メールの暗号化と署名の付与をしてみよう

Windows ServerのCAでメールを安全に

2010年07月27日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

秘密鍵のアーカイブと回復

　証明書に必要なキーペアはクライアントで生成される。一方は、公開鍵として証明機関に送られ、他方は秘密鍵としてクライアント上のユーザープロファイル内にある特別な領域に保存される。

　そこで問題になるのが、クライアントPCの破損や紛失である。PCがなくなると秘密鍵が失われるため、暗号の解除ができなくなる。そのためWindows 2000以前では、「移動ユーザープロファイルを構成」と「個人で秘密キーをバックアップ」という対策が搭載されていた。しかし、移動プロファイルを構成するのは手間がかかるし、綿密な設計なしに構成された場合はトラブルを増やす。個人に秘密鍵のバックアップを依頼するのも現実的ではない。

　そこで、Windows Server 2003からは「秘密キーアーカイブ」機能が追加され、証明機関上に秘密キーをバックアップできるようになった。ただし、セキュリティレベルが低下しないように、秘密キーアーカイブを使用するには以下のステップを踏む必要がある。

(1)キー回復エージェントの登録

　アーカイブされたキーから、秘密キーを取り出せるユーザー回復エージェント）を登録する。そのためには回復エージェントの役割を持たせたいユーザーに「キー回復エージェント」証明書をインストールする

(2)証明機関でアーカイブ機能の有効化

　既定ではアーカイブ機能は無効である。キー回復エージェントを登録することで、アーカイブ機能を有効にできる

(3)証明書テンプレートでアーカイブ機能の有効化

　アーカイブを行なうかどうかは証明書テンプレート単位で設定できる。証明機関でアーカイブを有効にしたあと、証明書テンプレートでアーカイブを有効にする必要がある

キーのアーカイブの手順

　それでは、キーアーカイブの具体的な手順を紹介しよう。

(1)「発行する証明書テンプレート」に「キー回復エージェント」を追加

　管理ツール「証明機関」の「証明書テンプレート」を右クリックし「新規作成」－「発行する証明書テンプレート」を選択する。そして表示されるダイアログから「キー回復エージェント」を追加する（画面9）。これにより「キー回復エージェント」証明書が発行可能になる

画面9●キー回復エージェントを発行可能にする

(2)「キー回復エージェント」証明書の要求

　回復エージェントの役割を持たせたいユーザーでログオンし、証明書発行Webサイトにアクセスして、「キー回復エージェント」証明書をインストールする。ユーザーは、Domain AdminsまたはEnterprise Adminsグループに所属している必要がある。「キー回復エージェント」証明書テンプレートは、Domain AdminsとEnterprise Adminsにのみ登録の許可が設定されているからだ。

　回復エージェントは、セキュリティ上重要な役割を持つため、エンタープライズ証明機関のキーであるにもかかわらず自動発行されない。Webブラウザに画面10のようなメッセージが表示されるので、IDを控える

画面10●キー回復エージェント証明書の要求

(3)「キー回復エージェント」証明書の発行

　管理ツール「証明機関」の「保留中の要求」を選択し、先に控えた要求IDと同じIDを右クリックし「発行」を選択する（画面11）。証明書テンプレートの構成を変更することで自動発行も可能だが、セキュリティ上のリスクがあるのでお勧めしない

画面11●「キー回復エージェント」証明書の発行

(4)「キー回復エージェント」証明書のインストール

　再度、回復エージェントの役割を持たせたいユーザーで、証明書発行Webサイトにアクセスする（画面12）。以前要求した情報をクッキーで管理しているため、証明書を要求したのと同じコンピュータで操作すること。ここで、「保留中の証明書の要求の状態」を選択すると「保留中の証明書の要求の状態」が表示される。証明書のリンクをクリックすると、保留中の証明書が正式に発行される。あとは「この証明書のインストール」を選択すればよい