1.3.2 鍵管理サーバの要件
鍵管理サーバを使用する場合、鍵管理サーバは次の要件を満たしている必要があります。最新の検証済み鍵管理サーバ、および、そのファームウェアバージョンについては、「(1) お問い合わせ先」へお問い合わせください。
-
前提プロトコル
Key Management Interoperability Protocol 1.0(KMIP1.0)
-
前提ソフトウェア
-
SafeNet KeySecure k460
-
Enterprise Secure Key Manager
-
-
証明書
KMIPサーバへ接続するには、次の証明書をSVPにアップロードする必要があります。
証明書の種別
形式
要件
鍵管理サーバのルート証明書ルート証明書
X.509形式
なし
PKCS#12形式
-
中間証明書が存在する場合は、中間証明書を含んだ証明書チェーンで構成された、署名付き公開鍵証明書を準備しておくこと
-
アップロードする証明書の証明書チェーンの階層数は、ルートCA証明書を含めて5階層以下であること
-
アップロードする証明書の公開鍵暗号方式がRSAであること
KMIPサーバに設定されているサーバ証明書
―
-
サーバ証明書の公開鍵暗号方式がRSAであること
-
証明書チェーンの階層数を確認してください。階層の上限は5です。証明書チェーンの階層数が5以下の証明書を使用してください。
これらの証明書については鍵管理サーバの管理者にお問い合わせください。証明書の管理については鍵管理サーバの管理者とご相談の上、適切に管理してください。
証明書には期限があります。期限が切れると鍵管理サーバと接続できなくなるため、証明書を準備するときは期限の設定にご注意ください。
X.509証明書の拡張プロファイルのフィールドは、RFC5280に規定される「基本制限(BasicConstraints)」、「キー使用法(KeyUsage)」、「サブジェクトキー識別子(SubjectKeyIdentifier)」をサポートしています。
クライアント証明書は、PKCS#12 形式に変換する必要があります。また、PKCS#12形式に変換する前のクライアント証明書は、鍵管理サーバのCA 局(Certificate Authority)によって署名されている必要があります。
PKCS#12形式のクライアント証明書に設定されたパスワードがわからない場合は、鍵管理サーバの管理者にお問い合わせください。
-
-
その他
鍵暗号化鍵を鍵管理サーバで保護する場合、鍵管理サーバはクラスタ化された2台のサーバによって構成されている必要があります。