[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP6819388B2 - Information processing equipment, information processing systems, and programs - Google Patents

Information processing equipment, information processing systems, and programs Download PDF

Info

Publication number
JP6819388B2
JP6819388B2 JP2017054233A JP2017054233A JP6819388B2 JP 6819388 B2 JP6819388 B2 JP 6819388B2 JP 2017054233 A JP2017054233 A JP 2017054233A JP 2017054233 A JP2017054233 A JP 2017054233A JP 6819388 B2 JP6819388 B2 JP 6819388B2
Authority
JP
Japan
Prior art keywords
certificate
information processing
unit
private key
certificate authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017054233A
Other languages
Japanese (ja)
Other versions
JP2018157473A (en
Inventor
遊 土屋
遊 土屋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2017054233A priority Critical patent/JP6819388B2/en
Publication of JP2018157473A publication Critical patent/JP2018157473A/en
Application granted granted Critical
Publication of JP6819388B2 publication Critical patent/JP6819388B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、情報処理装置、情報処理システム、およびプログラムに関する。 The present invention relates to information processing devices, information processing systems, and programs.

従来、インターネット上でデータを暗号化して送受信する仕組みとして、SSL(Secure Sockets Layer)が知られている。SSL暗号化通信を用いることにより、例えば、サーバとPC(Personal Computer)間の通信における改ざんや盗聴等を回避することができる。 Conventionally, SSL (Secure Sockets Layer) is known as a mechanism for encrypting and transmitting / receiving data on the Internet. By using the SSL encrypted communication, for example, falsification or eavesdropping in the communication between the server and the PC (Personal Computer) can be avoided.

このような暗号化通信において用いるSSLサーバ証明書では、要求書の作成を行ってから、認証局が署名を行わなければならない。要求書の作成と認証局による署名とは、物理的に離れたところで行われる。従って、通信もしくは不揮発メモリ等によって、直接認証局に要求書を届けることが必要となる。そのため、要求書の作成と認証局の機能とを1つの装置に内包する手法が考えられている。 In the SSL server certificate used in such encrypted communication, the certificate authority must sign after creating the request form. The request is created and signed by the certificate authority at a physical distance. Therefore, it is necessary to deliver the request form directly to the certificate authority by communication or non-volatile memory. Therefore, a method has been considered in which the creation of a request form and the function of a certificate authority are included in one device.

例えば、SSLサーバ証明書の発行に際してシステム運用者のシステム構築と運用の手間を削減するサーバ装置が知られている(特許文献1参照)。特許文献1のサーバ装置では、SSLサーバ証明書を発行する認証局を自装置内に構築することで、要求書の作成と認証局の機能とを1つの装置に内包するものである。 For example, a server device that reduces the time and effort required for system construction and operation by a system operator when issuing an SSL server certificate is known (see Patent Document 1). In the server device of Patent Document 1, by constructing a certificate authority that issues an SSL server certificate in its own device, the creation of a request form and the function of the certificate authority are included in one device.

しかしながら、特許文献1のようなサーバ装置が複数台あった場合、複数のサーバ装置では各々のルートCA証明書に基づいてSSLサーバ証明書を発行することになる。従って、ユーザが複数台のサーバ装置についてSSLサーバ証明書の検証を行う際には、複数台のサーバ装置各々のルートCA証明書をインストールしなければならないため、ユーザの手間が多く煩雑であった。 However, when there are a plurality of server devices as in Patent Document 1, the plurality of server devices issue an SSL server certificate based on each root CA certificate. Therefore, when the user verifies the SSL server certificate for a plurality of server devices, the root CA certificate for each of the plurality of server devices must be installed, which is troublesome and complicated for the user. ..

本発明は、上記に鑑みてなされたものであって、SSLサーバ証明書を発行する複数の情報処理装置に接続する場合の手間を省き、利便性を向上させる情報処理装置、情報処理システム、およびプログラムを得ることを目的とする。 The present invention has been made in view of the above, and is an information processing device, an information processing system, and an information processing system that saves time and effort when connecting to a plurality of information processing devices that issue SSL server certificates and improves convenience. The purpose is to get the program.

上述した課題を解決し、目的を達成するために、本発明は、情報処理装置であって、外部装置から取得したルート証明書および秘密鍵に基づいて、前記情報処理装置の内部に認証局の機能を有する認証局装置を構築する認証局構築部と、電子証明書の発行に用いる要求書を作成する要求書作成部と、前記認証局装置に備えられ、前記要求書に署名を行って前記電子証明書を発行する証明書発行部と、発行された前記電子証明書をインストールするインストール部と、を備える。 In order to solve the above-mentioned problems and achieve the object, the present invention is an information processing device, and a certificate authority is inside the information processing device based on a root certificate and a private key obtained from the external device. The certificate authority construction unit that constructs the certificate authority device having a function, the request form creation unit that creates the request form used for issuing the digital certificate, and the certificate authority device are provided, and the request form is signed and described. It includes a certificate issuing unit that issues a digital certificate and an installation unit that installs the issued digital certificate.

本発明によれば、SSLサーバ証明書を発行する複数の情報処理装置に接続する場合の手間を省き、利便性を向上させることができるという効果を奏する。 According to the present invention, it is possible to save the trouble of connecting to a plurality of information processing devices that issue SSL server certificates and improve the convenience.

図1は、実施形態にかかる情報処理システムの全体構成図である。FIG. 1 is an overall configuration diagram of an information processing system according to an embodiment. 図2は、実施形態にかかる情報処理装置のハードウェア構成図である。FIG. 2 is a hardware configuration diagram of the information processing device according to the embodiment. 図3は、実施形態にかかる情報処理装置の構成を示す機能ブロック図である。FIG. 3 is a functional block diagram showing the configuration of the information processing apparatus according to the embodiment. 図4は、認証局による各種書類の作成処理の流れを示すフローチャートである。FIG. 4 is a flowchart showing the flow of the process of creating various documents by the certificate authority. 図5は、情報処理装置の認証局装置によるSSLサーバ証明書の発行処理の流れを示すフローチャートである。FIG. 5 is a flowchart showing the flow of the SSL server certificate issuance process by the certificate authority device of the information processing device. 図6は、情報処理装置によるインストール処理の流れを示すフローチャートである。FIG. 6 is a flowchart showing the flow of the installation process by the information processing device. 図7は、情報処理装置によるインストール処理の流れを示すフローチャートである。FIG. 7 is a flowchart showing the flow of the installation process by the information processing device.

以下に添付図面を参照して、情報処理装置、情報処理システム、およびプログラムの実施形態を詳細に説明する。本実施形態の情報処理システムは、例えばPC(Personal Computer)等の情報処理装置がネットワークを介して複数台接続されて構成されている。 The information processing apparatus, the information processing system, and the embodiment of the program will be described in detail with reference to the accompanying drawings. The information processing system of the present embodiment is configured by connecting a plurality of information processing devices such as a PC (Personal Computer) via a network.

図1は、実施形態にかかる情報処理システムの全体構成図である。図1に示すように、本実施形態の情報処理システム1は、ユーザが接続するサーバ装置となる情報処理装置100a、100b、認証局(CA:Certificate Authority)200と、書込み装置300と、を備えて構成されている。本実施形態では、認証局200は、ルート認証局となっている。 FIG. 1 is an overall configuration diagram of an information processing system according to an embodiment. As shown in FIG. 1, the information processing system 1 of the present embodiment includes information processing devices 100a and 100b, a certificate authority (CA) 200, and a writing device 300, which are server devices to which a user connects. It is composed of. In this embodiment, the certificate authority 200 is a root certificate authority.

また、本実施形態では、2台の情報処理装置100a、100bを備えた構成となっているが、1台、または3台以上の情報処理装置を備えていてもよい。以下では、情報処理装置100a、100bのうち任意の装置を示す場合は、単に「情報処理装置100」と称する。 Further, in the present embodiment, the configuration is provided with two information processing devices 100a and 100b, but one or three or more information processing devices may be provided. In the following, when any device among the information processing devices 100a and 100b is shown, it is simply referred to as "information processing device 100".

本実施形態の情報処理システム1では、電子証明書を発行可能な認証局200が鍵ペア(CA秘密鍵およびCA公開鍵)および自らの正当性を証明するルートCA証明書を作成する。そして、認証局200により作成されたルートCA証明書およびCA秘密鍵は、書込み装置300によって情報処理装置100の記憶媒体に書き込まれる。情報処理装置100は、この書き込まれたルートCA証明書およびCA秘密鍵によって、自装置内に認証局の機能を備える認証局装置を構築し、当該認証局装置がSSLサーバ証明書(電子証明書の一例)を発行する。 In the information processing system 1 of the present embodiment, the certificate authority 200 capable of issuing an electronic certificate creates a key pair (CA private key and CA public key) and a root CA certificate proving its own validity. Then, the root CA certificate and the CA private key created by the certificate authority 200 are written by the writing device 300 to the storage medium of the information processing device 100. The information processing device 100 constructs a certificate authority device having a function of a certificate authority in its own device by using the written root CA certificate and the CA private key, and the certificate authority device is an SSL server certificate (electronic certificate). An example) is issued.

まず、情報処理装置100のハードウェア構成について図を用いて説明する。図2は、実施形態にかかる情報処理装置のハードウェア構成図である。 First, the hardware configuration of the information processing apparatus 100 will be described with reference to the drawings. FIG. 2 is a hardware configuration diagram of the information processing device according to the embodiment.

情報処理装置100は、CPU(Central Processing Unit)51などの制御装置と、ROM(Read Only Memory)52やRAM(Random Access Memory)53などの記憶装置と、ネットワークに接続して通信を行う通信I/F54と、HDD(Hard Disk Drive)55などの外部記憶装置と、ディスプレイ装置などの表示装置56と、キーボードやマウスなどの入力装置57と、各部を接続するバス58を備えており、通常のコンピュータを利用したハードウェア構成となっている。 The information processing device 100 communicates with a control device such as a CPU (Central Processing Unit) 51 and a storage device such as a ROM (Read Only Memory) 52 or a RAM (Random Access Memory) 53 by connecting to a network. It is equipped with an external storage device such as / F54, an HDD (Hard Disk Drive) 55, a display device 56 such as a display device, an input device 57 such as a keyboard and a mouse, and a bus 58 for connecting each part. It has a hardware configuration that uses a computer.

なお、認証局200および書込み装置300についても、情報処理装置100と同様のハードウェア構成となっている。 The certificate authority 200 and the writing device 300 also have the same hardware configuration as the information processing device 100.

認証局200は、情報処理装置100内に認証局の機能を有する認証局装置を構築する際に必要なCA秘密鍵およびルートCA証明書等の作成を行い、書込み装置300に送信する。認証局200が外部装置の一例であり、CA秘密鍵が秘密鍵、ルートCA証明書がルート証明書に相当する。 The certificate authority 200 creates a CA private key, a root CA certificate, and the like necessary for constructing a certificate authority device having a function of a certificate authority in the information processing device 100, and transmits the CA private key and the root CA certificate to the writing device 300. The certificate authority 200 is an example of an external device, the CA private key corresponds to the private key, and the root CA certificate corresponds to the root certificate.

書込み装置300は、各々の情報処理装置100a、100bに対して、認証局200により作成されたルートCA証明書およびCA秘密鍵を、情報処理装置100(100a、100b)に送信し、記憶媒体である第1記憶部110(図3参照)に書き込む。 The writing device 300 transmits the root CA certificate and the CA private key created by the certificate authority 200 to the information processing devices 100a and 100b to the information processing devices 100 (100a and 100b), and uses a storage medium. Write to a first storage unit 110 (see FIG. 3).

次に、情報処理装置100の機能構成について説明する。図3は、実施形態にかかる情報処理装置の構成を示す機能ブロック図である。図3に示すように、情報処理装置100は、第1記憶部110と、第2記憶部120と、通信制御部101と、鍵ペア作成部102と、要求書作成部103と、インストール部104と、秘密鍵削除部105と、表示制御部106と、を備えており、さらにSSLサーバ証明書を発行する認証局装置150を有している。 Next, the functional configuration of the information processing apparatus 100 will be described. FIG. 3 is a functional block diagram showing the configuration of the information processing apparatus according to the embodiment. As shown in FIG. 3, the information processing apparatus 100 includes a first storage unit 110, a second storage unit 120, a communication control unit 101, a key pair creation unit 102, a request form creation unit 103, and an installation unit 104. It also includes a private key deletion unit 105, a display control unit 106, and a certificate authority device 150 that issues an SSL server certificate.

第1記憶部110および第2記憶部120は、各種情報を保存するものであって、ROM52やHDD55により実現される。本実施形態では、第1記憶部110は、例えば、認証局200によって作成され、書込み装置300経由で受信したルートCA証明書およびCA秘密鍵が保存される。また、第2記憶部120は、例えば、認証局装置150により発行されたSSLサーバ証明書がインストールされる。なお、第1記憶部110および第2記憶部120は、記憶部の一例である。 The first storage unit 110 and the second storage unit 120 store various types of information, and are realized by the ROM 52 and the HDD 55. In the present embodiment, the first storage unit 110 stores, for example, the root CA certificate and the CA private key created by the certificate authority 200 and received via the writing device 300. Further, for example, the SSL server certificate issued by the certificate authority device 150 is installed in the second storage unit 120. The first storage unit 110 and the second storage unit 120 are examples of storage units.

認証局装置150は、情報処理装置100の内部に構築される認証局の機能を有する装置であって、さらに、認証局構築部151と、サーバ証明書発行部152とを備えている。 The certificate authority device 150 is a device having a function of a certificate authority built inside the information processing device 100, and further includes a certificate authority construction unit 151 and a server certificate issuing unit 152.

認証局構築部151は、認証局200から受信(取得)した認証局200のルートCA証明書およびCA秘密鍵を第1記憶部110から取得し、取得したルートCA証明書およびCA秘密鍵に基づいて、情報処理装置100の内部に認証局の機能を有する認証局装置を構築する。 The certificate authority construction unit 151 acquires the root CA certificate and CA private key of the certificate authority 200 received (acquired) from the certificate authority 200 from the first storage unit 110, and is based on the acquired root CA certificate and CA private key. Therefore, a certificate authority device having a function of a certificate authority is constructed inside the information processing device 100.

サーバ証明書発行部152は、SSLサーバ証明書を発行するための要求書を要求書作成部103から取得した場合、要求書に署名を行ってSSLサーバ証明書を発行する。サーバ証明書発行部152は、証明書発行部に相当する。 When the server certificate issuing unit 152 obtains the request form for issuing the SSL server certificate from the request form creating unit 103, the server certificate issuing unit 152 signs the request form and issues the SSL server certificate. The server certificate issuing unit 152 corresponds to the certificate issuing unit.

通信制御部101は、外部装置等との間の通信を制御するものであって、本実施形態では、書込み装置300から、認証局200により作成されたルートCA証明書とCA秘密鍵を受信する。 The communication control unit 101 controls communication with an external device or the like, and in the present embodiment, receives the root CA certificate and the CA private key created by the certificate authority 200 from the writing device 300. ..

また、通信制御部101は、認証局装置150により発行されたSSLサーバ証明書が失効した場合、外部にある認証局200に新たなSSLサーバ証明書を発行してもらうための新たな要求書を送信する。そして、通信制御部101は、認証局200から、送信した新たな要求書に基づいて発行された新たなSSLサーバ証明書を受信する。 Further, when the SSL server certificate issued by the certificate authority device 150 is revoked, the communication control unit 101 issues a new request for having the external certificate authority 200 issue a new SSL server certificate. Send. Then, the communication control unit 101 receives a new SSL server certificate issued from the certificate authority 200 based on the new request form transmitted.

ここで、SSLサーバ証明書には、所定の有効期限が設定されている。本実施形態では、例えば、SSLサーバ証明書の有効期限は10年間である。 Here, a predetermined expiration date is set in the SSL server certificate. In this embodiment, for example, the SSL server certificate has an expiration date of 10 years.

鍵ペア作成部102は、情報処理装置100においてSSLサーバ証明書を発行する際に用いる鍵ペア(公開鍵および秘密鍵)を作成する。なお、作成する鍵ペアは、長期間使用するため暗号強度の高いアルゴリズム、鍵長を選択することが望ましい。 The key pair creation unit 102 creates a key pair (public key and private key) used when issuing an SSL server certificate in the information processing device 100. For the key pair to be created, it is desirable to select an algorithm and key length with high cipher strength for long-term use.

要求書作成部103は、鍵ペアが作成された後、基板情報や製造番号等に基づいてSSLサーバ証明書を発行するために必要な署名の要求を行う要求書を作成する。そして、要求書作成部103は、作成した要求書を認証局装置150に送付して署名要求を行う。 After the key pair is created, the request form creation unit 103 creates a request form for requesting the signature necessary for issuing the SSL server certificate based on the board information, the serial number, and the like. Then, the request form creation unit 103 sends the created request form to the certificate authority device 150 to make a signature request.

また、要求書作成部103は、認証局装置150により発行されたSSLサーバ証明書が失効した場合、新たなSSLサーバ証明書の発行に用いる新たな要求書を作成する。そして、作成した新たな要求書は、認証局200に送信される。 Further, the request form creation unit 103 creates a new request form to be used for issuing a new SSL server certificate when the SSL server certificate issued by the certificate authority device 150 has expired. Then, the created new request form is transmitted to the certificate authority 200.

インストール部104は、認証局装置150により発行されたSSLサーバ証明書をインストールする。また、インストール部104は、認証局200により発行され、送信された新たなSSLサーバ証明書をインストールする。 The installation unit 104 installs the SSL server certificate issued by the certificate authority device 150. In addition, the installation unit 104 installs a new SSL server certificate issued and transmitted by the certificate authority 200.

秘密鍵削除部105は、認証局装置150が発行したSSLサーバ証明書がインストールされた場合、第1記憶部110に保存されたCA秘密鍵を所定のデータ削除方式に基づいて削除する。CA秘密鍵の削除方法としては、重要な情報であることを考え、本実施形態では、NAVSO P-5239-26などの方式で、疑似乱数生成器(PRNG)や固定値を用いて上書きを3回以上行う方式とする。 When the SSL server certificate issued by the certificate authority device 150 is installed, the private key deletion unit 105 deletes the CA private key stored in the first storage unit 110 based on a predetermined data deletion method. Considering that it is important information as a method of deleting the CA private key, in this embodiment, overwriting is performed using a pseudo-random number generator (PRNG) or a fixed value by a method such as NAVSO P-5239-26. The method is to perform more than once.

表示制御部106は、SSLサーバ証明書が失効した場合、その旨をディスプレイ等の表示部に表示する。表示制御部106は、出力制御部の一例である。本実施形態では、SSLサーバ証明書の失効の旨を表示する構成とした、音声等他の出力方法を用いてもよい。 When the SSL server certificate has expired, the display control unit 106 displays the fact on a display unit such as a display. The display control unit 106 is an example of an output control unit. In the present embodiment, another output method such as voice may be used, which is configured to display the fact that the SSL server certificate has expired.

次に、認証局200における各種書類の作成処理の流れを説明する。図4は、認証局による各種書類の作成処理の流れを示すフローチャートである。 Next, the flow of the process of creating various documents in the certificate authority 200 will be described. FIG. 4 is a flowchart showing the flow of the process of creating various documents by the certificate authority.

認証局200は、まず、鍵ペア(CA公開鍵およびCA秘密鍵)を作成する(ステップS101)。ここで作成する鍵ペアは、NIST(National Institute of Standards and Technology)が公開している使用推奨期間から10年以上使用できるアルゴリズムを使用する。 The certificate authority 200 first creates a key pair (CA public key and CA private key) (step S101). The key pair created here uses an algorithm that can be used for 10 years or more from the recommended usage period published by the NIST (National Institute of Standards and Technology).

次に、認証局200は、署名要求書(CSR:Certificate Signing Request)を作成する(ステップS102)。認証局200は、署名要求書に対する自己署名証明書を発行し、ルートCA証明書とする(ステップS103)。ルートCA証明書には、先に作成したCA公開鍵等が含まれている。そして、認証局200は、ルートCA証明書と鍵ペアにおけるCA秘密鍵を書込み装置300に送信する(ステップS104)。そして、書込み装置300は、受信したルートCA証明書とCA秘密鍵を、情報処理装置100の第1記憶部110に書込む。 Next, the certificate authority 200 creates a signing request (CSR: Certificate Signing Request) (step S102). The certificate authority 200 issues a self-signed certificate for the signing request and uses it as a root CA certificate (step S103). The root CA certificate includes the CA public key and the like created earlier. Then, the certificate authority 200 transmits the root CA certificate and the CA private key in the key pair to the writing device 300 (step S104). Then, the writing device 300 writes the received root CA certificate and CA private key into the first storage unit 110 of the information processing device 100.

CA秘密鍵は、読み取り防止や改ざん防止のためにパスワードを使用し、AES(Advanced Encryption Standard)による暗号化とハッシュを生成する。なお、このアルゴリズムも使用推奨期間から10年以上使用できるものを選択する。また、情報処理装置100の内部に構築された認証局の機能を有する認証局装置150でも使用できるよう、CA秘密鍵に用いるパスワードは情報処理装置100と共有しておく。 The CA private key uses a password to prevent reading and tampering, and generates encryption and hash by AES (Advanced Encryption Standard). Also, select an algorithm that can be used for 10 years or more from the recommended usage period. Further, the password used for the CA private key is shared with the information processing device 100 so that it can be used by the certificate authority device 150 having the function of the certificate authority built inside the information processing device 100.

次に、認証局の機能を有する認証局装置150を構築し、SSLサーバ証明書を発行する処理の流れを説明する。図5は、情報処理装置の認証局装置によるSSLサーバ証明書の発行処理の流れを示すフローチャートである。 Next, the flow of the process of constructing the certificate authority device 150 having the function of the certificate authority and issuing the SSL server certificate will be described. FIG. 5 is a flowchart showing the flow of the SSL server certificate issuance process by the certificate authority device of the information processing device.

まず、認証局構築部151は、認証局200から受信したルートCA証明書およびCA秘密鍵を第1記憶部110から取得する(ステップS121)。認証局構築部151は、取得したルートCA証明書およびCA秘密鍵に基づいて運用に必要な情報の設定を行い、情報処理装置100の内部に認証局の機能を備えた認証局装置150を構築する(ステップS122)。なお、CA秘密鍵のパスワードは事前に共有しているため、読み込むことが可能となっている。 First, the certificate authority construction unit 151 acquires the root CA certificate and the CA private key received from the certificate authority 200 from the first storage unit 110 (step S121). The certificate authority construction unit 151 sets the information necessary for operation based on the acquired root CA certificate and CA private key, and constructs the certificate authority device 150 having the function of the certificate authority inside the information processing device 100. (Step S122). Since the password of the CA private key is shared in advance, it can be read.

認証局装置150のサーバ証明書発行部152は、要求書作成部103から要求書を取得するまで待機する(ステップS123:No)。そして、要求書を取得した場合(ステップS123:Yes)、署名を行ってSSLサーバ証明書を発行する(ステップS124)。この時、サーバ証明書発行部152は、要求書の内容をハッシュした値をCA秘密鍵で暗号化することで署名を行う。 The server certificate issuing unit 152 of the certificate authority device 150 waits until the request form is acquired from the request form creating unit 103 (step S123: No). Then, when the request form is acquired (step S123: Yes), it is signed and the SSL server certificate is issued (step S124). At this time, the server certificate issuing unit 152 signs by encrypting the hashed value of the contents of the request form with the CA private key.

次に、サーバ装置としての役割を果たす情報処理装置100によるSSLサーバ証明書のインストール処理の流れについて説明する。図6は、情報処理装置によるインストール処理の流れを示すフローチャートである。 Next, the flow of the SSL server certificate installation process by the information processing device 100 that plays a role as a server device will be described. FIG. 6 is a flowchart showing the flow of the installation process by the information processing device.

まず、鍵ペア作成部102は、SSLサーバ証明書に用いる鍵ペア(公開鍵および秘密鍵)を作成する(ステップS141)。その際も上述と同様に、NISTが公開している使用推奨期間から10年以上使用できるアルゴリズムを使用する。 First, the key pair creation unit 102 creates a key pair (public key and private key) used for the SSL server certificate (step S141). In that case, as described above, an algorithm that can be used for 10 years or more from the recommended usage period published by NIST is used.

要求書作成部103は、基板情報や製造番号等に基づいて要求書を作成する(ステップS142)。このとき、作成した秘密鍵は、パスワードを用いてAESなどで暗号化しハッシュを生成する。そして、要求書作成部103は、認証局装置150に作成した要求書を送付して、認証局装置150に署名要求を行う(ステップS143)。 The request form creation unit 103 creates a request form based on the board information, the serial number, and the like (step S142). At this time, the created private key is encrypted with AES or the like using a password to generate a hash. Then, the request form creation unit 103 sends the created request form to the certificate authority device 150 and makes a signature request to the certificate authority device 150 (step S143).

認証局装置150により署名が行われSSLサーバ証明書が発行されると、インストール部104は、認証局装置150が発行したSSLサーバ証明書を取得し、取得したSSLサーバ証明書をインストールする(ステップS144)。SSLサーバ証明書をインストールした後、秘密鍵削除部105はCA秘密鍵を削除する(ステップS145)。 When the certificate authority device 150 signs and the SSL server certificate is issued, the installation unit 104 acquires the SSL server certificate issued by the certificate authority device 150 and installs the acquired SSL server certificate (step). S144). After installing the SSL server certificate, the private key deletion unit 105 deletes the CA private key (step S145).

次に、SSLサーバ証明書が失効した場合に、新たなSSLサーバ証明書をインストールする処理の流れについて説明する。図7は、情報処理装置によるインストール処理の流れを示すフローチャートである。 Next, the flow of the process of installing a new SSL server certificate when the SSL server certificate has expired will be described. FIG. 7 is a flowchart showing the flow of the installation process by the information processing device.

表示制御部106は、SSLサーバ証明書が失効すると(ステップS161)、SSLサーバ証明書が失効した旨をディスプレイなどの表示部に表示してユーザに知らせる(ステップS162)。そして、要求書作成部103は、新たな要求書を作成し(ステップS163)、通信制御部101は、作成された新たな要求書を認証局200に送信する(ステップS164)。 When the SSL server certificate has expired (step S161), the display control unit 106 displays on a display unit such as a display to notify the user that the SSL server certificate has expired (step S162). Then, the request form creation unit 103 creates a new request form (step S163), and the communication control unit 101 transmits the created new request form to the certificate authority 200 (step S164).

通信制御部101は、新たな要求書に基づいて作成された新たなSSLサーバ証明書を認証局200から受信する(ステップS165)。インストール部104は、認証局200が発行した新たなSSLサーバ証明書をインストールする(ステップS166)。 The communication control unit 101 receives a new SSL server certificate created based on the new request form from the certificate authority 200 (step S165). The installation unit 104 installs a new SSL server certificate issued by the certificate authority 200 (step S166).

このように、本実施形態の情報処理システムでは、認証局200がルートCA証明書とCA秘密鍵を作成し、自装置に認証局装置を構築してSSLサーバ証明書の署名を行いたい情報処理装置100の第1記憶部110に、作成したルートCA証明書とCA秘密鍵を記憶させる。情報処理装置100は、第1記憶部110に記憶させたルートCA証明書とCA秘密鍵から、自装置内に認証局装置150を構築する。そして、情報処理装置100は、SSLサーバ証明書を発行するために、要求書を自装置内で作成して構築した認証局装置150に送付して署名を要求する。認証局装置150は、署名を行うことでSSLサーバ証明書を発行しインストールすると、CA秘密鍵が1つになるよう、情報処理装置100内のCA秘密鍵を削除する。 As described above, in the information processing system of the present embodiment, the certificate authority 200 creates the root CA certificate and the CA private key, constructs the certificate authority device in its own device, and wants to sign the SSL server certificate. The created root CA certificate and CA private key are stored in the first storage unit 110 of the device 100. The information processing device 100 constructs the certificate authority device 150 in its own device from the root CA certificate and the CA private key stored in the first storage unit 110. Then, in order to issue the SSL server certificate, the information processing apparatus 100 sends a request form to the certificate authority apparatus 150 constructed in its own apparatus to request a signature. When the certificate authority device 150 issues and installs the SSL server certificate by signing, the CA private key in the information processing device 100 is deleted so that the CA private key becomes one.

これにより、認証局200が作成したルートCA証明書とCA秘密鍵に基づいて複数の情報処理装置100が、自装置に認証局装置150を構築する。そして、当該複数の情報処理装置100と接続する場合、ユーザは一つのルートCA証明書をインストールすれば、複数の情報処理装置100それぞれが発行したSSLサーバ証明書を検証することができる。そのため、SSLサーバ証明書を発行する複数の情報処理装置100に接続する場合の手間を省き、利便性を向上させることができる。 As a result, the plurality of information processing devices 100 construct the certificate authority device 150 in their own device based on the root CA certificate and the CA private key created by the certificate authority 200. Then, when connecting to the plurality of information processing devices 100, the user can verify the SSL server certificate issued by each of the plurality of information processing devices 100 by installing one root CA certificate. Therefore, it is possible to save time and effort when connecting to a plurality of information processing devices 100 that issue SSL server certificates, and improve convenience.

本実施形態の情報処理装置で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。 The program executed by the information processing apparatus of the present embodiment is a file in an installable format or an executable format on a computer such as a CD-ROM, flexible disk (FD), CD-R, or DVD (Digital Versatile Disk). It is recorded and provided on a readable recording medium.

また、本実施形態の情報処理装置で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、本実施形態の情報処理装置で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。 Further, the program executed by the information processing apparatus of the present embodiment may be stored on a computer connected to a network such as the Internet and provided by downloading via the network. Further, the program executed by the information processing apparatus of the present embodiment may be configured to be provided or distributed via a network such as the Internet.

また、本実施形態の情報処理装置で実行されるプログラムを、ROM等に予め組み込んで提供するように構成してもよい。本実施形態の情報処理装置で実行されるプログラムは、上述した各部(通信制御部、認証局構築部、サーバ証明書発行部、鍵ペア作成部、要求書作成部、インストール部、秘密鍵削除部、表示制御部)を含むモジュール構成となっており、実際のハードウェアとしてはCPU(プロセッサ)が上記記憶媒体からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、上記各部が主記憶装置上に生成されるようになっている。また、例えば、上述した各部の機能のうちの一部または全部が専用のハードウェア回路で実現されてもよい。 Further, the program executed by the information processing apparatus of the present embodiment may be configured to be provided by incorporating it into a ROM or the like in advance. The program executed by the information processing unit of the present embodiment includes the above-mentioned parts (communication control unit, authentication authority construction unit, server certificate issuing unit, key pair creation unit, request form creation unit, installation unit, and private key deletion unit. , Display control unit) is included, and as actual hardware, the CPU (processor) reads the program from the storage medium and executes it, so that each part is loaded on the main storage device and the above parts are loaded. Is to be generated on the main memory. Further, for example, a part or all of the functions of the above-mentioned parts may be realized by a dedicated hardware circuit.

1 情報処理システム
100(100a、100b) 情報処理装置
101 通信制御部
102 鍵ペア作成部
103 要求書作成部
104 インストール部
105 秘密鍵削除部
106 表示制御部
110 第1記憶部
120 第2記憶部
150 認証局装置
151 認証局構築部
152 サーバ証明書発行部
200 認証局
300 書込み装置
1 Information system 100 (100a, 100b) Information processing device 101 Communication control unit 102 Key pair creation unit 103 Request form creation unit 104 Installation unit 105 Private key deletion unit 106 Display control unit 110 1st storage unit 120 2nd storage unit 150 Certificate Authority Equipment 151 Certificate Authority Construction Department 152 Server Certificate Issuing Department 200 Certificate Authority 300 Writing Device

特開2008−252219号公報Japanese Unexamined Patent Publication No. 2008-252219

Claims (9)

情報処理装置であって、
外部装置から取得したルート証明書および秘密鍵に基づいて、前記情報処理装置の内部に認証局の機能を有する認証局装置を構築する認証局構築部と、
電子証明書の発行に用いる要求書を作成する要求書作成部と、
前記認証局装置に備えられ、前記要求書に署名を行って前記電子証明書を発行する証明書発行部と、
発行された前記電子証明書をインストールするインストール部と、を備える、情報処理装置。
It is an information processing device
A certificate authority construction unit that builds a certificate authority device having a certificate authority function inside the information processing device based on a root certificate and a private key obtained from an external device.
The request form creation department that creates the request form used for issuing digital certificates,
A certificate issuing unit provided in the certificate authority device, which signs the request form and issues the digital certificate,
An information processing device including an installation unit for installing the issued digital certificate.
前記外部装置から取得した前記ルート証明書および前記秘密鍵を保存する記憶部と、
前記電子証明書がインストールされた場合、前記記憶部に保存された前記秘密鍵を削除する秘密鍵削除部と、をさらに備える、請求項1に記載の情報処理装置。
A storage unit that stores the root certificate and the private key obtained from the external device, and
The information processing device according to claim 1, further comprising a private key deletion unit that deletes the private key stored in the storage unit when the digital certificate is installed.
前記要求書作成部は、前記証明書発行部により発行された前記電子証明書が失効した場合、新たな電子証明書の発行に用いる新たな要求書を作成し、
前記新たな要求書を前記情報処理装置の外部に接続された認証局に送信する通信制御部をさらに備える、請求項2に記載の情報処理装置。
The request form preparation unit creates a new request form to be used for issuing a new digital certificate when the digital certificate issued by the certificate issuing unit expires.
The information processing apparatus according to claim 2, further comprising a communication control unit that transmits the new request to an authentication authority connected to the outside of the information processing apparatus.
前記通信制御部は、前記認証局から、前記新たな要求書に基づいて発行された前記新たな電子証明書を受信し、
前記インストール部は、受信した前記新たな電子証明書をインストールする、請求項3に記載の情報処理装置。
The communication control unit receives the new digital certificate issued based on the new request from the certificate authority, and receives the new digital certificate.
The information processing device according to claim 3, wherein the installation unit installs the new digital certificate received.
前記電子証明書が失効した場合、その旨を出力する出力制御部をさらに備える、請求項3または4に記載の情報処理装置。 The information processing device according to claim 3 or 4, further comprising an output control unit that outputs the fact that the digital certificate has expired. 前記秘密鍵削除部は、前記秘密鍵を所定のデータ削除方式に基づいて削除する、請求項2〜5のいずれか一つに記載の情報処理装置。 The information processing device according to any one of claims 2 to 5, wherein the private key deletion unit deletes the private key based on a predetermined data deletion method. 前記電子証明書は、所定の有効期限が設定されている、請求項1〜6のいずれか一つに記載の情報処理装置。 The information processing device according to any one of claims 1 to 6, wherein the digital certificate has a predetermined expiration date. 外部装置と、前記外部装置とネットワークを介して接続された情報処理装置と、を備えた情報処理システムであって、
前記情報処理装置は、
前記外部装置から取得したルート証明書および秘密鍵に基づいて、前記情報処理装置の内部に認証局の機能を有する認証局装置を構築する認証局構築部と、
電子証明書の発行に用いる要求書を作成する要求書作成部と、
前記認証局装置に備えられ、前記要求書に署名を行って前記電子証明書を発行する証明書発行部と、
発行された前記電子証明書をインストールするインストール部と、を備え、
前記外部装置は、前記ルート証明書および前記秘密鍵を前記情報処理装置に送信する、情報処理システム。
An information processing system including an external device and an information processing device connected to the external device via a network.
The information processing device
A certificate authority construction unit that constructs a certificate authority device having a certificate authority function inside the information processing device based on a root certificate and a private key obtained from the external device.
The request form creation department that creates the request form used for issuing digital certificates,
A certificate issuing unit provided in the certificate authority device, which signs the request form and issues the digital certificate,
It is equipped with an installation unit that installs the issued digital certificate.
The external device is an information processing system that transmits the root certificate and the private key to the information processing device.
コンピュータに実行させるためのプログラムであって、
外部装置から取得したルート証明書および秘密鍵に基づいて、前記コンピュータの内部に認証局の機能を有する認証局装置を構築する認証局構築ステップと、
電子証明書の発行に用いる要求書を作成する要求書作成ステップと、
前記要求書に署名を行って前記電子証明書を発行する証明書発行ステップと、
発行された前記電子証明書をインストールするインストールステップと、を実行させるプログラム。

A program that lets a computer run
A certificate authority construction step of constructing a certificate authority device having a certificate authority function inside the computer based on a root certificate and a private key obtained from an external device.
Request form creation step to create a request form used for issuing a digital certificate,
A certificate issuance step of signing the request form and issuing the digital certificate,
A program that executes an installation step that installs the issued digital certificate.

JP2017054233A 2017-03-21 2017-03-21 Information processing equipment, information processing systems, and programs Active JP6819388B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017054233A JP6819388B2 (en) 2017-03-21 2017-03-21 Information processing equipment, information processing systems, and programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017054233A JP6819388B2 (en) 2017-03-21 2017-03-21 Information processing equipment, information processing systems, and programs

Publications (2)

Publication Number Publication Date
JP2018157473A JP2018157473A (en) 2018-10-04
JP6819388B2 true JP6819388B2 (en) 2021-01-27

Family

ID=63718264

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017054233A Active JP6819388B2 (en) 2017-03-21 2017-03-21 Information processing equipment, information processing systems, and programs

Country Status (1)

Country Link
JP (1) JP6819388B2 (en)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4104488B2 (en) * 2003-05-12 2008-06-18 日本電信電話株式会社 ENCRYPTION KEY STORAGE DEVICE, ITS PROGRAM, AND RECORDING MEDIUM CONTAINING THE PROGRAM
JP3928589B2 (en) * 2003-06-12 2007-06-13 コニカミノルタビジネステクノロジーズ株式会社 Communication system and method
JP4906449B2 (en) * 2006-09-13 2012-03-28 株式会社リコー Image processing apparatus, electronic signature assigning method, and electronic signature assigning program
JP2008252219A (en) * 2007-03-29 2008-10-16 Nec Corp Server device and ssl server certificate issuing program
JP2013223171A (en) * 2012-04-18 2013-10-28 Nippon Telegr & Teleph Corp <Ntt> Public key infrastructure control system, certificate authority server, user terminal, public key infrastructure control method and program
EP3276874B1 (en) * 2015-03-25 2021-03-03 Mitsubishi Electric Corporation Server, certificate generation instruction method, and program

Also Published As

Publication number Publication date
JP2018157473A (en) 2018-10-04

Similar Documents

Publication Publication Date Title
EP2876574B1 (en) Attestation of data sanitization
US9009477B2 (en) Archiving electronic content having digital signatures
JP5043959B2 (en) Digital content rights management method and system
JP6550353B2 (en) Signature verification system, signature verification method and program
JP5576985B2 (en) Method for determining cryptographic algorithm used for signature, verification server, and program
JP5281074B2 (en) Information security apparatus and information security system
JP4844281B2 (en) Document management apparatus and program
US20060095795A1 (en) Document management apparatus and document management method, and storage medium storing program
US8862874B2 (en) Certificate distribution using secure handshake
KR20080048764A (en) Method and apparatus for signing on behalf of rights object
KR20150037840A (en) Protecting media items using a media security controller
JP2006121689A (en) Method and apparatus for sharing and generating a system key in a DRM system
KR20200002501A (en) Method for certificating node of public blockchain, apparatus and system for executing the method
KR101580514B1 (en) Method and apparatus for managing a password by using the seed key and computer readable recording medium applying the same
US10298546B2 (en) Asymmetrical encryption of storage system to protect copyright and personal information
JP2010081154A (en) Information processing device, program, and information processing system
JP5115424B2 (en) Time certification apparatus, time certification method, and program
JP6819388B2 (en) Information processing equipment, information processing systems, and programs
JP2022051126A (en) System and server device
JP2013225938A (en) Verification method of public key certificate and verification server
JP6813705B1 (en) Content usage system, content usage method, user terminal, program and distribution server
JP5997604B2 (en) Information processing apparatus having software illegal use prevention function, software illegal use prevention method and program
JP2022061275A (en) Licence managing method, license managing device and program
JP2016115162A (en) Authentication system, authentication terminal device, registration terminal device, authentication method, and program
JP2016163198A (en) File management device, file management system, file management method, and file management program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200109

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201030

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201214

R151 Written notification of patent or utility model registration

Ref document number: 6819388

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151