Nothing Special   »   [go: up one dir, main page]

JP2008252219A - Server device and ssl server certificate issuing program - Google Patents

Server device and ssl server certificate issuing program Download PDF

Info

Publication number
JP2008252219A
JP2008252219A JP2007087718A JP2007087718A JP2008252219A JP 2008252219 A JP2008252219 A JP 2008252219A JP 2007087718 A JP2007087718 A JP 2007087718A JP 2007087718 A JP2007087718 A JP 2007087718A JP 2008252219 A JP2008252219 A JP 2008252219A
Authority
JP
Japan
Prior art keywords
certificate
server
request
setting
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007087718A
Other languages
Japanese (ja)
Inventor
Takuto Okuno
琢人 奥野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2007087718A priority Critical patent/JP2008252219A/en
Publication of JP2008252219A publication Critical patent/JP2008252219A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a server device and an SSL server certificate issuing program, for saving system-operator's burden in configuring and operating a system when issuing an SSL server certificate. <P>SOLUTION: A server device 100 equipped with a CPU 101 and a control program storage unit 102 has a server software setup unit 110 and an authentication station unit 120 configured with software. An authentication station structure device 111 generates a key pair by a key pair-CSR generating device 112, and determines a subject (object to be authenticated) of a root CA certificate 121 using a machine name of a server. An SSL server certificate issuing device 125 reads a CSR to issue and send an SSL server certificate to an SSL server certificate installation device 113. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、サーバ装置およびSSLサーバ証明書発行プログラムに係わり、特に暗号化通信を行うサーバ装置およびSSLサーバ証明書発行プログラムに関する。   The present invention relates to a server device and an SSL server certificate issuance program, and more particularly to a server device and an SSL server certificate issuance program that perform encrypted communication.

インターネット等の通信ネットワークを使用した通信システムが発展すると共に、通信の際のセキュリティ技術の重要性が高まっている。そこで、通信の対象となる電子文書が正しい内容のものであることを電磁的な署名で確認する電子署名という技術が、データの改ざんを防止するために使用されている。   With the development of communication systems using communication networks such as the Internet, the importance of security technology during communication is increasing. In view of this, a technique called electronic signature for confirming that an electronic document to be communicated has a correct content by using an electromagnetic signature is used to prevent data falsification.

ある者としてのAが電子文書を他の者としてのBに送信するものとする。この場合、Aは電子文書としての平文を作成し、次にこの平文をハッシュ関数を用いて圧縮し、メッセージ・ダイジェストを作成する。そして、これをPKI(Public Key Infrastructures)システムにおける自分の秘密鍵を用いて暗号化して電子署名を作成する。Aは前記した平文に電子署名を付して、公開鍵を添付してBにたとえばインターネットを用いて送付する。   Assume that A as one person transmits an electronic document to B as another person. In this case, A creates a plain text as an electronic document, and then compresses this plain text using a hash function to create a message digest. Then, this is encrypted using its own private key in a PKI (Public Key Infrastructures) system to create an electronic signature. A attaches an electronic signature to the above plain text, attaches a public key, and sends it to B using, for example, the Internet.

Bはインターネットを介してAから送られてきたデータを受信する。そして、送られてきた公開鍵を用いて電子署名を復号してメッセージ・ダイジェストを取り出す。また、送られてきた平文をハッシュ関数を用いて圧縮して、メッセージ・ダイジェストを作成する。これらのメッセージ・ダイジェストが一致するかを調べて、一致していれば、送られてきた公開鍵に対応する秘密鍵を所有するAが電子署名を行っていることが分かる。   B receives data sent from A via the Internet. Then, the digital signature is decrypted using the sent public key, and the message digest is extracted. In addition, the received plaintext is compressed using a hash function to create a message digest. It is determined whether these message digests match, and if they match, it can be seen that A who owns the private key corresponding to the sent public key has signed an electronic signature.

ところで、本人認証に必要な電子署名の生成には暗号化技術が使用される。暗号化を行う際に、乱数を用いることが従来から第1の提案として提案されている(たとえば特許文献1参照)。   By the way, encryption technology is used to generate an electronic signature necessary for personal authentication. The use of random numbers when performing encryption has been proposed as a first proposal (see, for example, Patent Document 1).

図6は、この第1の提案の概要を表わしたものである。パーソナルコンピュータ等の情報処理装置401は、所定の通信機器402を介してIC(Integrated Circuit)カード403と接続されるようになっている。ICカード403は、マイクロコンピュータ404を備えている。   FIG. 6 shows the outline of the first proposal. An information processing apparatus 401 such as a personal computer is connected to an IC (Integrated Circuit) card 403 via a predetermined communication device 402. The IC card 403 includes a microcomputer 404.

マイクロコンピュータ404には、通信機器402とのインタフェースをとるI/O処理部411と、電子署名を生成する電子署名生成部412と、乱数発生部413が存在している。乱数生成部413は、電子署名生成部412から乱数の要求があったときに乱数を生成し、これに供給する。電子署名生成部412は、入力データを乱数で暗号化し、電子署名を生成して通信機器402に送出するようになっている。   The microcomputer 404 includes an I / O processing unit 411 that interfaces with the communication device 402, an electronic signature generation unit 412 that generates an electronic signature, and a random number generation unit 413. The random number generation unit 413 generates and supplies a random number when a request for a random number is received from the electronic signature generation unit 412. The electronic signature generation unit 412 encrypts input data with a random number, generates an electronic signature, and sends it to the communication device 402.

一方、デバイスとクライアントとがネットワークを介して通信するとき、ネットワークの外部から証明書を購入することなく、保証された証明書として使うことが第2の提案として提案されている(たとえば特許文献2参照)。この提案でデバイスは、生成された公開鍵と秘密鍵の対の中の公開鍵を含み、秘密鍵で署名されたルート証明書を記憶手段に記憶しておき、また、ルート証明書を上位認証局として含む証明書として作成し、作成した証明書を秘密鍵を用いて署名する証明書作成手段を用意しておく。そして、この証明書作成手段により作成された証明書をクライアントに送信する。また、クライアントは、前記した記憶手段に記憶されているルート証明書を記憶する他の記憶手段と、前記したデバイスから受け取った証明書の署名を公開鍵を用いて検証する検証手段を備えるようにしている。
特開2000−242470号公報(第0018段落〜第0020段落、図1、図2) 特開2005−006076号公報(第0012段落、図1、図2) On the other hand, when a device and a client communicate via a network, it is proposed as a second proposal to use it as a guaranteed certificate without purchasing a certificate from outside the network (for example, Patent Document 2). reference). With this proposal, the device stores the root certificate signed with the private key, including the public key in the generated public / private key pair, in the storage means, and the root certificate is higher-level authenticated. A certificate creating means is prepared for creating a certificate including a station and signing the created certificate using a private key. Then, the certificate created by the certificate creating means is transmitted to the client. In addition, the client includes other storage means for storing the root certificate stored in the storage means, and verification means for verifying the signature of the certificate received from the device using a public key. ing.
JP 2000-242470 A (paragraphs 0018 to 0020, FIGS. 1 and 2) Japanese Patent Laying-Open No. 2005-006076 (paragraph 0012, FIGS. 1 and 2)

しかしながら、従来のこのような提案によれば、まず、SSL(Secure Sockets Layer)サーバ証明書の取得と配置がシステム運用者にとって手間となるという問題がある。従来では、サーバソフトウェアもしくは外部のソフトウェアによって秘密鍵と公開鍵のペアの生成とCSR(証明書要求)の作成を行い、システム運用者はCSRファイルを認証局で受け取ってSSLサーバ証明書の発行を行っている。発行されたSSLサーバ証明書は、システム運用者がサーバソフトウェアにセットしなくてはならない。このため、システム運用者にとって各ステップを踏んでいくことが非常に手間となるという問題がある。   However, according to such a conventional proposal, first, there is a problem that it is troublesome for a system operator to acquire and arrange an SSL (Secure Sockets Layer) server certificate. Conventionally, the server software or external software generates a private key / public key pair and creates a CSR (certificate request). The system operator receives the CSR file at the certificate authority and issues an SSL server certificate. Is going. The issued SSL server certificate must be set in the server software by the system operator. Therefore, there is a problem that it is very troublesome for the system operator to take each step.

また、従来のこのような提案によれば、SSLサーバ証明書を発行する認証局の構築と運用がシステム運用者にとって手間となるという問題もあった。すなわち、システム運用者は、認証局構築を行うために鍵ペアの生成とCSR(証明書要求)の作成と、CSRを基にして自己署名証明書を発行してルート証明書を作成することが必要となる。また、認証局でSSLサーバ証明書を発行するにはサーバソフトウェアからCSRを受け取り、CSRを検証して証明書の発行を行わなければならない。これらの各ステップを踏んでいくことはシステム運用者にとって手間となるのである。   Further, according to such a conventional proposal, there is a problem that it takes time and effort for the system operator to construct and operate a certificate authority that issues an SSL server certificate. In other words, the system operator can generate a key pair, create a CSR (certificate request), and issue a self-signed certificate based on the CSR to create a root certificate in order to construct a certificate authority. Necessary. Further, in order to issue an SSL server certificate by a certificate authority, it is necessary to receive a CSR from server software, verify the CSR, and issue a certificate. It is troublesome for the system operator to take these steps.

そこで本発明の目的は、SSLサーバ証明書の発行に際してシステム運用者のシステム構築と運用の手間を削減することのできるサーバ装置およびSSLサーバ証明書発行プログラムを提供することにある。   SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to provide a server device and an SSL server certificate issuance program that can reduce the trouble of system construction and operation of a system operator when issuing an SSL server certificate.

本発明の他の目的は、セキュアな通信経路をより効率よく構築することが可能なサーバ装置およSSLサーバ証明書発行プログラムを提供することにある。   Another object of the present invention is to provide a server device and an SSL server certificate issuance program that can construct a secure communication path more efficiently.

請求項1記載の発明では、(イ)電子的な証明書を使用してデータを暗号化して通信する際の秘密鍵と公開鍵の対を生成する鍵生成手段と、(ロ)ユニークな値を使用して証明書を発行される者の名称としてのサブジェクト名を設定する証明書サブジェクト名設定手段と、(ハ)この証明書サブジェクト名設定手段で設定した証明書のサブジェクト名を用いて証明書要求(CSR)を生成する証明書要求生成手段と、(ニ)この証明書要求生成手段によって生成した証明書要求を自装置に構築した認証局に送付してサーバ証明書の発行を要求するサーバ証明書発行要求手段と、(ホ)このサーバ証明書発行要求手段の要求に基づいて認証局がサーバ証明書を発行したときこれを受け取って鍵生成手段の設定した秘密鍵および公開鍵と対応付ける設定を行うサーバ証明書設定手段とをサーバ装置に具備させる。   According to the first aspect of the present invention, (b) a key generating means for generating a pair of a private key and a public key when data is encrypted using an electronic certificate for communication, and (b) a unique value Certificate subject name setting means for setting the subject name as the name of the person who issues the certificate using (c), and (c) certification using the subject name of the certificate set by this certificate subject name setting means A certificate request generating means for generating a certificate request (CSR), and (d) sending a certificate request generated by the certificate request generating means to a certificate authority built in the own apparatus to request issuance of a server certificate. Server certificate issue request means, and (e) Corresponding to the private key and public key set by the key generation means when the certificate authority issues a server certificate based on the request from the server certificate issue request means Date To set thereby and a server certificate setting means to the server device.

すなわち本発明では、証明書サブジェクト名設定手段で装置名とこれに必要に応じて乱数を使用したユニークな値を使用することでサブジェクト名を設定し、これを用いて証明書要求(CSR)を生成することにしている。そして、この証明書要求を自装置に構築した認証局に送付してサーバ証明書の発行を要求し、認証局がサーバ証明書を発行したときこれを受け取って鍵生成手段の設定した秘密鍵および公開鍵と対応付ける設定を行うことにしている。これにより、システム運用者の手間を掛けずにSSLサーバ証明書の発行が可能になる。   That is, in the present invention, the certificate subject name setting means sets the subject name by using a device name and a unique value using a random number as necessary, and uses this to set a certificate request (CSR). I am going to generate. Then, this certificate request is sent to the certificate authority built in the own device to request issuance of a server certificate. When the certificate authority issues a server certificate, it is received and the secret key set by the key generation means Setting to associate with public key. As a result, the SSL server certificate can be issued without the effort of the system operator.

請求項6記載の発明では、サーバ装置のコンピュータに、SSLサーバ証明書発行プログラムとして、(イ)電子的な証明書を使用してデータを暗号化して通信する際の秘密鍵と公開鍵の対を生成する鍵生成処理と、(ロ)ユニークな値を使用して証明書を発行される者の名称としてのサブジェクト名を設定する証明書サブジェクト名設定処理と、(ハ)この証明書サブジェクト名設定処理で設定した証明書のサブジェクト名を用いて証明書要求(CSR)を生成する証明書要求生成処理と、(ニ)この証明書要求生成処理によって生成した証明書要求を自装置内に構築した認証局に送付してサーバ証明書の発行を要求するサーバ証明書発行要求処理と、(ホ)このサーバ証明書発行要求処理での要求に基づいて認証局がサーバ証明書を発行したときこれを受け取って鍵生成処理で設定した秘密鍵および公開鍵と対応付ける設定を行うサーバ証明書設定処理とを実行させることを特徴としている。   According to the sixth aspect of the present invention, a pair of a private key and a public key used when the server apparatus computer communicates by encrypting data using an electronic certificate as an SSL server certificate issuing program. (B) a certificate subject name setting process for setting the subject name as the name of the person who issues the certificate using a unique value, and (c) this certificate subject name Certificate request generation processing for generating a certificate request (CSR) using the subject name of the certificate set in the setting processing, and (d) constructing the certificate request generated by this certificate request generation processing in its own device Server certificate issuance request processing that is sent to the certificate authority that issued the request to issue a server certificate, and (e) the certificate authority issues a server certificate based on the request in this server certificate issuance request processing Is characterized in that to execute a server certificate setting process for setting associating a secret key and a public key set by the key generation processing received this time was.

すなわち本発明では、請求項1記載の発明と同一の技術思想をサーバ装置のSSLサーバ証明書発行プログラムとしてコンピュータに実行させることにしている。   That is, in the present invention, the same technical idea as that of the invention described in claim 1 is executed by a computer as an SSL server certificate issuing program of the server device.

以上説明したように本発明によれば、サーバソフトウェアもしくは外部のソフトウェアによって鍵ペアの生成とCSR(証明書要求)の作成を行い、CSRファイルを認証局で受け取ってSSLサーバ証明書の発行を行い、このSSLサーバ証明書をサーバソフトウェアにセットするため、システム運用者の手間を軽減することができる。また、SSLサーバ証明書を発行する認証局を自装置内に構築するので、運用が簡素化されるという効果がある。   As described above, according to the present invention, a key pair is generated and a CSR (certificate request) is generated by server software or external software, a CSR file is received by a certificate authority, and an SSL server certificate is issued. Since the SSL server certificate is set in the server software, the trouble of the system operator can be reduced. In addition, since the certificate authority that issues the SSL server certificate is built in the own apparatus, there is an effect that the operation is simplified.

以下実施例につき本発明を詳細に説明する。   Hereinafter, the present invention will be described in detail with reference to examples.

図1は、本発明の一実施例におけるSSLサーバ証明書の自動発行を行うサーバ装置の構成を表わしたものである。SSL(Secure Sockets Layer)サーバ証明書を自動発行するサーバ装置100は、CPU(Central Processing Unit)101と、このCPU101が実行する制御プログラムを格納した制御プログラム格納部102と、この制御プログラム格納部102に格納された制御プログラムを実行するときに各種のデータを一時的に格納する作業用メモリ103とから構成される基本ハードウェア部104を備えている。基本ハードウェア部104内のCPU101が制御プログラムを実行することで、サーバ装置100は、サーバソフトウェアセットアップ装置110と、認証局装置120を機能的に実現するようになっている。   FIG. 1 shows the configuration of a server device that automatically issues an SSL server certificate according to an embodiment of the present invention. A server apparatus 100 that automatically issues a Secure Sockets Layer (SSL) server certificate includes a CPU (Central Processing Unit) 101, a control program storage unit 102 that stores a control program executed by the CPU 101, and a control program storage unit 102. The basic hardware unit 104 includes a working memory 103 that temporarily stores various data when executing the control program stored in the computer. When the CPU 101 in the basic hardware unit 104 executes the control program, the server device 100 functionally realizes the server software setup device 110 and the certificate authority device 120.

ここでサーバソフトウェアセットアップ装置110は、認証局構築装置111と、鍵ペア・CSR(Certificate Signing Request:証明書要求)作成装置112およびSSLサーバ証明書インストール装置113によって構成されている。また、認証局装置120は、ルートCA(Certificate Authority)証明書121と、ルートCA秘密鍵122、CA情報ファイル123、SSLサーバ証明書プロファイル124と、SSLサーバ証明書発行装置125によって構成されている。   The server software setup device 110 includes a certificate authority construction device 111, a key pair / CSR (Certificate Signing Request) creation device 112, and an SSL server certificate installation device 113. The certificate authority device 120 includes a root CA (Certificate Authority) certificate 121, a root CA private key 122, a CA information file 123, an SSL server certificate profile 124, and an SSL server certificate issuing device 125. .

サーバソフトウェアセットアップ装置110は、各種セットアップ処理でサーバの起動に必要な設定を行うステップS201の処理の最中に、認証局構築装置111を使用して、認証局装置120を構築する(ステップS202)ようになっている。認証局装置120を構築したら、認証局構築装置111から鍵ペア・CSR作成装置112にその後の処理が移る(ステップS203)。   The server software setup device 110 constructs the certificate authority device 120 using the certificate authority construction device 111 during the process of step S201 for performing settings necessary for starting the server in various setup processes (step S202). It is like that. After the certificate authority device 120 is constructed, the subsequent processing moves from the certificate authority construction device 111 to the key pair / CSR creation device 112 (step S203).

鍵ペア・CSR作成装置112は、SSL通信を行うための鍵ペアとCSR(証明書要求)を作成する。そして、このうちのCSR(証明書要求)を、認証局装置120のSSLサーバ証明書発行装置125が読み込んで(ステップS204)、SSLサーバ証明書を発行する。この発行したSSLサーバ証明書は、ステップS205で示すようにサーバソフトウェアセットアップ装置110内のSSLサーバ証明書インストール装置113に送られる。   The key pair / CSR creation device 112 creates a key pair and CSR (certificate request) for SSL communication. Of these, the CSR (certificate request) is read by the SSL server certificate issuing device 125 of the certificate authority device 120 (step S204), and the SSL server certificate is issued. The issued SSL server certificate is sent to the SSL server certificate installing device 113 in the server software setup device 110 as shown in step S205.

SSLサーバ証明書インストール装置113は、サーバソフトウェアがSSLによりセキュアな通信を実現できるように、サーバ証明書と秘密鍵の配置を行う。この後、ステップS206に示すようにサーバソフトウェアセットアップ装置110で各種セットアップ処理が引き継がれる。   The SSL server certificate installation device 113 arranges the server certificate and the private key so that the server software can realize secure communication by SSL. Thereafter, various setup processes are taken over by the server software setup apparatus 110 as shown in step S206.

ところで、認証局装置120は、ルートCA証明書121等の各種のファイルを生成し、SSLサーバ証明書発行装置125に必要な認証局構成ファイルとして配置するようになっている。   By the way, the certificate authority device 120 generates various files such as the root CA certificate 121 and arranges them as necessary certificate authority configuration files in the SSL server certificate issuing device 125.

図2は、認証局についての自動構築処理の様子を表わしたものである。図1と共に説明する。この自動構築処理では、まず鍵ペアの生成を最初に行う(ステップS221)。生成された鍵は長期にわたり使用する。このため、安全性が高いRSA(Rivest、Shamir、Adelman)方式による2048ビットの暗号処理のアルゴリズムや、ECDSA(Elliptic Curve Digital Signature Algorithm)と呼ばれる256ビットの円曲線暗号による電子署名のアルゴリズムといった暗号アルゴリズムと鍵長を使用する。   FIG. 2 shows the state of automatic construction processing for a certificate authority. This will be described with reference to FIG. In this automatic construction process, a key pair is first generated (step S221). The generated key is used for a long time. For this reason, encryption algorithms such as a highly secure RSA (Rivest, Shamir, Adelman) 2048-bit encryption algorithm and an ECDSA (Elliptic Curve Digital Signature Algorithm) 256-bit circular curve encryption electronic signature algorithm And the key length.

生成した秘密鍵は、暗号化してファイルに保存しなければならない。暗号化する際のパスワードは、認証局構築装置111に埋め込まれた値やOS(Operating System)のシリアル番号等のデータを要約関数を使用してハッシュ(hash)化して、SSLサーバ証明書発行装置125の内部で同じパスワードの生成が可能であるようにする。   The generated private key must be encrypted and stored in a file. The password used for encryption is hashed using a summary function and data such as a value embedded in the certificate authority construction device 111 and a serial number of an OS (Operating System), and an SSL server certificate issuing device. The same password can be generated inside

次のステップS222では、マシン名を取得する。そして、ルートCA証明書121のサブジェクト(認証対象)にサーバのマシン名をユニークな値として加えて決定する。また、図示しない乱数発生手段を使用してランダム文字列を生成して、同じマシンでもセットアップするサーバが違うとユニークなサブジェクトになる仕組みとする。   In the next step S222, the machine name is acquired. Then, the server machine name is added as a unique value to the subject (authentication target) of the root CA certificate 121 and determined. In addition, a random character string is generated using a random number generation means (not shown), and a unique subject is created if different servers are set up on the same machine.

以上のようにしてサブジェクトと公開鍵、秘密鍵が揃ったので、サーバソフトウェアセットアップ装置110は次のステップS223でこれらの情報を認証局装置120内のSSLサーバ証明書発行装置125に送って自己署名証明書を発行させる。ここで自己署名証明書とは認証局装置120が自身を証明するために発行する証明書である。   Since the subject, the public key, and the private key have been prepared as described above, the server software setup device 110 sends these pieces of information to the SSL server certificate issuing device 125 in the certificate authority device 120 in the next step S223, and self-signed. Issue a certificate. Here, the self-signed certificate is a certificate issued by the certificate authority device 120 to prove itself.

自己署名証明書の期限は10〜20年とする。公開鍵証明書の規格のITU(International Telecommunication Union)やISO(International Organization for Standardization)で標準化されたX.509では、オプションとして拡張情報を設定することができる。拡張情報には、標準設定として基本制約(Basic Constraints)、鍵用途(Key Usage)、サブジェクト鍵識別子(Subject Key Identifier)、認証局識別子(Authority Key Identifier)を含める。   The deadline for self-signed certificates is 10 to 20 years. Standardized by ITU (International Telecommunication Union) and ISO (International Organization for Standardization) of public key certificate standards. In 509, extended information can be set as an option. The extended information includes basic constraints (Basic Constraints), key usage (Key Usage), subject key identifier (Subject Key Identifier), and certificate authority identifier (Authority Key Identifier) as standard settings.

ここで基本制約とは、サブジェクトがCA(証明書の発行者)かどうかの情報や、証明書を検証するための階層の最大値の情報をいう。鍵用途とは、証明書に含まれている公開鍵の利用目的を示している。サブジェクト鍵識別子とは、サブジェクトが持っているそれぞれの公開鍵を識別するために使用する情報である。認証局識別子とは、証明書に署名した秘密鍵と一致する公開鍵を識別するために使用する情報である。これらの拡張情報は自動的に設定される。SSLサーバ証明書発行装置125の発行するこの自己署名証明書は、ルートCA証明書121として使用する。   Here, the basic constraint means information on whether the subject is CA (certificate issuer) or information on the maximum value of the hierarchy for verifying the certificate. The key usage indicates the purpose of use of the public key included in the certificate. The subject key identifier is information used to identify each public key possessed by the subject. The certificate authority identifier is information used to identify the public key that matches the private key that signed the certificate. Such extended information is automatically set. This self-signed certificate issued by the SSL server certificate issuing device 125 is used as the root CA certificate 121.

最後のステップS224では、運用に必要なCAの設定を行い、CA情報ファイル123を生成する。また、SSLサーバ証明書向けのSSLサーバ証明書プロファイル124も生成して認証局の構築を完了する(エンド)。   In the last step S224, the CA necessary for operation is set and the CA information file 123 is generated. In addition, the SSL server certificate profile 124 for the SSL server certificate is also generated to complete the construction of the certificate authority (end).

図3は、鍵ペア・CSR作成装置によるSSLサーバ証明書向けの鍵ペア生成とCSR作成の処理の様子を表わしたものである。この場合にも鍵ペアの生成が最初に行われる(ステップS241)。一定期間同じ鍵ペアを使用するため、安全性を考えて前記したRSA方式による1024〜2048ビットの暗号処理のアルゴリズムと鍵長を使用する。他の暗号処理のアルゴリズムの採用も可能であるが、現状の多くのSSL実装では、暗号アルゴリズムはRSA方式が主流である。   FIG. 3 shows a state of key pair generation and CSR creation processing for the SSL server certificate by the key pair / CSR creation device. Also in this case, the key pair is generated first (step S241). In order to use the same key pair for a certain period, the algorithm and key length of 1024 to 2048 bits encryption processing by the RSA method described above are used in consideration of security. Although other cryptographic processing algorithms can be adopted, the RSA method is the mainstream cryptographic algorithm in many current SSL implementations.

秘密鍵は暗号化する必要がある。暗号化する際のパスワードは、図1に示した認証局構築装置111やOSのシリアル番号等のデータをハッシュ化して、SSLサーバ証明書発行装置125の内部で同じパスワードの生成が可能であるようにする。   The private key needs to be encrypted. As for the password for encryption, the same password can be generated inside the SSL server certificate issuing device 125 by hashing the data such as the certificate authority construction device 111 and the OS serial number shown in FIG. To.

次のステップS242では、マシン名を取得して、SSLサーバ証明書のサブジェクトを決定する。ここでSSLサーバ証明書のサブジェクトは任意とする。基本的にはランダム文字列を生成して、CSR(証明書要求)にはユニークなサブジェクトを設定する。なお、サーバ証明書にサーバ名が必要な場合は、サブジェクトの共通名(CN)にサーバ名称もしくはIPアドレス(Internet Protocol address)を設定する。   In the next step S242, the machine name is acquired and the subject of the SSL server certificate is determined. Here, the subject of the SSL server certificate is arbitrary. Basically, a random character string is generated, and a unique subject is set in the CSR (certificate request). If a server name is required for the server certificate, the server name or IP address (Internet Protocol address) is set as the common name (CN) of the subject.

最後のステップS243では、CSRを作成して、ファイルに出力する(エンド)。   In the final step S243, a CSR is created and output to a file (END).

図4は、SSLサーバ証明書発行装置における証明書の発行業務の手順を表わしたものである。図1と共に説明する。認証局装置120内のSSLサーバ証明書発行装置125は、ステップS261でルートCA秘密鍵122の読み込みを行う。このルートCA秘密鍵122を復号する際に使用するパスワードは、SSLサーバ証明書発行装置125に埋め込まれた値やOSのシリアル番号等のデータをハッシュ化して、認証局構築装置111で生成したものと同じものを使用する。   FIG. 4 shows a procedure for issuing a certificate in the SSL server certificate issuing apparatus. This will be described with reference to FIG. The SSL server certificate issuing device 125 in the certificate authority device 120 reads the root CA private key 122 in step S261. The password used when decrypting the root CA private key 122 is generated by the certificate authority construction device 111 by hashing data such as a value embedded in the SSL server certificate issuing device 125 and the serial number of the OS. Use the same as.

次のステップS262では、CA運用に必要なルートCA証明書121、CA情報ファイル123およびSSLサーバ証明書プロファイル124の読み込みを行う。   In the next step S262, the root CA certificate 121, CA information file 123 and SSL server certificate profile 124 necessary for CA operation are read.

次のステップS263では、図3のステップS243で作成されたCSRを読み込んで、署名の検証を行う。   In the next step S263, the CSR created in step S243 in FIG. 3 is read to verify the signature.

次のステップS264では、SSLサーバ証明書を発行する。発行済み証明書はファイルとして出力する。   In the next step S264, an SSL server certificate is issued. The issued certificate is output as a file.

最後に、ステップS265で、ステップS262で読み込んだ管理情報であるCA情報ファイル123を更新して終了する(エンド)。   Finally, in step S265, the CA information file 123, which is the management information read in step S262, is updated and the process ends (END).

図5は、SSLサーバ証明書インストール装置によるインストールの処理を表わしたものである。図1に示したサーバソフトウェアセットアップ装置110内のSSLサーバ証明書インストール装置113は、まず、ルートCA証明書121をトラストアンカ(信頼するCA証明書)として設定する(ステップS281)。   FIG. 5 shows an installation process by the SSL server certificate installation apparatus. The SSL server certificate installation device 113 in the server software setup device 110 shown in FIG. 1 first sets the root CA certificate 121 as a trust anchor (trusted CA certificate) (step S281).

次のステップS282では、図4のステップS264で発行したSSLサーバ証明書を暗号通信用のSSLサーバ証明書として設定する。   In the next step S282, the SSL server certificate issued in step S264 of FIG. 4 is set as the SSL server certificate for encrypted communication.

そして、最後のステップS283では図3のステップS241で生成した秘密鍵を暗号通信用のSSLサーバ秘密鍵として設定して、処理を終了する(エンド)。   In the last step S283, the secret key generated in step S241 in FIG. 3 is set as the SSL server secret key for encryption communication, and the process ends (END).

なお、実施例で説明したサーバ装置100は、SSLサーバ証明書発行装置125で発行したSSLサーバ証明書が誤発行されたり、失効したときこれらのSSLサーバ証明書のリストの管理を行うCRL(Certificate Revocation List)管理部を備えていてもよい。サーバ装置100内の認証局装置120がこれらの最新のリストを定期的に発行することで、他の装置はSSLサーバ証明書が有効であるかを確認することができる。   Note that the server apparatus 100 described in the embodiment has a CRL (Certificate) that manages a list of SSL server certificates when the SSL server certificate issued by the SSL server certificate issuing apparatus 125 is erroneously issued or revoked. A Revocation List) management unit may be provided. The certificate authority device 120 in the server device 100 periodically issues these latest lists, so that other devices can check whether the SSL server certificate is valid.

以上説明したように本実施例では、サーバソフトウェアもしくは外部のソフトウェアを使用して鍵ペアの生成とCSR(証明書要求)の作成を行う。そして、CSRファイルを認証局装置120で受け取って、図4のステップ264でSSLサーバ証明書の発行を行っている。そしてこのSSLサーバ証明書をサーバソフトウェアにセットする。このため、システム運用者の手間を軽減することができ、SSLサーバ証明書の取得と配置が簡素化されるという効果がある。   As described above, in this embodiment, a key pair is generated and a CSR (certificate request) is generated using server software or external software. Then, the certificate authority device 120 receives the CSR file, and issues an SSL server certificate in step 264 of FIG. Then, this SSL server certificate is set in the server software. For this reason, the trouble of the system operator can be reduced, and there is an effect that the acquisition and arrangement of the SSL server certificate are simplified.

また、一般に、認証局装置120の構築には、鍵ペアの生成とCSR(証明書要求)の作成、およびCSRを基にして自己署名証明書を発行してルート証明書を作成することが必要である。更に、この認証局装置120でSSLサーバ証明書を発行するにはサーバソフトウェアからCSRを受け取り、CSRを検証して証明書の発行を行わなければならない。本実施例では、これらの各ステップを自動化しているので、システム運用者の手間を軽減することができる。したがって、SSLサーバ証明書を発行する認証局装置120の構築と運用が簡素化されるという効果がある。   In general, the construction of the certificate authority apparatus 120 requires generation of a key pair, creation of a CSR (certificate request), and creation of a root certificate by issuing a self-signed certificate based on the CSR. It is. Further, in order to issue the SSL server certificate by the certificate authority device 120, it is necessary to receive the CSR from the server software, verify the CSR, and issue the certificate. In this embodiment, each of these steps is automated, so that the labor of the system operator can be reduced. Therefore, there is an effect that the construction and operation of the certificate authority device 120 that issues the SSL server certificate is simplified.

本発明の一実施例におけるサーバ装置の構成を表わしたブロック図である。It is a block diagram showing the structure of the server apparatus in one Example of this invention. 本実施例で認証局についての自動構築処理の様子を表わした流れ図である。It is a flowchart showing the mode of automatic construction processing about a certificate authority in a present Example. 本実施例で鍵ペア・CSR作成装置によるSSLサーバ証明書向けの鍵ペア生成とCSR作成の処理を表わした流れ図である。It is the flowchart showing the key pair production | generation for SSL server certificates, and the CSR production | generation process by the key pair and CSR production | generation apparatus in a present Example. 本実施例でSSLサーバ証明書発行装置における認証局の証明書の発行業務の手順を表わした流れ図である。It is a flowchart showing the procedure of the certificate issue operation of the certificate authority in the SSL server certificate issuing device in this embodiment. 本実施例でSSLサーバ証明書インストール装置によるインストールの様子を表わした流れ図である。It is a flowchart showing the mode of installation by the SSL server certificate installation apparatus in a present Example. 従来技術としての第1の提案の概要を表わしたブロック図である。It is a block diagram showing the outline | summary of the 1st proposal as a prior art.

符号の説明Explanation of symbols

100 サーバ装置
101 CPU
102 制御プログラム格納部
110 サーバソフトウェアセットアップ装置
111 認証局構築装置
112 鍵ペア・CSR作成装置
113 SSLサーバ証明書インストール装置
120 認証局装置
125 SSLサーバ証明書発行装置 100 server apparatus 101 CPU
102 Control Program Storage Unit 110 Server Software Setup Device 111 Certificate Authority Construction Device 112 Key Pair / CSR Creation Device 113 SSL Server Certificate Installation Device 120 Certificate Authority Device 125 SSL Server Certificate Issuing Device

Claims (6)

電子的な証明書を使用してデータを暗号化して通信する際の秘密鍵と公開鍵の対を生成する鍵生成手段と、
ユニークな値を使用して前記証明書を発行される者の名称としてのサブジェクト名を設定する証明書サブジェクト名設定手段と、
この証明書サブジェクト名設定手段で設定した証明書のサブジェクト名を用いて証明書要求(CSR)を生成する証明書要求生成手段と、
この証明書要求生成手段によって生成した証明書要求を自装置に構築した認証局に送付してサーバ証明書の発行を要求するサーバ証明書発行要求手段と、
このサーバ証明書発行要求手段の要求に基づいて前記認証局がサーバ証明書を発行したときこれを受け取って前記鍵生成手段の設定した前記秘密鍵および公開鍵と対応付ける設定を行うサーバ証明書設定手段
とを具備することを特徴とするサーバ装置。 A key generating means for generating a pair of a private key and a public key when communicating by encrypting data using an electronic certificate;
A certificate subject name setting means for setting a subject name as a name of a person who issues the certificate using a unique value;
A certificate request generation unit that generates a certificate request (CSR) using the subject name of the certificate set by the certificate subject name setting unit;
A server certificate issuance request means for sending the certificate request generated by the certificate request generation means to a certificate authority built in the own apparatus and requesting the issuance of a server certificate;
Server certificate setting means for receiving the certificate issued by the certificate authority based on the request from the server certificate issuance request means and setting the certificate to be associated with the private key and public key set by the key generation means And a server device. 前記証明書サブジェクト名設定手段の使用する前記ユニークな値は、自装置を他と識別するために使用する装置名を含んでいることを特徴とする請求項1記載のサーバ装置。   2. The server device according to claim 1, wherein the unique value used by the certificate subject name setting unit includes a device name used to identify the own device from the other. 前記記ユニークな値は、装置名の他に乱数を使用するものであることを特徴とする請求項1記載のサーバ装置。   2. The server apparatus according to claim 1, wherein the unique value uses a random number in addition to the apparatus name. 前記自装置内部に前記認証局を構築する認証局構築手段を具備することを特徴とする請求項1記載のサーバ装置。   The server apparatus according to claim 1, further comprising a certificate authority construction unit configured to construct the certificate authority in the self apparatus. 前記サーバ証明書設定手段によって設定されたサーバ証明書のうちで失効したものの一覧を発行するCRL(Certificate Revocation List)発行手段を具備することを特徴とする請求項1記載のサーバ装置。   2. The server apparatus according to claim 1, further comprising CRL (Certificate Revocation List) issuing means for issuing a list of revoked server certificates set by the server certificate setting means. サーバ装置のコンピュータに、
電子的な証明書を使用してデータを暗号化して通信する際の秘密鍵と公開鍵の対を生成する鍵生成処理と、
ユニークな値を使用して前記証明書を発行される者の名称としてのサブジェクト名を設定する証明書サブジェクト名設定処理と、
この証明書サブジェクト名設定処理で設定した証明書のサブジェクト名を用いて証明書要求(CSR)を生成する証明書要求生成処理と、
この証明書要求生成処理によって生成した証明書要求を自装置内に構築した認証局に送付してサーバ証明書の発行を要求するサーバ証明書発行要求処理と、
このサーバ証明書発行要求処理での要求に基づいて前記認証局がサーバ証明書を発行したときこれを受け取って前記鍵生成処理で設定した前記秘密鍵および公開鍵と対応付ける設定を行うサーバ証明書設定処理
とを実行させることを特徴とするSSLサーバ証明書発行プログラム。 On the server device computer,
A key generation process for generating a pair of a private key and a public key when encrypting and communicating data using an electronic certificate;
A certificate subject name setting process for setting a subject name as a name of a person to whom the certificate is issued using a unique value;
A certificate request generation process for generating a certificate request (CSR) using the subject name of the certificate set in the certificate subject name setting process;
A server certificate issuance request process for requesting the issuance of a server certificate by sending the certificate request generated by the certificate request generation process to a certificate authority built in the own device;
Server certificate setting for receiving a certificate issued by the certificate authority based on a request in the server certificate issuance request process and setting the certificate to be associated with the private key and public key set in the key generation process An SSL server certificate issuance program characterized in that the processing is executed.
JP2007087718A 2007-03-29 2007-03-29 Server device and ssl server certificate issuing program Withdrawn JP2008252219A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007087718A JP2008252219A (en) 2007-03-29 2007-03-29 Server device and ssl server certificate issuing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007087718A JP2008252219A (en) 2007-03-29 2007-03-29 Server device and ssl server certificate issuing program

Publications (1)

Publication Number Publication Date
JP2008252219A true JP2008252219A (en) 2008-10-16

Family

ID=39976703

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007087718A Withdrawn JP2008252219A (en) 2007-03-29 2007-03-29 Server device and ssl server certificate issuing program

Country Status (1)

Country Link
JP (1) JP2008252219A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018113641A (en) * 2017-01-13 2018-07-19 Kddi株式会社 Communication system, vehicle, server device, communication method, and computer program
JP2018157473A (en) * 2017-03-21 2018-10-04 株式会社リコー Information processing apparatus, information processing system, and program
CN114598549A (en) * 2022-03-25 2022-06-07 杭州迪普科技股份有限公司 Client SSL certificate verification method and device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018113641A (en) * 2017-01-13 2018-07-19 Kddi株式会社 Communication system, vehicle, server device, communication method, and computer program
JP2018157473A (en) * 2017-03-21 2018-10-04 株式会社リコー Information processing apparatus, information processing system, and program
CN114598549A (en) * 2022-03-25 2022-06-07 杭州迪普科技股份有限公司 Client SSL certificate verification method and device
CN114598549B (en) * 2022-03-25 2023-07-07 杭州迪普科技股份有限公司 Customer SSL certificate verification method and device

Similar Documents

Publication Publication Date Title
CN108768664B (en) Key management method, device, system, storage medium and computer equipment
JP5105291B2 (en) Long-term signature server, long-term signature terminal, long-term signature terminal program
US9912485B2 (en) Method and apparatus for embedding secret information in digital certificates
US11283626B2 (en) Apparatus and methods for distributed certificate enrollment
CN101145906B (en) Method and system for authenticating legality of receiving terminal in unidirectional network
EP2606605B1 (en) Authentication device and system
WO2010067812A1 (en) Self-authentication communication equipment and equipment authentication system
CN102549595A (en) Information processing device, controller, certificate issuing authority, method of determining validity of revocation list, and method of issuing certificates
US7451307B2 (en) Communication apparatus, communication system, communication apparatus control method and implementation program thereof
JP4823704B2 (en) Authentication system, authentication information delegation method and security device in the same system
EP4252386A1 (en) Scalable key management for encrypting digital rights management authorization tokens
WO2021183441A1 (en) Privacy-preserving signature
WO2012114603A1 (en) Long-term-signature terminal, long-term-signature server, long-term-signature terminal program, and long-term-signature server program
JP2005348164A (en) Client terminal, gateway apparatus, and network equipped with these
JP2008252219A (en) Server device and ssl server certificate issuing program
JP5734095B2 (en) Terminal device, server device, electronic certificate issuing system, electronic certificate receiving method, electronic certificate transmitting method, and program
JP2010028689A (en) Server, method, and program for providing open parameter, apparatus, method, and program for performing encoding process, and apparatus, method, and program for executing signature process
CN114124403A (en) Method, device and system for realizing remote control of equipment
US11809170B2 (en) Industrial automation system device with secure communication, system and method
JP5477922B2 (en) Long-term signature verification server
US20240031176A1 (en) Certificate Validation Using a Multiple-Key-Pair Root Certificate Authority
Griffin KMIP Trust Establishment Proposal

Legal Events

Date Code Title Description
A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20100401