4.6 スマートカードの使用と管理
「PacketiX VPN Client」は、「スマートカード」による「PKI」に対応しています。ここでは、PacketiX VPN Client
とスマートカードを組み合わせて利用する方法について解説します。スマートカード認証の概要に関しては 「1.5.4 スマートカードへの対応」 および 「1.5.5 日本国住民基本台帳カードへの対応」
を参照してください。
4.6.1 スマートカードのデバイスドライバ
必要なデバイスドライバ
「スマートカード」またはスマートカードと互換性のある「ハードウェアセキュリティトークンデバイス」(以下、まとめて「スマートカード」と表現します)
を使用して「PKI 機能」を利用するためには、下記の 2 種類のデバイスドライバがコンピュータにインストールされている必要があります。
- スマートカードリーダなどのハードウェアデバイスのデバイスドライバ。
- 使用するスマートカードに対応した PKCS#11 インターフェイスを持つデバイスドライバ。
また、VPN Client をインストールしてから、スマートカードリーダおよびスマートカードのドライバをインストールした場合は、一度 VPN
Client サービスまたはコンピュータ自体を再起動しなければならない場合があります。
さらに、スマートカードリーダまたはスマートカードのデバイスドライバにおいて、スマートカードを使用する上で何らかの設定が必要になる場合は、事前にそれらの設定を行っておく必要があります。
各スマートカードリーダおよびスマートカードの使用上の設定に関しては、各デバイスに付属のハードウェアマニュアルを参照してください。
対応しているスマートカードの種類
PacketiX VPN Client 2.0 は、「PKCS#11」に対応したスマートカードを使用することができる場合があります。ソフトイーサ株式会社が正式にサポートするスマートカードの種類
の詳細は
「12.2.6 対応したスマートカードおよびハードウェアセキュリティデバイスの一覧」 を参照してください。ソフトイーサ株式会社は、すべてのスマートカードが使用できることを保証するものではありません。
4.6.2 スマートカードの選択
使用するスマートカードの種類を選択するには、「VPN クライアント接続マネージャ」の [スマートカード] メニューから、[使用するスマートカードの選択] をクリックしてください。すると、[スマートカードの選択] ダイアログボックスが表示されます。
ここで表示されるスマートカードの種類を選択し [OK]
をクリックすると、そのスマートカードを使用できるようになります。なお、ここに表示されるスマートカードが必ずしも PacketiX VPN
Client 2.0 によって使用できるとは限りません。ソフトイーサ株式会社が正式にサポートする、スマートカードの種類の詳細は 「12.2.6 対応したスマートカードおよびハードウェアセキュリティデバイスの一覧」
を参照してください。

図4-6-1 使用するスマートカードの選択画面 |
4.6.3 スマートカードオブジェクトの列挙と取得
スマートカードマネージャについて
「PacketiX VPN Client」は、対応したスマートカードの内部のオブジェクトの一覧を列挙したり、オブジェクトを取得したり、またオブジェクトを書き込んだりすることができる「スマートカードマネージャ」機能を持っています。
「スマートカードマネージャ」を起動するには、[スマートカード]
メニューから [スマートカードマネージャ] を選択してください。
スマートカードマネージャを起動すると、スマートカードにアクセスするための「PIN コード」を入力するための画面が表示されます。ここで PIN
コードを正しく入力すると、スマートカード内のオブジェクト一覧が列挙されます。

図4-6-2 スマートカードへのアクセス中の画面 |
スマートカードマネージャを使用すると、スマートカード内に含まれている以下のような種類のデータを列挙したり、取得したり、また新たに書き込んだりすることができます。
- X.509 形式の証明書オブジェクト
- RSA 形式の秘密鍵オブジェクト
- 任意の形式のデータ (バイナリデータ)

図4-6-3 スマートカードマネージャ画面 |
スマートカードへのオブジェクトの書き込み
スマートカードが、オブジェクトの書き込みに対応しており、新しいオブジェクトを書き込みたい場合は [カードへ書き込み]
ボタンをクリックします。すると、[オブジェクトの種類の選択] ダイアログボックスが表示されます。ここで [証明書]、[秘密鍵] または
[任意のデータ] を選択してから [OK] をクリックし、「書き込みたいファイル」を指定してください。

図4-6-4 スマートカードへのオブジェクトのインポート画面 |
また、書き込む際に、スマートカード内に新しく作成する「オブジェクト名」を指定する必要があります。オブジェクト名には「任意の英数字」を指定することができますが、スマートカードによっては使用することができる文字に制限のあるものもあります。

図4-6-5 インポートするオブジェクトの名前の入力画面 |
スマートカードからのオブジェクトの読み込み
スマートカード内の「証明書オブジェクト」と、任意の形式の「バイナリデータ」を読み込むことができます。「秘密鍵オブジェクト」を読み込むことはできません。オブジェクトを読み込むには
、オブジェクトを選択してから
[カードから読み込み] ボタンをクリックし、名前を付けて保存してください。
新しい証明書と RSA 秘密鍵を作成してすぐにスマートカードに書き込む方法
[新しい証明書と秘密鍵を作成してカードに書き込む] ボタンをクリックすると、新しい「証明書」と「RSA
秘密鍵」を作成して、すぐにスマートカードに書き込むことができます。作成する証明書の種類としては、「ルート証明書」または「他の証明書によって署名された証明書
」を選択することができます。また、証明書の各種「サブジェクト名」もここで設定します。

図4-6-6 新規証明書と秘密鍵の生成画面 |
VPN サーバー管理マネージャでのスマートカードマネージャの起動
VPN Server 用の管理ツールである「VPN サーバー管理マネージャ」にも、「VPN クライアント接続マネージャ」と同様のスマートカードマネージャが搭載されています。VPN
サーバー管理マネージャでスマートカードを管理するためには、最初の画面で、[スマートカードマネージャ] ボタンをクリックしてください。
4.6.4 スマートカードオブジェクトの削除
スマートカードがオブジェクトの削除に対応していれば、スマートカード内のオブジェクトを削除することもできます。削除したいオブジェクトを選択してから
、[カードから削除] をクリックしてください。なお、一度削除したオブジェクトは二度と復元できませんのでご注意ください。
4.6.5 PIN コードの変更
スマートカードは「PIN コード」によって保護されています。スマートカードの PIN コードを変更する場合は、[PIN コードの変更]
ボタンをクリックしてから、「現在の PIN コード」と「新しい PIN コード」を入力します。なお、スマートカードによっては、PIN
コードの変更に対応していない場合もありますのでご注意ください。そのような場合、そのスマートカード用の専用アプリケーションを使用すると PIN
コードを変更できるものもあります。

図4-6-7 スマートカードの PIN コード変更画面 |
4.6.6 スマートカード認証時の VPN Server への接続
VPN Server への接続設定で、ユーザー認証の種類として [スマートカード認証] を選択した場合は、VPN Server
への接続時にスマートカードを挿入して「PIN コード」を入力するための画面が表示されますので、PIN コードを入力してください。

図4-6-8 スマートカード使用時の PIN コード入力画面 |
4.6.7 日本国住民基本台帳カードを使用する場合の注意事項
「PacketiX VPN Client」では、特殊な仕様のスマートカードとして、日本国総務省が推進する「住民基本台帳カード」を使用することができるように拡張されています。
「住民基本台帳カード」と「公的個人認証サービス」を組み合わせると、住民基本台帳カード内に都道府県知事が電子署名し発行した、個人のための「X.509 形式の証明書
」と「RSA 秘密鍵」が書き込まれます。
「住民基本台帳カード」は、住民基本台帳ネットワークに参加している個人であれば、誰でも市役所で 500
円で作成することができます。また「公的個人認証サービス」の電子証明書も 500 円で購入することができます
(カード発行手数料および公的個人認証サービスの販売価格については、地方自治体によって異なる場合があります)。住民基本台帳カードは、基本的な IC
カードと同等の機能を有しているためセキュリティ上、十分な PKI 機能を提供します。
ただし、住民基本台帳カードを使用する場合は下記のような注意事項があります。
- 住民基本台帳カードに新しいデータを書き込んだり、既存のデータを削除したりすることはできません。
- 住民基本台帳カードを PacketiX VPN Client と共に使用するには、住民基本台帳カード用の「PKCS#11
ドライバ」を事前にインストールしておく必要があります。
- 住民基本台帳カード内に登録されている「都道府県知事の証明書」は「ROOTCERT」というオブジェクト名で登録されています。
- 住民基本台帳カード内に登録されている「個人の証明書」は「USERCERT」というオブジェクト名で、その証明書に対応した
「RSA 秘密鍵データ」は「USERKEY」というオブジェクト名で登録されています。
4.6.8 制限事項
「PacketiX VPN」の「スマートカード機能」を使用する際には、下記のような制限事項および注意事項があります。
- PKCS#11
に対応した、すべてのスマートカードに対応している訳ではありません。対応しているスマートカードの一覧については、「12.2.6 対応したスマートカードおよびハードウェアセキュリティデバイスの一覧」
を参照してください。
- PacketiX VPN
が、PKCS#11 ドライバなどの外部のプログラムを呼び出す場合、ユーザーは呼び出す先の外部のプログラムの提供者が定めるライセンス契約の内容に従って
、その外部のプログラムを使用しなければなりません。
- スマートカードへの証明書や秘密鍵の書き込みは、PacketiX VPN
の持つ「スマートカードマネージャ」で行うことも可能ですが、スマートカードに付属しているユーティリティや市販の PKI
ソフトウェアを使用することを推奨します。
|