入社して1週間くらい経って研修も暇になってきたところ、さっそく案件をアサインされました。まさかのPKIの案件でした。転職してもPKIをやるとは思いませんでしたよ。ボチボチ認証局とか作ってます。
しかし、新しい会社(大企業)に移ってみると今までの会社(零細企業)の良かった所と悪かった所がいろいろと見えて来ます。
良かった所
- 機材が豊富
- キーボードとかは自前のものを自由に使える
- どうでもいい申請とかが必要ない
- 待遇面
- 社内コミュニケーション
- 研修制度とかが多い
2012年10月15日月曜日
転職しましたけど
MTBのブログの方にも書きましたが、10月から約10年勤めた会社を辞めて、新しい会社に移る事になりました。入社してから2週間、いろいろと戸惑う事もありますが、ボチボチやっています。
入社して1週間くらい経って研修も暇になってきたところ、さっそく案件をアサインされました。まさかのPKIの案件でした。転職してもPKIをやるとは思いませんでしたよ。ボチボチ認証局とか作ってます。
しかし、新しい会社(大企業)に移ってみると今までの会社(零細企業)の良かった所と悪かった所がいろいろと見えて来ます。
良かった所
入社して1週間くらい経って研修も暇になってきたところ、さっそく案件をアサインされました。まさかのPKIの案件でした。転職してもPKIをやるとは思いませんでしたよ。ボチボチ認証局とか作ってます。
しかし、新しい会社(大企業)に移ってみると今までの会社(零細企業)の良かった所と悪かった所がいろいろと見えて来ます。
良かった所
2012年6月28日木曜日
Entristが国内でもSSL証明書を売るそうです
久しぶりにPKI業界に明るいニュースが来ました。
セキュリティ製品を手掛けるEntrust社が、国内のSSL証明書販売事業に参入するそうです。プレスリリースはこちら。
Entrustは以前から米国ではSSL証明書の販売をしていたのですが、やっと日本でも買えるようになりました(英語さえ我慢すれば今までも買えたらしいけど)。
国内のSSL市場はVerisign系列(Verisign本家と Geotrust)が相変わらずトップで、グローバルサイン、セコムトラストシステムズ、スターフィールド(本家は米GoDaddy)、ソート(Thawte)、コモド等の強敵が存在します。
コモディティ化が進んでいて価格勝負になりがちなSSL証明書市場で、どれだけ顧客のハートを掴めるか、これからの動向に注目です。
そういえば、自社の認証局ソフトウェアを使って、SSL証明書を売っているのって、ココだけかもしれませんね。せっかくだから自社製品と組み合わせたりすると面白いことができるかもしれません。
セキュリティ製品を手掛けるEntrust社が、国内のSSL証明書販売事業に参入するそうです。プレスリリースはこちら。
Entrustは以前から米国ではSSL証明書の販売をしていたのですが、やっと日本でも買えるようになりました(英語さえ我慢すれば今までも買えたらしいけど)。
国内のSSL市場はVerisign系列(Verisign本家と Geotrust)が相変わらずトップで、グローバルサイン、セコムトラストシステムズ、スターフィールド(本家は米GoDaddy)、ソート(Thawte)、コモド等の強敵が存在します。
コモディティ化が進んでいて価格勝負になりがちなSSL証明書市場で、どれだけ顧客のハートを掴めるか、これからの動向に注目です。
そういえば、自社の認証局ソフトウェアを使って、SSL証明書を売っているのって、ココだけかもしれませんね。せっかくだから自社製品と組み合わせたりすると面白いことができるかもしれません。
2012年6月15日金曜日
Direction 2012が面白そう
昨年に引き続き8/7にセキュリティ関連のカンファレンスDirection 2012が開催されるそうです。無料だし、興味のあるセッションも多いし、
できれば参加したいところ。でも、最近はいろいろ忙しくてスケジュールが合うかどうかが微妙...
できれば参加したいところ。でも、最近はいろいろ忙しくてスケジュールが合うかどうかが微妙...
2012年6月4日月曜日
KB2718704と証明書を使ったイランへのサイバー攻撃の関係
今朝、Windows UpdateでKB2718704が配布されました。月一で行われるアップデートのタイミングではないので、緊急性の高いアップデートなのでしょう。ちょっと気になったので調べてみたら、証明書関連のもので、背景にはイランへのサイバー攻撃があるようです。
2012年4月18日水曜日
CA Browser ForumのBaseline Requirementの施行が迫る
すみません、最近はMTB関連のブログばかりを書いていました。今日はPKIネタを書きたいと思います。
昨年は偽SSL証明書の発行が多発してPKI業界にとっては災難な1年でした。結構な枚数の偽証明書を発行したDiginotar社は、各社のブラウザにインストールされるルート証明書の一覧から除外され、最終的には倒産してしまったそうです。
こういった問題を放置すると、信頼性を売りにしているPKI業界としては困ったことになってしまいます。SSL証明書なんて誰も信じなくなったら、我々業界人は飯の食い上げになっちゃいます。
そこで、認証局の信頼を取り戻すべく、昨年11月にEV SSL証明書の規格を制定した団体であるCA Browser Forumが、SSL証明書を発行する認証局の標準規格を発表しました。英語版はこちらから、日本語版はこちらからダウンロードできます。
この文書が正式に施行されるのは2011年7月1日からですが、SSL証明書の販売を行う各社は先行して対応状況をアナウンスしています。例えば、GlobalSignではこんなプレスリリースを出しています。着々と準備は進んでいるようですね。
そこで、この文書の内容をちょっとだけ見てみましょう。
昨年は偽SSL証明書の発行が多発してPKI業界にとっては災難な1年でした。結構な枚数の偽証明書を発行したDiginotar社は、各社のブラウザにインストールされるルート証明書の一覧から除外され、最終的には倒産してしまったそうです。
こういった問題を放置すると、信頼性を売りにしているPKI業界としては困ったことになってしまいます。SSL証明書なんて誰も信じなくなったら、我々業界人は飯の食い上げになっちゃいます。
そこで、認証局の信頼を取り戻すべく、昨年11月にEV SSL証明書の規格を制定した団体であるCA Browser Forumが、SSL証明書を発行する認証局の標準規格を発表しました。英語版はこちらから、日本語版はこちらからダウンロードできます。
この文書が正式に施行されるのは2011年7月1日からですが、SSL証明書の販売を行う各社は先行して対応状況をアナウンスしています。例えば、GlobalSignではこんなプレスリリースを出しています。着々と準備は進んでいるようですね。
そこで、この文書の内容をちょっとだけ見てみましょう。
2012年3月28日水曜日
Windows Server 8のAD CS新機能
先日からWindows Server 8を試していますが、いろいろと変更があって戸惑います。もちろん、AD CSもいくつか新機能が追加されていますが、あまり大きな変更はないため、淋しかったり逆に嬉しかったりします。
新機能の詳細についてはこちらに出ています。Server 8では以下の機能が追加になったそうです。
ちょいと個人的に気になったポイントだけ見ていきたいと思います。
エディションごとの役割サービスの差がなくなった
2008の頃はAD CSはWindowsのエディションによっては、使えない役割サービスがありました。8では、エディションごとの区別が無くなって、どのエディションでも全ての役割サービスが使用できます。
具体的には、以下のEnterprise以上のエディションでのみ使えていたNDESとOCSPの役割サービスが、Standard Editionでも使えるようになります。
AD CSのPowerShellの対応
AD CSのインストールがPower Shellのコマンドレットから行うことができるようになったそうです。追加になったインストール関連のコマンドレットはこちらから見れます。
同時に管理用のコマンドレットも追加になりました。こちらに詳細が出ています。Certutil.exeでできなかった機能が追加になっているので、ちょっとありがたいです。
毎回、案件の度に思うのですが、Windowsの構築手順書は図ばかりで書くのも読むのも面倒なんですよね。「上記の図のように設定する」とか書かれていると、図と画面をにらめっこしたりして疲れるのです。コマンドが一発で済むようになると、かなり楽になります。
また、コマンドが充実したことによって、AD CSの全ての役割サービスがServer Coreモードでも動くようになったそうです。
証明書テンプレートがVersion 4になった
しばらく変更の無かった証明書テンプレートのバージョンが上がり、バージョン4になります。バージョン4の変更点は以下のようになります。
なお、8のデフォルトでインストールされるテンプレート構成はバージョン4を使ったものはありませんでした。
新機能の詳細についてはこちらに出ています。Server 8では以下の機能が追加になったそうです。
- Integration with Server Manager
- Deployment and management capabilities from Windows PowerShell
- All AD CS role services run on any Windows Server “8” Beta version
- All AD CS role services can be run on Server Core
- Support for automatic renewal of certificates for non-domain joined computers
- Enforcement of certificate renewal with same key
- Support for international domain names
- Increased security enabled by default on the CA role service
ちょいと個人的に気になったポイントだけ見ていきたいと思います。
エディションごとの役割サービスの差がなくなった
2008の頃はAD CSはWindowsのエディションによっては、使えない役割サービスがありました。8では、エディションごとの区別が無くなって、どのエディションでも全ての役割サービスが使用できます。
具体的には、以下のEnterprise以上のエディションでのみ使えていたNDESとOCSPの役割サービスが、Standard Editionでも使えるようになります。
AD CSのPowerShellの対応
AD CSのインストールがPower Shellのコマンドレットから行うことができるようになったそうです。追加になったインストール関連のコマンドレットはこちらから見れます。
同時に管理用のコマンドレットも追加になりました。こちらに詳細が出ています。Certutil.exeでできなかった機能が追加になっているので、ちょっとありがたいです。
毎回、案件の度に思うのですが、Windowsの構築手順書は図ばかりで書くのも読むのも面倒なんですよね。「上記の図のように設定する」とか書かれていると、図と画面をにらめっこしたりして疲れるのです。コマンドが一発で済むようになると、かなり楽になります。
また、コマンドが充実したことによって、AD CSの全ての役割サービスがServer Coreモードでも動くようになったそうです。
証明書テンプレートがVersion 4になった
しばらく変更の無かった証明書テンプレートのバージョンが上がり、バージョン4になります。バージョン4の変更点は以下のようになります。
- テンプレートの暗号プロバイダにCNGが指定できるようになった
- 同じ鍵での更新(rekeyではなく)を指定できるようになった
- 互換性タブが増えて、テンプレートが適用されるクライアントとCAのバージョンが指定できるようになった
2012年3月22日木曜日
クラウド鍵管理型暗号方式って何だ?
キーマンズネットにNTT情報流通プラットフォーム研究所が開発したクラウド暗号の特集が出ていました。記事はこちら(要ユーザー登録)。本家のプレスリリースはこちら。キーマンズネットの方が詳細に書かれています。
クラウド暗号というのは、公開鍵暗号方式の私有鍵をクラウド側に保管・管理・利用するための仕組みだそうです。PKIでは私有鍵はエンドエンティティが保管・管理・利用することになっていますが、これをクラウド側でやってしまおうという事。
いわゆるキーエスクロー(鍵預託)に近いものと思われますが、単純にキーエスクローをクラウド化すると、暗号文の復号時に復号された平分がネットワークを通してユーザーに送られてしまうのに対し、クラウド暗号ではそれが発生しないのが特徴です。
また、ユーザー側で鍵を持たないという特性から、鍵の使用に関するコントロールは完全にクラウド側が握ることになります。このため、鍵の使用前にユーザー認証(と承認)を行うことによって、特定のグループに所属するユーザーに対してのみ鍵の使用を許可したりできるのも面白いですね。
(以下、参考までに、記事を読んだ時のメモです。)
復号するユーザーは、暗号文を「乱数化標本器」を使って「撹乱」処理を行ってからクラウドに送る。この撹乱済み暗号文を「身代り」と言う。このデータは漏えいしてもOK。
クラウド側では「身代り」に対し復号化(この時点で撹乱を解除しているか、身代わりをそのまま復号化しているかは不明)して、「復号された身代り」をユーザーに返す。その後、ユーザーは、復号済みデータを「乱数化標本器」を使って復元し平分を得る。あと、このほかにも改ざん検知用のしくみもある。
つまり、クラウド<->ユーザー間ネットワークには「身代り」と「復号化した身代り」しか流れずに済むのがポイント。気になるのは「乱数化標本器」と復号処理。クラウド側で撹乱の解除を行ってから復号する場合は、クラウド側とユーザー側で何らかの共通知識が必要になりそうだし、そうでない場合は撹乱がある場合でも復号できるアルゴリズムが必要になる。面白いですねぇ。
クラウド暗号というのは、公開鍵暗号方式の私有鍵をクラウド側に保管・管理・利用するための仕組みだそうです。PKIでは私有鍵はエンドエンティティが保管・管理・利用することになっていますが、これをクラウド側でやってしまおうという事。
いわゆるキーエスクロー(鍵預託)に近いものと思われますが、単純にキーエスクローをクラウド化すると、暗号文の復号時に復号された平分がネットワークを通してユーザーに送られてしまうのに対し、クラウド暗号ではそれが発生しないのが特徴です。
また、ユーザー側で鍵を持たないという特性から、鍵の使用に関するコントロールは完全にクラウド側が握ることになります。このため、鍵の使用前にユーザー認証(と承認)を行うことによって、特定のグループに所属するユーザーに対してのみ鍵の使用を許可したりできるのも面白いですね。
(以下、参考までに、記事を読んだ時のメモです。)
復号するユーザーは、暗号文を「乱数化標本器」を使って「撹乱」処理を行ってからクラウドに送る。この撹乱済み暗号文を「身代り」と言う。このデータは漏えいしてもOK。
クラウド側では「身代り」に対し復号化(この時点で撹乱を解除しているか、身代わりをそのまま復号化しているかは不明)して、「復号された身代り」をユーザーに返す。その後、ユーザーは、復号済みデータを「乱数化標本器」を使って復元し平分を得る。あと、このほかにも改ざん検知用のしくみもある。
つまり、クラウド<->ユーザー間ネットワークには「身代り」と「復号化した身代り」しか流れずに済むのがポイント。気になるのは「乱数化標本器」と復号処理。クラウド側で撹乱の解除を行ってから復号する場合は、クラウド側とユーザー側で何らかの共通知識が必要になりそうだし、そうでない場合は撹乱がある場合でも復号できるアルゴリズムが必要になる。面白いですねぇ。
2012年3月11日日曜日
もしかしてPMBOKって役に立つのでは?
ここ最近は、PMBOKを読んでいます。いわゆる、「プロジェクトマネジメント知識体系ガイド」と言うやつです。ちょっと前に認定試験のPMPが流行りましたね。
まぁ、そういう仕事もやらざるを得なくなってきたという感じで、必要に迫られて渋々と言った方が適切なのかもしれませんが、実際に読んでみると意外と関心させられることも多く、いつもの「もっと早くやっておけばよかった」のパターンになりつつあります。
(まだ、途中ですが)読んだ後に私が関わった案件思い返してみると、納期、機能、品質、コスト等の細い成功条件を全て満たしているのは1つくらいしかなさそうです。そして、失敗の原因はプロジェクトマネジメントの不備に起因するものが大部分を占めているような気がします。
極端な例かもしれませんが、私が下っ端として参加したあるプロジェクトでは、WBSなし、スコープ定義なし、スケジュールは随時可変、権限と責任も曖昧な状況で、もはやプロジェクトと言うよりは、それに類似した何か(お手伝いとか?)のようなものもありました。
もちろんこの案件は、最終的に顧客側が「いつまでに、何ができるのかが分からん!お前のところには頼まん!!」ってブチ切れて訴訟沙汰になったりして、それはそれは悲惨な結末を迎えました。当然ですね。
まぁ、とりあえずIT技術者でPMっぽい事をしている人には、PMBOKは必読だと感じました。PMには経験や人格も求められますが、知識もそれらと同じぐらい重要だなと思います。
ちなみに、PMBOKですが日本語版はオンラインでしか買えなかったりするのですが、ひそかに八重洲ブックセンターに大量に在庫されていたりします。ちなみに、相当デカイので注意してください。私は即効で自炊しました。
まぁ、そういう仕事もやらざるを得なくなってきたという感じで、必要に迫られて渋々と言った方が適切なのかもしれませんが、実際に読んでみると意外と関心させられることも多く、いつもの「もっと早くやっておけばよかった」のパターンになりつつあります。
(まだ、途中ですが)読んだ後に私が関わった案件思い返してみると、納期、機能、品質、コスト等の細い成功条件を全て満たしているのは1つくらいしかなさそうです。そして、失敗の原因はプロジェクトマネジメントの不備に起因するものが大部分を占めているような気がします。
極端な例かもしれませんが、私が下っ端として参加したあるプロジェクトでは、WBSなし、スコープ定義なし、スケジュールは随時可変、権限と責任も曖昧な状況で、もはやプロジェクトと言うよりは、それに類似した何か(お手伝いとか?)のようなものもありました。
もちろんこの案件は、最終的に顧客側が「いつまでに、何ができるのかが分からん!お前のところには頼まん!!」ってブチ切れて訴訟沙汰になったりして、それはそれは悲惨な結末を迎えました。当然ですね。
まぁ、とりあえずIT技術者でPMっぽい事をしている人には、PMBOKは必読だと感じました。PMには経験や人格も求められますが、知識もそれらと同じぐらい重要だなと思います。
ちなみに、PMBOKですが日本語版はオンラインでしか買えなかったりするのですが、ひそかに八重洲ブックセンターに大量に在庫されていたりします。ちなみに、相当デカイので注意してください。私は即効で自炊しました。
2012年3月9日金曜日
Windows Server 8 のAD CSで使えるCSP
Windows Server 8のAD CSをセットアップしてみたところ、使える暗号サービスプロバイダに変化があることに気付きました。
まずは、Windows Server 2008の場合を見てみます。AD CSはセットアップ時にCA鍵の生成を行いますが、鍵のアルゴリズムを指定する画面は以下のようになっています。
まずは、Windows Server 2008の場合を見てみます。AD CSはセットアップ時にCA鍵の生成を行いますが、鍵のアルゴリズムを指定する画面は以下のようになっています。
暗号プロバイダの名前に「#」が付いているものがありますが、これは暗号サービスプロバイダがVistaより前の形式か、Vista以後のCNGのどちらで実装されているかに依存します。#が付いているのがCNGです。
図では分かりにくいので、暗号プロバイダーごとにアルゴリズムを整理してみました。CSP実装の方はアルゴリズムが表示されていませんが、こちらを参照して推定で書いています。
図では分かりにくいので、暗号プロバイダーごとにアルゴリズムを整理してみました。CSP実装の方はアルゴリズムが表示されていませんが、こちらを参照して推定で書いています。
- Microsoft Software Key Storage Proider
- DSA (512, 1024)
- ECDSA (P256, P384, P521)
- RSA (512, 1024, 2048, 4096)
- Microsoft Smart Card Key Storage Provider
- ECDSA(P256, P384, P521)
- RSA (1024, 2048, 4096)
- Microsoft Base Cryptographic Provider v1.0
- RSA (512, 1024, 2048, 4096)
- Microsoft Base DSS Cartographic Provider
- DSA (512, 1024)
- Microsoft Base Smart Card Cryptographic Provider
- RSA (1024, 2048, 4096)
- Microsoft Enhanced Cryptographic Provider v1.0
- RSA (512, 1024, 2048, 4096)
- Microsoft Strong Cryptgraphic Provider
- RSA (512, 1024, 2048, 4096)
次に、Windows Server 8の方を見てみます。
- Microsoft Smart Card Key Storage Provider
- ECDSA(P256, P384, P521)
- RSA (512, 1024, 2048, 4096)
2012年3月8日木曜日
Windows Server 8 のGUIに困っちゃう件
Windows 8 Consumer Preview とWindows Server 8 Betaが出ましたね。さっそく使ってみたのですが....
一言で言うと、GUIが死ぬほど使いにくいです。以下がWindows Server 8のログオン直後の状態なのですが、Windows 95からの伝統のスタートボタンはなくなってしまいました。以下、リモートデスクトップで接続した際の画面です。
では、スタートボタンはというと、
画面の左下をマウスでクリックするとMetro UIのスタート画面に切り替わります。ポイントする位置は絶対にズレてはいけません。おそらく4x4ピクセルくらいの範囲です。
コンソールセッションやリモートデスクトップをフルスクリーンで使用している場合にはカーソルを端まで持っていけば問題ないのですが、ウインドウモードだと真剣にカーソルを合わせないと駄目です。あとマルチモニター構成の場合も苦労します。
代替方法としては、キーボードからWindowsキーやCtrl + Escを使えばよいのですが、デフォルトの設定では、リモートデスクトップクライアントはWindowsキーやCtrl + Escは(リモートではなく)ローカル側に送られてしまいます。
このようなときは、リモートデスクトップの接続時オプションで、「Windowsのキーの組み合わせを割り当てます」を「リモートコンピューター」に変更すると、リモートマシンにキーが送られるようになります。
どうしてこんな酷いことになっているかと言うと、Windows 8から使われるMetro UIはタッチパネルを意識しているためです。ホットコーナーを活用するという発想なのですね。
マイクロソフトさん、私、思うんですよ。サーバー製品でタッチパネルを使う人って相当レアな人種に属するんじゃないですかね?
一言で言うと、GUIが死ぬほど使いにくいです。以下がWindows Server 8のログオン直後の状態なのですが、Windows 95からの伝統のスタートボタンはなくなってしまいました。以下、リモートデスクトップで接続した際の画面です。
では、スタートボタンはというと、
コンソールセッションやリモートデスクトップをフルスクリーンで使用している場合にはカーソルを端まで持っていけば問題ないのですが、ウインドウモードだと真剣にカーソルを合わせないと駄目です。あとマルチモニター構成の場合も苦労します。
代替方法としては、キーボードからWindowsキーやCtrl + Escを使えばよいのですが、デフォルトの設定では、リモートデスクトップクライアントはWindowsキーやCtrl + Escは(リモートではなく)ローカル側に送られてしまいます。
このようなときは、リモートデスクトップの接続時オプションで、「Windowsのキーの組み合わせを割り当てます」を「リモートコンピューター」に変更すると、リモートマシンにキーが送られるようになります。
どうしてこんな酷いことになっているかと言うと、Windows 8から使われるMetro UIはタッチパネルを意識しているためです。ホットコーナーを活用するという発想なのですね。
マイクロソフトさん、私、思うんですよ。サーバー製品でタッチパネルを使う人って相当レアな人種に属するんじゃないですかね?
2012年1月26日木曜日
Ivy BridgeではCPUに物理乱数生成器が乗るらしい
4年間使った自宅のMacbookを買い替えようと思い立ちCPUについて調査していたら、今年に予定されているIntelの新しいCPUシリーズ(Ivy Bridge)の興味深い新機能を発見しました。
Ivy Bridgeには、AVX命令の拡張としてRdRANDと言う命令が追加されます。この命令はCPU上に搭載された物理乱数生成器を使って、高精度の乱数を高速に入手できるようにするものです。
今まで高精度な物理エントロピー源を用いた乱数を使おうとすると、HSM (Hardware Security Module) やTPMを使ったりしなければなりませんでした。こういった特殊なハードウェアを用いなくても精度の高い乱数が入手できるようになるのは革新的だと思います。
また、CPU内部で乱数を生成するため、乱数の生成に関するコストはとても少なくなります。今まではデバイスへのアクセスが必要になったりして、速度はあまり早いとは言えませんでした。
技術的に詳しい話はここに記述されています。3章までは特に難しいことは書かれていないので、興味がある人はご参照あれ。乱数の基本についても簡単に書かれているので、勉強になると思います。
Ivy Bridgeには、AVX命令の拡張としてRdRANDと言う命令が追加されます。この命令はCPU上に搭載された物理乱数生成器を使って、高精度の乱数を高速に入手できるようにするものです。
今まで高精度な物理エントロピー源を用いた乱数を使おうとすると、HSM (Hardware Security Module) やTPMを使ったりしなければなりませんでした。こういった特殊なハードウェアを用いなくても精度の高い乱数が入手できるようになるのは革新的だと思います。
また、CPU内部で乱数を生成するため、乱数の生成に関するコストはとても少なくなります。今まではデバイスへのアクセスが必要になったりして、速度はあまり早いとは言えませんでした。
技術的に詳しい話はここに記述されています。3章までは特に難しいことは書かれていないので、興味がある人はご参照あれ。乱数の基本についても簡単に書かれているので、勉強になると思います。
2012年1月24日火曜日
MSのPKIのホワイトペーパーがアップデートしていた
昨年(2011年)の11月にMicrosoftのPKIのWhitepaperがアップデートされていました。こちらから見る事ができ、DOCX版もダウンロード可能です。
MicrosoftはWindows 2000の頃からPKIの実装に力を入れていて、今ではTLS、EFS、Kerberos、スマートカードログオン、IPSec、802.1x (EAP-TLS)、SMIME、NAP(検疫ネットワーク)など、OS内部のさまざまな場所で使用されています。
にもかかわらず、PKIって相変わらずマイナー感が漂っていたりします。個人的には、このようなマイナー感はPKIの導入の敷居が高いのに原因があると思います。認証局の構築・運用はPKIに関するそれなりの知識を求められ、まじめにやろうとすると構築・運用側には結構な負担が生じてしまうのです。
このホワイトペーパーは、Microsoft社内の公開鍵認証局(CA)構成について具体的に紹介されています。実際にPKIアプリケーションを使いたいんだけど、認証局はどのような構成にすればいいか悩んでいる人には参考になると思います。
また、構成方法に加えて、運用についての記述も豊富なので、「EFSを導入したいんだけど、キーアーカイブとリカバリー業務はどうやって構成すればいいの?」のようなポイントにも記述されています。
MicrosoftのPKIソリューションについて、広く薄く知りたい場合にはとても適していると思います。
MicrosoftはWindows 2000の頃からPKIの実装に力を入れていて、今ではTLS、EFS、Kerberos、スマートカードログオン、IPSec、802.1x (EAP-TLS)、SMIME、NAP(検疫ネットワーク)など、OS内部のさまざまな場所で使用されています。
にもかかわらず、PKIって相変わらずマイナー感が漂っていたりします。個人的には、このようなマイナー感はPKIの導入の敷居が高いのに原因があると思います。認証局の構築・運用はPKIに関するそれなりの知識を求められ、まじめにやろうとすると構築・運用側には結構な負担が生じてしまうのです。
このホワイトペーパーは、Microsoft社内の公開鍵認証局(CA)構成について具体的に紹介されています。実際にPKIアプリケーションを使いたいんだけど、認証局はどのような構成にすればいいか悩んでいる人には参考になると思います。
また、構成方法に加えて、運用についての記述も豊富なので、「EFSを導入したいんだけど、キーアーカイブとリカバリー業務はどうやって構成すればいいの?」のようなポイントにも記述されています。
MicrosoftのPKIソリューションについて、広く薄く知りたい場合にはとても適していると思います。
登録:
投稿 (Atom)
