4.2 Digital Signatures で使用する電子証明書の取得

電子証明書は、Digital Signatures で使用するために必要です。電子証明書は、LiveCycle をインストールおよび設定した後で設定および管理できますが、インストールの前に取得しておくと、LiveCycle をデプロイした時点で使用できる状態になります。

公開鍵の電子証明書は認証局(CA)から発行され、電子メールか Web を介して公開鍵証明書ファイルとして送信されます。この公開鍵証明書ファイルには、ドキュメントの暗号化と署名に使用する公開鍵(「公開鍵証明書」とも呼ばれる)と秘密鍵(「秘密鍵証明書」とも呼ばれる)への参照が含まれます。公開鍵証明書には実際の秘密鍵は含まれませんが、その代わりに、暗号化されたファイルまたは HSM に秘密鍵を安全に保管しているユーザーを識別するための参照が含まれます。

Internet Explorer(Windows)または OpenSSL(AIX、Linux および Solaris)を使用して、コンピューターで利用可能な任意の互換性のある公開鍵証明書ストアに保管されている公開鍵証明書の PFX ファイル、P12 ファイルおよび CER ファイルを書き出すことができます。PFX ファイルは、公開鍵証明書ストアまたは秘密鍵証明書自体によって許可された方式でのみ書き出すことができます。秘密鍵証明書に対応する公開鍵を保持する CER ファイルは、Internet Explorer または OpenSSL のいずれかを使用して PFX ファイルから書き出すこともできます。

注意: LiveCycle で使用する公開鍵証明書、秘密鍵証明書および証明書失効リスト(CRL)は、Web ベースの管理コンソールからアクセス可能な Trust Store の管理を使用して設定および管理できます(管理ヘルプを参照)。

CRL 配布ポイントは、特定の CER ファイルまたは PFX ファイルに対応する CRL をダウンロードできる場所を示しています。

次の種類のファイルがサポートされます。

公開鍵証明書:DER でエンコードされた X509v3 および base64 でエンコードされた証明書(.cer)ファイル。trust.xml ファイルを検証する公開鍵証明書には、DER でエンコードされた証明書または base64 でエンコードされた証明書のいずれかを使用します。

秘密鍵証明書:標準の PKCS12 形式(.pfx ファイルおよび .p12 ファイル)の、最大 4096 ビットの RSA 秘密鍵証明書および DSA 秘密鍵証明書をサポートします。

CRL:base64 および DER でエンコードされた CRL ファイル。

秘密鍵(秘密鍵証明書)のセキュリティを保護することは、機密情報の安定性を確保する上で欠かせません。通常、物理的なストレージデバイス(一般的に「ハードウェアセキュリティモジュール」(HSM)と呼ばれる)を使用すると、秘密鍵のセキュリティを最大限に保護することができます。物理デバイスを使用しない場合は、機密性の高い秘密鍵や公開鍵証明書は安全な場所にある暗号化ファイルに格納することが重要です。

Digital Signatures では、業界標準である PKCS #11 インターフェイスを使用して HSM と通信することができます。HSM ストレージシステムのインストールと設定に必要なリソースおよびツールは、HSM ベンダーから取得できます。