Web サーバ秘密鍵の再ターゲット

CA CEM と nCipher の併用 › nCipher 鍵とオペレータ用カードの使用 › Web サーバ秘密鍵の再ターゲット

Web サーバ秘密鍵の再ターゲット

注：このセクションは、Web サーバ用の秘密鍵がすでに nCipher によって生成されていると仮定します。

nCipher Security World によって、PKCS#11、Java JCE、OpenSSL、Microsoft CAPI （Windows 上）、nCipher のネイティブ API といったさまざまなアプリケーションプログラミングインターフェース（API）で鍵を利用できるようになります。鍵の生成時に指定したアプリケーションタイプに応じて、さまざまな情報が実際に暗号化されたキーマテリアルに保存されるため、その API からのアクセスが容易になります。

既存の鍵をほかのアプリケーションが利用できるようにすることができます。この処理を「再ターゲット」と呼びます。再ターゲットオペレーションによって、新しい鍵 BLOB がファイルシステムに保存されます。この鍵 BLOB には、新しいアプリケーションタイプと同じ暗号化されたキーマテリアルおよび新しいアクセス情報が含まれます。

以下は、各種の Web サーバソフトウェアパッケージで使用される API の限定的なリストです。

サーバ	プラットフォーム	API	アプリケーション
Apache	すべて	OpenSSL	embed
Sun ONE	すべて	PKCS#11	pkcs11
MS IIS	Windows	MS CAPI	mscapi
Tomcat	すべて（Java）	JCE	jce

TIM マシンでは、アプリケーションタイプが embed の鍵が必要です。 embed 鍵には、/opt/nfast/kmdata/local ディレクトリ内の暗号化された鍵 BLOB に加えて、embedsavefile というファイルが付随しています。このファイルによって、使用する特定の鍵 BLOB が OpenSSL に対して指定されます。

Sun ONE Web Server 鍵のアプリケーションタイプを pkcs11 から embed に変換する方法

アプリケーションタイプが pkcs11 の鍵を embed タイプに再ターゲットするには、以下の例を参照してください。

この例では、対象の鍵を保護しているのは MyOCS という 1/N オペレータ用カードで、HSM カードリーダ内にあると仮定します。デフォルト値をそのまま使用する場合は、Enter キーまたは Return キーを押します。

$ /opt/nfast/bin/generatekey --retarget embed
from-application: Source application? (custom, embed, hwcrhk, pkcs11, simple)
  [default custom] > pkcs11
from-ident: Source key identifier?
(uc66d0f2df3103e32c5703e8de0cfb172a1b35cf82-9051fc31c13c7716a1ac140fdea2eded04c0f419)
[default uc66d0f2df3103e32c5703e8de0cfb172a1b35cf82-9051fc31c13c7716a1ac140fdea2eded04c0f419]
>
embedsavefile: Filename to write key to? []
> /tmp/webserver1.pem
plainname: Key name? [] > webserver1
key generation parameters:
 operation         Operation to perform      retarget
 application       Application               embed
 slot              Slot to read cards from   0
 verify            Verify security of key    yes
 from-application  Source application        pkcs11
 from-ident        Source key identifier     uc66d0f2df3103e32c5703e8de0cfb172a1b35cf82-9051fc31c13c7716a1ac140fdea2eded04c0f419
 embedsavefile     Filename to write key to  /tmp/webserver1.pem
 plainname         Key name                  webserver1

Loading `MyOCS':
 Module 1: 0 cards of 1 read          
 Module 1 slot 0: `MyOCS' #1         
 Module 1 slot 0:- passphrase supplied - reading card                         
Card reading complete.            
                                 
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_embed_b4c36e18ff38d2d45a2df425abd9febfaf873da4