スマート・カードと管理ユーティリティーのセットアップ
スマート・カードと IBM® Hyper Protect Crypto Services 管理ユーティリティーを使用すると、最高レベルのセキュリティーでサービス・インスタンスを初期設定できます。 管理ユーティリティーでは、スマート・カードを使用して署名鍵と マスター鍵パーツを保管します。
次の図は、スマート・カードと管理ユーティリティーを使用してサービス・インスタンスを初期設定するために必要な大まかな手順を示しています。 このトピックでは、管理ユーティリティーをセットアップする手順について説明します。 サービス・インスタンスの初期化について詳しくは、スマート・カードおよび管理ユーティリティーを使用したサービス・インスタンスの初期化を参照してください。
ステップ 1: スマート・カードとスマート・カード・リーダーを注文する
スマート・カードを構成するには、その前にスマート・カードとスマート・カード・リーダーをオンラインで注文する必要があります。
スマート・カードの注文
スマート・カードを注文するには、以下の手順を実行します。
-
必要なスマート・カードの数量を決定します。
管理ユーティリティーを使用するには、少なくとも 2 つのスマート・カードが必要です。
- スマート・カード・ゾーンを定義するための認証局スマート・カード。これは、連携できる一連のスマート・カードです。
- サービス・インスタンスの構成に使用される署名鍵と 1 つ以上のマスター鍵パーツを保持する Enterprise PKCS #11 (EP11) スマート・カード。 現在、管理ユーティリティーは、2 つまたは 3 つのマスター鍵パーツをロードすることをサポートしています。
セキュリティーを強化するために、サービス・インスタンスの構成に使用される 2 つまたは 3 つのマスター鍵パーツを、異なるユーザーに割り当てられた別個の EP11 スマート・カード上に生成できます。 暗号モジュールへのコマンドの署名に使用される署名鍵は、別の EP11 スマート・カードで生成できます。 サービス・インスタンスを構成するには、3 つまたは 4 つの EP11 スマート・カードが必要になります。
また、使用するすべてのスマート・カードのバックアップ・コピーを作成し、安全な場所にバックアップのスマート・カードを保管することをお勧めします。 最大限のセキュリティーを確保するには、バックアップ・スマート・カードを含む 12 個のスマート・カードが必要です。
- 2 つの認証局スマート・カード
- 10 個の EP11 スマート・カード
必要なスマート・カードの数を計算する方法については、 FAQ: スマート・カードのセットアップ方法に関する推奨事項はありますか? を参照してください。
-
IBM 営業担当員または IBM ビジネス・パートナーに連絡して、以下の情報を提供してください。
- 必要なスマート・カードの総数 (最小 2 個)。
- 請求連絡先情報。これには、名前、請求先住所、電話番号、E メール・アドレス、およびタイム・ゾーンが含まれます。
- 配送連絡先情報。これには、名前、配送先住所、電話番号、E メール・アドレス、およびタイム・ゾーンが含まれます。
IBM 営業担当員またはビジネス・パートナーによるスマート・カードの注文について詳しくは、 注文方法を参照してください。
スマート・カード・リーダーの注文
スマート・カード・リーダーを注文するには、以下のオプションがあります。
-
スマート・カード・リーダーを注文するには、 IBM 営業担当員または IBM ビジネス・パートナーにお問い合わせください。 詳しくは、 注文方法を参照してください。
-
サード・パーティーのオンライン・ショップから、2 つのスマート・カード・リーダー
Identiv SPR332 v2.0 Secure Class 2 PIN Pad Reader
(部品番号 905127-1) を注文します。 以下のリストに、必要なスマート・カード・リーダーが使用可能なオンライン・ショッピング・サイトの例をいくつか示します。 デリバリー・ポリシーは、お客様の地理的位置によって異なる場合があります。
ステップ 2: ローカル・ワークステーションへのスマート・カード・リーダー・ドライバーのインストール
ローカル・ワークステーションに Identiv SPR332 V2 スマート・カード・リーダーのドライバーをインストールする必要があります。 現在、 Red Hat Enterprise Linux® 8.0、 Red Hat Enterprise Linux 9.0、および Ubuntu 22.04.1 LTS がサポートされています。
スマート・カードおよびスマート・カード・リーダーのセキュリティー・ポリシーを計画する際には、 サービス・インスタンスの初期化に関するセキュリティー上の考慮事項 を考慮する必要があります。 そうしないと、スマート・カードがいくつかの脆弱性にさらされる可能性があります。
Linux オペレーティング・システムにスマート・カード・リーダー・ドライバーをインストールする前に、 Identiv SPR332 v2.0 サポート Web サイトからドライバー・パッケージをダウンロードして解凍します。 次に、ご使用の Linux® ディストリビューションに応じて以下のステップを実行して、スマート・カード・リーダー・ドライバーをインストールします。
-
Red Hat Enterprise Linux 8.0 および 9.0
-
以下のコマンドを使用して
pcsc-lite
パッケージをインストールします。sudo yum install pcsc-lite
-
以下のコマンドを使用して
libusb
パッケージをインストールします。sudo yum install libusb
-
opensc
パッケージとesc
パッケージがインストールされていないことを確認してください。 これらのパッケージは、スマート・カード・リーダーの操作中に予期しないエラーを引き起こす可能性があります。以下のコマンドを実行して、インストールされているすべての
opensc
パッケージまたはesc
パッケージを表示します。<package_name>
をopensc
またはesc
に置き換えます。sudo yum list installed <package_name>
パッケージがリストされた場合は、以下のコマンドを使用して削除します。
<package_name>
をopensc
またはesc
に置き換えます。sudo yum remove <package_name>
-
ダウンロードしたドライバー・パッケージに含まれている
install.sh
スクリプトを実行します。 -
以下のコマンドを使用して、PC/SC デーモンを開始します。
sudo pcscd
-
-
Ubuntu 22.04.1 LTS
-
以下のコマンドを使用して、
pcscd
パッケージとlibccid
パッケージをインストールします。sudo apt install pcscd
-
スマート・カード・リーダー・ドライバーのダウンロード・パッケージに含まれている
install.sh
スクリプトを実行します。 -
一部の Ubuntu 構成では、PC/SC デーモンは最初の PC/SC 呼び出しで自動的に開始されません。 この問題を回避するには、以下のコマンドを実行します。
sudo systemctl enable pcscd.socket
-
ワークステーションを再始動します。
-
ステップ 3: ローカル・ワークステーションへの管理ユーティリティーのインストール
管理ユーティリティーの一部として、スマート・カード・ユーティリティー・プログラムと Trusted Key Entry (TKE) アプリケーションという 2 つの アプリケーションが提供されます。スマート・カード・ユーティリティー・プログラムで、使用するスマート・カードを初期設定できます。TKE アプリケーションはスマート・カードを使用して、サービス・インスタンスにマスター・キーをロードします。
Red Hat Enterprise Linux 8.0、 Red Hat Enterprise Linux 9.0、または Ubuntu 22.04.1 LTS にアプリケーションをインストールするには、以下の手順を実行します。
-
最新のインストール・ファイル
cloudtke.bin
を GitHub からワークステーションにダウンロードします。 -
(オプション) 最大限のセキュリティーを確保するには、アプリケーションをインストールまたは更新する前に、管理ユーティリティーのインストール・ファイル
cloudtke.bin
の完全性と真正性を検証します。Hyper Protect Crypto Services 管理ユーティリティーは、 署名付きコードの検証 を有効にして、署名が元のコードと一致することを確認します。 ダウンロードしたインストール・ファイルが改ざんされたり破損したりしていると、異なる署名が生成されるので、検証に失格します。 ダウンロード・プロセス中にアプリケーションが改ざんされたり破損したりしないようにするには、 OpenSSL コマンド行ツールを使用して以下のステップを実行します。
-
以下のファイルの最新バージョンを GitHub から、
cloudtke.bin
ファイルを保管しているのと同じディレクトリーにダウンロードします。cloudtke.sig
: 署名されたcloudtke.bin
の暗号ハッシュ (SHA-256)。digicert_cert.pem
: 管理ユーティリティーの署名証明書を証明するための中間コード署名証明書。signing_cert.pem
: 管理ユーティリティーの署名証明書。
-
OpenSSL コマンド・ライン・ツールで以下のコマンドを使用して、署名証明書
signing_cert.pem
の公開鍵をsigkey.pub
ファイルに取り出します。openssl x509 -pubkey -noout -in signing_cert.pem -out sigkey.pub
-
以下のコマンドを使用して、
cloudtke.bin
ファイルの完全性を検証します。openssl dgst -sha256 -verify sigkey.pub -signature cloudtke.sig cloudtke.bin
検証に成功すると、
Verified OK
と表示されます。 -
以下のコマンドを使用して、署名証明書の真正性と有効性を検証します。
openssl ocsp -no_nonce -issuer digicert_cert.pem -cert signing_cert.pem -VAfile digicert_cert.pem -text -url http://ocsp.digicert.com -respout ocsptest
検証に成功すると、出力に
Response verify OK
とsigning_cert.pem: good
が表示されます。 -
検証に失格した場合は、インストールをキャンセルし、IBM にサポートを依頼してください。 失格しなかった場合は、以下の手順を進めてください。
-
-
コマンド・ラインで、ダウンロードしたインストール・ファイルを置いたディレクトリーに入り、以下の手順を実行してアプリケーションをインストールします。
-
以下のコマンドを実行して、インストール・ファイルに実行許可を追加します。
chmod +x cloudtke.bin
-
以下のコマンドを実行して、アプリケーションをインストールします。
./cloudtke.bin
-
プロンプトが出されたら、管理ユーティリティーのインストール・フォルダーを選択してから、**「リンクを作成しない (Don't create links)」**オプションを選択します。
-
ステップ 4: スマート・カード・ユーティリティー・プログラムでスマート・カードを構成する
管理ユーティリティーでは、認証局スマート・カードと EP11 スマート・カードという 2 つのタイプのスマート・カードを使用します。 認証局スマート・カードは、スマート・カード・ゾーンを定義し、そのゾーンに一連の EP11 スマート・カードを作成するために使用します。一方、EP11 スマート・カードは、管理者の署名鍵とマスター鍵パーツを生成して保管するために使用します。
スマート・カードを構成するには、スマート・カード・ユーティリティー・プログラムを使用して以下のタスクを実行します。
認証局スマート・カードの初期設定
認証局スマート・カードを作成して初期設定するには、以下の手順を実行します。
-
2 台のスマート・カード・リーダーをワークステーションの USB ポートに差し込みます。
-
スマート・カード・ユーティリティー・プログラムを開始するには、管理ユーティリティー・アプリケーションをインストールしたサブディレクトリーに移動し、以下のコマンドを実行します。
./scup
-
スマート・カード・ユーティリティー・プログラムを開始したら、**「CA スマート・カード (CA Smart Card)」メニューから「CA スマート・カードの初期設定と個別設定 (Initialize and personalize CA smart card)」**を選択します。
-
初期設定するスマート・カードをスマート・カード・リーダー 1 に挿入し、**「OK」**をクリックします。
**「スマート・カードが挿入されていません (No smart card inserted)」**などのメッセージが表示された場合は、以下の解決策を試してください。
- スマート・カードを別のスマート・カード・リーダーに挿入します。 選択したスマート・カード・リーダーがスマート・カード・リーダー 1 でない可能性があります。
- スマート・カードを同じスマート・カード・リーダーに再挿入します。 スマート・カード・リーダーがスマート・カードを正しく読み取れていなかった可能性があります。
-
最初の認証局カードの暗証番号 (PIN) として、スマート・カード・リーダーの PIN パッドに 6 桁の PIN を 2 度入力します。
20 秒以内に 2 回 PIN を入力してください。 そうしないと、セッションの有効期限が切れ、PIN の再入力が必要になります。
-
2 番目の認証局カード PIN として、スマート・カード・リーダーの PIN パッドに 6 桁の PIN を 2 度入力します。後で認証局スマート・カードを使用するときには、両方の PIN を入力する必要があります。
20 秒以内に 2 回 PIN を入力してください。 そうしないと、セッションの有効期限が切れ、PIN の再入力が必要になります。
-
EP11 スマート・カードを保持するスマート・カード・ゾーンの説明を入力します。
-
認証局スマート・カードの説明を入力します。
認証局が作成されます。
認証局スマート・カードのバックアップ・コピーを作成することをお勧めします。「CA スマート・カード」>**「CA スマート・カードのバックアップ」**をクリックしてバックアップ・コピーを作成できます。
EP11 スマート・カードの初期設定
EP11 スマート・カードを作成して初期設定するには、以下の手順を実行します。
- メニューから**「EP11 スマート・カード」** >「EP11 スマート・カードの初期化および登録」 を選択します。
- EP11 スマート・カードとして初期設定するスマート・カードをスマート・カード・リーダー 2 に挿入し、**「OK」**をクリックします。
- メニュー・バーから**「EP11 スマート・カード」>「EP11スマート・カードスマート・カードのパーソナライズ」**を選択します。
- スマート・カード・リーダーの PIN パッドに 6 桁の PIN を 2 度入力します。後で EP11 スマート・カードを使用するときには、この PIN を入力する必要があります。
- EP11 スマート・カードの説明を入力します。
- EP11 スマート・カードが複数枚ある場合は、手順 1 から 5 までを繰り返して、他の EP11 スマート・カードを初期設定します。
EP11 スマート・カードが作成され、個人別設定が行われます。
次の作業
- 管理ユーティリティーをセットアップしたら、TKE アプリケーションでマスター鍵をロードできます。 詳しい手順については、スマート・カードおよび管理ユーティリティーを使用したサービス・インスタンスの初期設定を参照してください。
- 管理ユーティリティーをアンインストールする必要がある場合は、まず暗号装置をゼロ化する手順に従ってから、管理ユーティリティーをアンインストールしてください。