズムと鍵のサイズを設定します。

プロジェクト・ファイルを編集してアルゴリズムと強度のプロパティを修正します。

strength=1024

algorithm=*RSA | *DSA

certificate.signing.algorithm=*MD5RSA | *SHA1RSA | *SHA1DSA

アルゴリズムが*RSAの場合、certificate signing algorithm、*MD5RSAまたは*SHA1RSAを選択します。

アルゴリズムが*DSAの場合、certificate signing algorithm、*SHA1DSAを選択します。

省略値の鍵アルゴリズムは*RSAです。

省略値の署名アルゴリズムは、鍵アルゴリズムに応じて*SHA1RSAまたは*SHA1DSAになります。

鍵用途の拡張を設定します。

'extended.purpose'プロパティを含めると、鍵用途の拡張をcertificate requestとclient certificateに追加できます。最高20個のプロパティを含めることができ、シーケンスナンバー１から始まり20で終わります。

以下の拡張された鍵の使用を追加します。

• サーバー認証(1.3.6.1.5.5.7.3.1)

• クライアント認証(1.3.6.1.5.5.7.3.2)

• コード署名(1.3.6.1.5.5.7.3.3)

• セキュアな電子メール(1.3.6.1.5.5.7.3.4)

• タイム・スタンプ(1.3.6.1.5.5.7.3.8)

• OCSP署名(1.3.6.1.5.5.7.3.9)

extended.purpose.1=1.3.6.1.5.5.7.3.1

extended.purpose.2=1.3.6.1.5.5.7.3.2

extended.purpose.3=1.3.6.1.5.5.7.3.3

extended.purpose.4=1.3.6.1.5.5.7.3.4

extended.purpose.5=1.3.6.1.5.5.7.3.8

extended.purpose.6=1.3.6.1.5.5.7.3.9

CRL配布の設定

CRL配布拡張は、各証明書に含めることができます。

crl.distribution=http://www.mycompany.com/CRLList.crl

crl.distribution=http://www.mycompany.com/crllist.html

SSL 認証用サブジェクト代替名称の設定

各証明書ごとに SSL 認証のサブジェクト代替名リストを含めることができます。

SSL の信頼処理の一部として、SSL クライアント・プログラムは、受信した SSL 証明書のサブジェクト代替名フィールド内にリストされているドメインと接続ドメイン・ホストを比較することができます。

'ssl.addresses' プロパティを使用して、IP アドレスのリストを指定します。

ホスト・ドメイン名のリストを指定するには、'ssl.domains' プロパティを使用します。

ssl.addresses=10.2.0.173,10.2.0.174

ssl.domains=*.mycompany.com,support.mycompany.com,account.mycompany.com

PKIエディタのプロジェクト・ファイル例

#JSFPKIEditorの最後の値

#グリニッジ標準時2003年11月2日 日曜日22:34:20

ca.keystore=ca-key.der

ca.keystore.password=

ca.certificate=ca-cert.der

ca.expiry=1/1/2005

request.keystore=request-key.der

request.keystore.password=

request.certificate=request-cert.der

certificate=certificate.der

blank.password=*yes

algorithm=*RSA

strength=1024

certificate.signing.algorithm=*SHA1RSA

serial=75

days=365

location.organization=ACME Corporation

location.unit=Rocket Powered Systems

location.locality=Nevada Desert

location.state=NV

location.country=US

location.name=Road Runner

location.email=beepbeep@acme.com

extended.purpose.1=1.3.6.1.5.5.7.3.2

extended.purpose.2=1.3.6.1.5.5.7.3.1

以下のプロパティを設定するにはテキスト エディタを使用する必要があります。

strength=1024

algorithm=*RSA | *DSA

certificate.signing.algorithm=*MD5RSA | *SHA1RSA | *SHA1DSA

blank.password=*YES | *NO

目次を表示