HSM 秘密鍵証明書の管理

Trust Store の管理ページから、ハードウェアセキュリティモジュール(HSM)秘密鍵証明書を管理できます。HSM はサードパーティの PKCS#11 デバイスです。これを使用して、秘密鍵を安全に生成および保存することができます。この HSM によって、秘密鍵へのアクセスおよびその使用が物理的に保護されます。

クライアントソフトウェアは、HSM と通信する必要があります。HSM クライアントソフトウェアは、LiveCycle と同じコンピューターにインストールして設定する必要があります。

LiveCycle Digital Signatures では、HSM に保存されている秘密鍵証明書を使用して、サーバー側の電子署名を適用することができます。この節の手順に従って、Digital Signatures で使用する HSM 秘密鍵証明書ごとにエイリアスを作成します。エイリアスには、HSM で必要なすべてのパラメーターが含まれます。

注意: HSM の設定を変更したら、LiveCycle サーバーを再起動してください。

    HSM デバイスがオンラインである場合の HSM 秘密鍵証明書のエイリアスの作成

    1. Administration Console で、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックし、「追加」をクリックします。

    2. 「プロファイル名」ボックスに、エイリアスの識別に使用する文字列を入力します。この値は、署名フィールドへの署名操作など、Digital Signatures の一部の操作でプロパティとして使用されます。

    3. 「PKCS11 ライブラリ」ボックスに、サーバーの HSM クライアントライブラリの完全修飾パスを入力します。例えば、「c:\Program Files\LunaSA\cryptoki.dll」のように入力します。クラスター環境では、クラスター内のすべてのサーバーでこのパスが同じである必要があります。

    4. 「HSM の接続性をテスト」をクリックします。LiveCycle が HSM デバイスに接続できる場合は、HSM が使用可能であることを示すメッセージが表示されます。「次へ」をクリックします。

    5. 「トークン名」、「スロット Id」、「スロットリストのインデックス」のいずれかを使用して、HSM 上で秘密鍵証明書が保存されている場所を識別します。

      • トークン名:使用する HSM パーティションの名前(HSMPART1 など)に相当します。

      • スロット Id:スロット Id は、データタイプが long であるスロットの識別子です。

      • スロットリストのインデックス:「スロットリストのインデックス」を選択した場合、「スロット情報」にはスロットに相当する整数を設定します。スロットリストのインデックスは 0 ベースのインデックスです。つまり、クライアントの最初の登録が HSMPART1 パーティションの場合、HSMPART1 は SlotListIndex 値「0」で参照されます。

    6. 「トークン PIN」ボックスに、HSM キーにアクセスするために必要なパスワードを入力し、「次へ」をクリックします。

    7. 「秘密鍵証明書」ボックスで、秘密鍵証明書を選択します。「保存」をクリックします。

    HSM デバイスがオフラインである場合の HSM 秘密鍵証明書のエイリアスの作成

    1. Administration Console で、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックし、「追加」をクリックします。

    2. 「プロファイル名」ボックスに、エイリアスの識別に使用する文字列を入力します。この値は、署名フィールドへの署名操作など、Digital Signatures の一部の操作でプロパティとして使用されます。

    3. 「PKCS11 ライブラリ」ボックスに、サーバーの HSM クライアントライブラリの完全修飾パスを入力します。例えば、「c:\Program Files\LunaSA\cryptoki.dll」のように入力します。クラスター環境では、クラスター内のすべてのサーバーでこのパスが同じである必要があります。

    4. 「オフラインプロファイルの作成」チェックボックスをオンにします。「次へ」をクリックします。

    5. 「HSM デバイス」リストから、秘密鍵証明書が保存されている HSM デバイスの製造元を選択します。

    6. 「スロットタイプ」リストで、「スロット Id」、「スロットインデックス」または「トークン名」を選択し、「スロット情報」ボックスで値を指定します。LiveCycle では、これらの設定を使用して、HSM 上の秘密鍵証明書の場所が特定されます。

      • トークン名:パーティション名に相当します(「HSMPART1」など)。

      • スロット Id:スロット ID は、スロットに相当する整数で、同様にパーティションにも相当します。例えば、クライアント(LiveCycle サーバー)が最初に HSMPART1 パーティションを登録したとします。この場合、スロット 1 がこのクライアントの HSMPART1 パーティションにマップされます。HSMPART1 は最初に登録されたパーティションなので、スロット ID は 1 となります。このため、「スロット情報」には 1 を設定します。

        スロット ID はクライアントごとに設定します。2 番目のマシンを別のパーティション(同じ HSM デバイスの HSMPART2 など)に登録すると、スロット 1 はこのクライアントの HSMPART2 パーティションに関連付けられます。

      • スロットインデックス:スロットインデックスを選択した場合、「スロット情報」にはスロットに相当する整数を設定します。これは 0 ベースのインデックスです。つまり、クライアントが最初に HSMPART1 パーティションを登録した場合、スロット 1 はこのクライアントの HSMPART1 にマップされます。HSMPART1 は最初に登録されたパーティションなので、スロットインデックスは 0 となります。

    7. 次のいずれかのオプションを選択し、パスを指定します。

      • 証明書:(SHA1 を使用している場合は不要))「参照」をクリックし、使用する秘密鍵証明書の公開鍵へのパスに移動します。

      • 証明書 SHA1:(物理証明書を使用している場合は不要)使用する秘密鍵証明書の公開鍵(.cer)ファイルの SHA1 値(拇印)を入力します。SHA1 値にスペースが使用されていないことを確認します。

    8. 「パスワード」ボックスに、指定したスロット情報の HSM キーにアクセスするために必要なパスワードを入力し、「保存」をクリックします。

    HSM 秘密鍵証明書エイリアスのプロパティの表示

    1. Administration Console で、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックします。

    2. プロパティを表示する秘密鍵証明書エイリアスのエイリアス名をクリックし、「OK」をクリックします。

    HSM 秘密鍵証明書のステータスの確認

    1. Administration Console で、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックします。

    2. 確認する秘密鍵証明書の横にあるチェックボックスをオンにし、「ステータスを確認」をクリックします。

    「ステータス」列に、秘密鍵証明書の現在のステータスが反映されます。エラーが発生した場合は、「ステータス」列に赤の X が表示されます。X の上にマウスを置くと、エラーの理由を含むツールヒントが表示されます。

    HSM 秘密鍵証明書エイリアスのプロパティの更新

    1. Administration Console で、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックします。

    2. 秘密鍵証明書エイリアスのエイリアス名をクリックします。

    3. 「秘密鍵証明書を更新」をクリックし、必要に応じて設定を更新します。

    すべての HSM 接続のリセット

    LiveCycle サーバーと HSM デバイス間のネットワークセッションが中断された後に HSM デバイスへのオープン接続をリセットします。例えば、ネットワーク障害が発生した場合や、ソフトウェア更新のために HSM デバイスがオフラインになったときに、セッションが中断される可能性があります。中断が発生すると既存の接続は古くなり、これらの接続に対するすべての署名要求が失敗します。「すべての HSM 接続をリセット」オプションを使用すると、古い接続がクリアされます。

    1. Administration Console で、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックします。

    2. 「すべての HSM 接続をリセット」をクリックします

    HSM 秘密鍵証明書エイリアスの削除

    1. Administration Console で、設定/Trust Store の管理/HSM 秘密鍵証明書をクリックします。

    2. 削除する HSM 秘密鍵証明書のチェックボックスを選択して「削除」をクリックし、「OK」をクリックします。

    リモート HSM サポートの設定

    LiveCycle は、Web サービスベースの IPC/RPC メカニズムを使用します。このメカニズムによって、LiveCycle でリモートコンピューターにインストールされた HSM を使用できます。この機能を使用するには、HSM がインストールされているリモートコンピューター上に、Web サービスをインストールする必要があります。詳しくは、「Windows 64 ビットプラットフォームでの HSM サポートの設定」を参照してください。

    このメカニズムは、HSM プロファイルのオンライン作成やステータスチェックをサポートしていません。ただし、HSM プロファイルの作成およびステータスチェックを実行する方法には次の 2 つがあります。

    • 署名者の証明書を渡して、LiveCycle クライアント資格情報を作成します。「Windows 64 ビットプラットフォームでの HSM サポートの設定」に記載されている手順を実行します。Web サービスの場所は資格情報プロパティとして渡されます。また、証明書 DER または 証明書 SHA-1 hex を使用した HSM プロファイルのオフライン作成もサポートされています。ただし、以前のバージョンの LiveCycle から LiveCycle にアップグレードした場合は、資格情報に証明書と Web サービス情報が含まれているので、クライアントに変更を加える必要があります。

    • Web サービスの場所は Administration Console の Signatures サービスで指定します(Signature サービスの設定を参照)。この場合、クライアントは Trust Store 内の HSM プロファイルのエイリアスのみを保持します。この方法は、以前のバージョンの LiveCycle から LiveCycle にアップグレードした場合でもクライアントに変更を加えることなく、シームレスに使用できます。証明書 SHA-1 を使用して作成した HSM プロファイルは、この方法ではサポートされていません。