証明書の登録

システム管理者が、デジタル証明書を使用して、ユーザの VPN Client をすでにセットアップしている場合があります。証明書がセットアップされていない場合、または証明書を追加したい場合は、ネットワークを介して認証機関（CA）に登録するか、ファイル要求を作成すると、証明書を取得できます。

ネットワークを使用した登録

個人証明書を登録する際には、すでにシステムのルート証明書を取得した CA を使用するか、登録プロセスの一環として CA からルート証明書を取得します。CA の [証明書] タブには、CA 証明書の現在のリストが表示されます。

作業を始める前に、このセクションの説明を読んでください。 ネットワーク経由で証明書を CA に登録する手順は、次のとおりです。

1. 拡張モードでは、[証明書] タブの上にあるツールバーの [登録] アイコンをクリックするか、[証明書] メニューを表示して [登録] を選択します。

2. 証明書のタイプとして [オンライン] をクリックします。 記入するフォームは、2 つあります。

3. 最初のフォームに次のように記入します。

• [CA の URL]：CA の URL またはネットワーク アドレス。このパラメータは必須です。

• [CA のドメイン]：CA のドメイン名。このパラメータは必須です。

• [チャレンジパスワード]：一部の CA のサイトでは、アクセスするときにパスワードの入力が必要になる場合があります。そのような場合は、[チャレンジパスワード] フィールドにパスワードを入力してください。 パスワードを確認するには、CA かネットワーク管理者に連絡してください。

• [新しいパスワード]：この証明書を保護するパスワード。 接続エントリで証明書認証が必要な場合は、接続のたびにこのパスワードを入力しなければなりません。このパスワードの長さは、最高 32 文字です。パスワードには大文字と小文字の区別があります。たとえば、sKate8 と Skate8 は別のパスワードです。

1. [次へ] をクリックします。 登録要求の 2 ページ目が表示されます。

• [通常名]：ユーザの通常名（CN）。この証明書の固有の名前です。このフィールドは必須です。通常名は、個人、システム、またはその他のエンティティの名前にすることができ、ID 階層内で最も固有性が高くなっています。通常名は、証明書の名前になります（たとえば、Alice Wonderland）。

• [部門]：ユーザが所属する部門名（たとえば、International Studies）。このフィールドは、組織ユニット（OU）と相関関係があります。たとえば、OU は、VPN 3000 Series Concentrator で設定されるグループ名と同じです。

• [会社名]：ユーザが所属する企業または組織（O）の名前（たとえば、University）。

• [都道府県名]：都道府県（米国では州）の名前（ST）（たとえば、Massachusetts）。

• [国名]：国（C）を表す 2 文字の国名記号（たとえば、US）。この 2 文字の国名記号は、ISO 3166 国名略語に準拠していなければなりません。

• [E メール]：ユーザの E メール アドレス（e）（たとえば、alicew@university.edu）。

• [IP アドレス]：システムの IP アドレス（たとえば、10.10.10.1）。

• [ドメイン]：システムのホストの完全修飾ドメイン名（たとえば、Dialin_Server）。

IP アドレスとドメインを除く上記のすべてのフィールドを合わせたものが、ユーザの識別名（DN）になります。

1. この登録を完了するには、[登録] をクリックします （または、編集する場合は、[戻る] をクリックします。

次の操作は、選択した CA によって異なります。

• 一部の CA は、即時に応答します。 その場合、登録が正常に実行されたことを示すメッセージが表示されます。証明書は、[証明書] タブで表示および管理できます。

• 登録状況が Request pending（登録保留中）である場合、CA は要求を直ちに承認しません。 保留中の状況を示すポップアップ ウィンドウが表示されます。

  • CA による証明書の発行を待っている間、ユーザからの要求は、[証明書] タブの下の証明書リストに要求として表示されます （ストアの列に [Request] と表示されます）。

  • CA から証明書が発行された後、その証明書を選択し、[証明書] メニューから [証明書の登録を再試行] を選択して登録を完了します 。

  • 証明書を取得した後、登録が正常に実行されたことを示すメッセージが表示されます。

ファイル要求を使用した登録

ネットワークを使用して証明書を登録する代わりに、オンライン登録のものとほとんど同じフォームのファイルを作成して登録することもできます。要求ファイルを作成した後、そのファイルを CA に E メール送信し、証明書を受け取ることができます。または CA の Web サイトにアクセスして、CA が提供するエリア内で登録要求をカット アンド ペーストすることもできます。

ファイル要求を使用して登録する手順は、次のとおりです。

1. [証明書の登録] ダイアログボックスで、証明書のタイプとして [ファイル] をクリックします。

2. 次のどちらかのファイル タイプをクリックします。

   • 2 進符号化：Base-2 PKCS10 ファイル（Public Key Cryptography Standard。たとえば、X.509 DER ファイル）。2 進符号化されたファイルは表示できません。

   • Base 64 符号化：テキスト形式で表示可能な ASCII 符号化された PKCS10 ファイル。テキストを CA の Web サイトにカット アンド ペーストする場合に、このタイプを選択してください。

3. [ファイル名] フィールドに、ファイル要求の完全パス名を入力します。

   ファイル要求を保存するための適切なディレクトリを参照する際、選択されたファイル タイプのファイルだけが表示されます。

   ファイル登録要求は、Certificates ディレクトリに保存できます。このディレクトリは、VPN Client がインストールされているディレクトリのサブディレクトリです。

   完全パス名は、c:＼program files＼cisco systems＼vpn client＼certificates＼p10req3.p10 のように指定します。
   

4. [新しいパスワード] フィールドに、この証明書を保護するパスワードを入力します。 接続エントリで証明書認証が必要な場合は、接続のたびにこのパスワードを入力しなければなりません。このパスワードの長さは、最高 32 文字です。パスワードには大文字と小文字の区別があります。たとえば、sKate8 と Skate8 は別のパスワードです。

5. [次へ] をクリックします。 フォームの 2 ページ目が表示されます。 このフォームは、ネットワーク経由の登録に使用するものと同じです（"ネットワークを使用した登録" を参照）。

6. フォームの 2 ページ目の記入が完了した後、[登録] をクリックします。

   正常に実行された場合、メッセージにはファイル名が示されます。

7. [OK] をクリックして、ファイル登録要求を完了します。

個人証明書と CA または RA 証明書の管理

[証明書] メニューまたは [証明書] タブの上のツールバーから、以下のような、個人証明書と CA または RA 証明書の管理作業を行えます。

• 証明書の表示

• 証明書がまだ有効である（指定された日付の範囲内であり、取り消されていない）かどうかの確認

• E メールで送信可能なファイルへの証明書のエクスポート

• 証明書の削除

• 個人証明書に限っての証明書のパスワードの変更（[証明書] メニューのみ）

• 個人証明書に限っての証明書の登録の再試行

• CA または RA 証明書の表示と非表示

証明書の表示

証明書を表示するには、証明書ストアから目的の証明書を選択して、次のいずれかの操作を実行します。

• [証明書] メニューを開いて [表示] を選択する。

• [証明書] タブの上のツールバーで [表示] をクリックする。

• 証明書をダブルクリックする。

一般的な証明書には、次の情報が記載されています。

• [通常名]：所有者の氏名。通常、ファースト ネームとラスト ネーム。このフィールドには、公開キー インフラストラクチャ（PKI 組織）内の所有者が示されます。

• [部門]：所有者が所属する部門名。組織ユニット（OU）と同じです。VPN 3000 Concentrator に接続する際には、通常、OU は VPN 3000 Concentrator 内で所有者に対して設定された Group Name と一致する必要があることに注意してください。

• [会社名]：この証明書を使用している所有者が所属する組織。

• [都道府県名]：この証明書を使用している所有者が居住する都道府県（米国では州）。

• [国名]：所有者のシステムが設置されている国の 2 文字の国名記号。

• [E メール]：証明書の所有者の E メール アドレス。

• [拇印]：証明書の内容が完全であるかを調べる MD5 および SHA-1 ハッシュ。 これによって、証明書の信頼性を確認できます。たとえば、発行元 CA に問い合わせれば、このハッシュ ID と比較してこの証明書が正当なものかどうかを確認できます。

• [キーのサイズ]：署名キー ペアのサイズ（ビット数）。たとえば、1024。

• [所有者]：証明書の所有者の完全修飾識別名（DN）。この例では、次の項目が含まれています。証明書のタイプに応じて、他の項目も組み込むことができますが、次のフィールドが一般的です。

  • cn は、通常名です。

  • ou は、組織ユニット（部門）です。

  • o は、組織です。

  • l は、地域（市町村）です。

  • st は、所有者が居住する都道府県です（米国では州）。

  • c は、国です。

  • e は、所有者の E メール アドレスです。

• [発行者]：証明書を発行した機関の完全修飾識別名（DN）。この例では、[所有者] フィールドと同じです。

• [シリアル番号]：Certificate Revocation List（CRL）上で証明書の有効性をトラッキングする際に使用される固有の ID。

• [有効期間の開始日]：証明書の発効日。

• [有効期間の終了日]：証明書の終了日。この日の翌日から無効になります。

証明書ファイルのインポート

Microsoft ストアまたはファイルから、証明書を Cisco ストアにインポートできます。 どちらからインポートするかにより、手順はわずかに異なります。

ファイルからの証明書のインポート

ファイルから証明書をインポートする手順は、次のとおりです。

1. [証明書] メニューを表示して [インポート] を選択するか、[証明書] タブの上の [インポート] アイコンをクリックします。

   [証明書のインポート] ダイアログボックスが表示されます。

2. [ファイルからのインポート] を選択します。これがデフォルトです。

3. [証明書のインポート] フォームに記入します。

• [インポートパス]：証明書の完全パス名。 名前を入力しても、ファイル システムを参照してファイルを検索してもかまいません。

  • [インポートパスワード]：このパスワードは、登録（オンラインの場合）時、またはエクスポート（ファイルの場合）時に指定されたパスワードと、大文字と小文字の違いを含めて正確に一致している必要があります。たとえば、sKate8 は、Skate8 と完全一致ではありません。オンライン登録では、このパスワードは証明書と一緒に保持されています。ファイル登録では、このパスワードは保持されません。

• [新しいパスワード]：証明書と一緒に保管するパスワード。 このパスワードは、証明書ストアに保管されている証明書を保護するために使用します。 このパスワードはオプションですが、証明書は常にパスワードで保護することをお勧めします。

• [パスワードの確認]：ここに入力するパスワードは、[新しいパスワード] フィールドに入力したものと一致している必要があります。

1. インポート要求を完了するには、[インポート] をクリックします。要求をキャンセルするには、[キャンセル] をクリックします。

Microsoft 証明書ストアからの証明書のインポート

Microsoft 証明書ストアから証明書をインポートする手順は、次のとおりです。

1. [証明書] メニューを表示して [インポート] を選択するか、[証明書] タブの上の [インポート] アイコンをクリックします。

2. [証明書のインポート] ダイアログボックスが表示されます。[Microsoft 証明書ストアからのインポート] を選択します。

3. [新しいパスワード]：証明書と一緒に保管するパスワード。大文字と小文字が区別されます。 このパスワードはオプションですが、証明書は常にパスワードで保護することをお勧めします。

4. [パスワードの確認]：ここに入力するパスワードは、[新しいパスワード] フィールドに入力したものと一致している必要があります。

5. インポート要求を完了するには、[インポート] をクリックします。要求をキャンセルするには、[キャンセル] をクリックします。

証明書の確認

証明書が有効かどうかを確認するには、証明書ストアで目的の証明書を選択して、次の手順を実行します。

1. [証明書] タブの下の証明書ストアから証明書を選択します。

2. [証明書] メニューを表示して [確認] を選択するか、[証明書] タブの上のツールバーにある [確認] アイコンをクリックします。

に示すような、証明書が有効かどうかを示すメッセージが表示されます。

次の表は、証明書の有効性をチェックする際に表示されるメッセージを示しています。

.

メッセージ	説明
証明書はまだ有効ではありません。	現在の日付は、この証明書の有効期間の開始日より前です。証明書が有効になるまでお待ちください。
証明書は期限切れです。	現在の日付は、この証明書の有効期間の終了日を過ぎています。新しい証明書を登録する必要があります。
証明書のシグニチャは無効です。	CA 証明書がありません。または、お持ちの CA 証明書の期限が切れている可能性があります。CA 証明書のダウンロードまたはインポートが必要です。
証明書 <名前> は有効です。	有効な証明書が登録されています。

1. メッセージを確認した後、[OK] をクリックします。

証明書の削除

証明書を削除する手順は、次のとおりです。

1. [証明書] タブの下の証明書ストアから証明書を選択します。

2. [証明書] メニューを表示して [削除] を選択するか、[証明書] タブの上のツールバーにある [削除] アイコンをクリックします。

   証明書にパスワードが指定されている場合は、そのパスワードの入力を求められます。

3. [パスワード] フィールドに、登録時にその証明書に指定されたパスワードを入力し、[OK] をクリックします。

4. この証明書を削除してもよいかどうかを確認するメッセージが表示されます。 証明書を削除するには、[削除] をクリックします。 削除をキャンセルするには、[削除しない]（デフォルト）をクリックします。

個人証明書のパスワードの変更

個人証明書のパスワードを変更する手順は、次のとおりです。

1. [証明書] タブの下の証明書ストアから証明書を選択します。

2. [証明書] メニューを表示して、[証明書のパスワード変更] を選択します。

   [証明書のパスワード変更] ダイアログ ボックスが表示されます入力フィールドに、秘密鍵の保護に現在使用しているパスワードを入力します。

3. 入力フィールドに、新しいパスワードを入力します。

4. 入力フィールドに、確認のため同じパスワードをもう一度入力します。

5. [OK] をクリックします。 パスワードが正しく変更されたことを知らせるメッセージが表示されます。

証明書のエクスポート

証明書は、主に証明書と秘密鍵のバックアップや別のシステムへの移動を目的としてエクスポートできます。証明書をエクスポートする際には、その証明書のコピーを作成します。

証明書をエクスポートする手順は、次のとおりです。

1. [証明書] メニューを表示して [エクスポート] を選択するか、[証明書] タブの上のツールバーにある [エクスポート] アイコンをクリックします。

   [証明書のエクスポート] ダイアログボックスが表示されます。

2. [エクスポートパス] フィールドにエクスポートする証明書のパスを入力するか、参照機能を使用して、エクスポートする証明書のターゲット ディレクトリを検索します。

3. CA または RA 証明書（またはその両方）を個人証明書と一緒にエクスポートする場合は、[証明書チェーン全体をエクスポート] チェック ボックスにチェックマークを付けます。

4. [パスワード] フィールドに、エクスポート ファイルを保護するためのオプションのパスワードを入力します。次に、[パスワードの確認] フィールドに、確認のため同じパスワードをもう一度入力します。

5. すべての情報を入力した後、[エクスポート] をクリックします。

   証明書が正常にエクスポートされたかどうかを示すメッセージが表示されます

CA または RA 証明書の表示

[証明書] メニューから [CA または RA 証明書の表示] を選択すると、現在の CA 証明書と RA 証明書のリストを表示できます。ただし、修正はできません。 このリストは、新しいウィンドウに表示されます。

Copyright © 2003, Cisco Systems, Inc. All rights reserved.