鍵ペアと電子証明書の設定をする
離れた場所にいる相手と暗号化通信を行うには、あらかじめ暗号化に使う鍵を保護されていないネットワーク上で送受信しなければなりません。この問題を解決するのが公開鍵暗号方式です。公開鍵暗号方式では、鍵ペアと電子証明書を使って盗聴、改ざん、なりすましなどの攻撃から大切なデータを保護し、通信の安全性を高めることができます。
鍵ペア
 |
鍵ペアとは、データを暗号化したり元に戻したりするときに使う「公開鍵」と「秘密鍵」という一対の鍵のことです。暗号化したデータはペアのもう一方の鍵がないと元に戻せないため、安全にデータをやりとりできます。鍵ペアはTLS暗号化通信やIEEE 802.1X認証のTLS方式、IPSec通信(LBP8730iのみ)などで使用します。登録できる鍵ペアは最大 8 つです(認証局発行の鍵ペアや電子証明書を使う)。TLS暗号化通信用であれば、本機で自己生成することもできます(鍵ペアを生成して使う)。
|
CA証明書
 |
CA証明書などの電子証明書は、本人認証に必要な運転免許証などの身分証明書に例えることができます。電子証明書には電子署名が含まれており、通信中に改ざんやなりすましがあった場合はこれらを検出できます。また、電子証明書を第三者が不正利用することは非常に困難です。認証局(CA)の公開鍵を含む電子証明書を特にCA証明書と呼び、IEEE 802.1X認証などで本機の通信相手となる機器を認証するときに使用します。プリインストールされている 2 つと合わせて最大 8 つのCA証明書を登録できます(認証局発行の鍵ペアや電子証明書を使う)。
|
鍵と証明書の動作条件
本機で生成できる鍵ペアの証明書は、X.509v3 に対応します。鍵ペアやCA証明書をパソコンからインストールする場合は、次の条件を満たしているか確認してください。
鍵ペア|
形式
|
PKCS#12 *1
|
|
ファイルの拡張子
|
「.p12」または「.pfx」
|
|
公開鍵のアルゴリズム
(および鍵長) |
RSA(512 ビット *2/1024 ビット/2048 ビット/
4096 ビット) |
|
証明書の署名アルゴリズム
|
SHA1-RSA、SHA256-RSA、SHA384-RSA *3 、
SHA512-RSA *3 、MD5-RSA、MD2-RSA |
|
証明書の拇印アルゴリズム
|
SHA1
|
|
*1 鍵ペアに含まれている証明書の形式は、CA証明書に準じます。
*2 通信相手機器のOSがWindows 8/Server 2012の場合、対応しておりません。また、更新プログラムの適応状況によっては、他のWindowsとも暗号化通信ができない場合があります。
*3 SHA384-RSAおよびSHA512-RSAは、RSAの鍵長が 1024 ビット以上の場合にだけ使用できます。
|
CA証明書|
形式
|
X.509v1 DER(バイナリーエンコード)
X.509v3 DER(バイナリーエンコード)
|
|
ファイルの拡張子
|
「.cer」
|
|
公開鍵のアルゴリズム
(および鍵長) |
RSA(512 ビット *1/1024 ビット/2048 ビット/
4096 ビット) DSA(1024 ビット/2048 ビット/3072 ビット)
|
|
証明書の署名アルゴリズム
|
SHA1-RSA、SHA256-RSA、SHA384-RSA *2 、
SHA512-RSA *2 、SHA1-DSA、MD5-RSA、MD2-RSA |
|
証明書の拇印アルゴリズム
|
SHA1
|
|
*1 通信相手機器のOSがWindows 8/Server 2012の場合、対応しておりません。また、更新プログラムの適応状況によっては、他のWindowsとも暗号化通信ができない場合があります。
*2 SHA384-RSAおよびSHA512-RSAは、RSAの鍵長が 1024 ビット以上の場合にだけ使用できます。
|
|
|
|
証明書失効リスト(CRL)には対応しておりません。
|