鍵と証明書の管理
Reflection 鍵エージェントで鍵および証明書を管理するには、以下の手順に従います。
鍵エージェントへの鍵の追加
鍵エージェントに鍵を追加するには、鍵エージェントを使って鍵を生成するか、Open Textアプリケーションまたはその他のアプリケーションで作成した鍵をインポートします。鍵エージェントで作成した鍵は、暗号化されてエージェントに保存されます。この鍵にアクセスする時は、鍵エージェントを使用する必要があります。[Reflection Secure Shellの設定]ダイアログボックスで作成した鍵は、次の場所に保存されます。 personal-documents-folder\Micro Focus\product-name\.ssh
フォルダ。鍵エージェントにインポートした鍵は、暗号化されてエージェントに保存されます。元の鍵も、削除しないかぎりそのまま残ります。
鍵エージェントを使用して新しい鍵のペアを生成するには
-
鍵エージェントを起動してロック解除します。
-
[鍵の生成]を選択します。
-
鍵の名前、種類、長さを指定し、[OK]を選択します。
Open Textアプリケーションを使用して新しい鍵ペアを生成するには
-
[Reflection Secure Shell の設定] ダイアログボックスを開きます。
-
サイドメニューで[ユーザ鍵]を選択します。生成アイコン()を選択します。
-
鍵の名前、種類、長さを指定します(既定以外の鍵の名前または場所を指定する場合は、[参照] ボタンをクリックします)。
-
パスフレーズを指定するか、[パスフレーズなし]を選択します。
-
[作成]を選択します。
鍵エージェントに秘密鍵をインポートするには
-
鍵エージェントを起動してロック解除します。
-
[ファイル]メニューの[秘密鍵のインポート]コマンドを選択します。
-
追加する鍵を選択します。Open Textアプリケーションを使用して作成した鍵の既定の場所は、次のとおりです。
personal_documents_folder\Micro Focus\product-name\.ssh
例:
C:\users\joe\documents\Micro Focus\product-name\.ssh
[秘密鍵のインポート]を選択すると、既定でこのフォルダが開きます。鍵のペアごとに、
*.pub
ファイルと拡張子のないファイルの2つが保存されます。秘密鍵は、拡張子のないファイルです。 -
鍵がパスフレーズで保護されている場合は、インポートする際に正しいパスフレーズを入力する必要があります。
インポートした鍵は、鍵エージェントのパスフレーズで保護されます。元の鍵とパスフレーズは変更されません。
説明
サーバへの鍵のアップロード
Secure Shell の鍵認証では、公開鍵/秘密鍵のペアを使用します。ホスト認証に鍵のペアを使用するには、公開鍵がホスト上の認可済み鍵に追加されている必要があります。鍵エージェントを使用すると、簡単にアップロードできます。エージェントは、指定のホストで実行されている Secure Shell サーバの種類を自動的に特定し、ホストに適した種類の鍵を使用して公開鍵をエクスポートし、指定の場所に (SFTP を使用して) インストールします。
公開鍵は、安全な SFTP プロトコルを使用して転送されます。公開鍵をアップロードするには、パスワード認証を使用できる必要があります。
公開鍵をサーバにアップロードするには
-
鍵エージェントを起動してロック解除します。
-
サーバ認証に使用する鍵を選択し、[アップロード] をクリックします。
-
鍵をアップロードするホストの名前を入力します(通常は、[SSH 構成セクション] は空白のままでかまいません。鍵をアップロードするために、鍵エージェントによってホストへの Secure Shell 接続が確立されます。この接続に使用する SSH 設定を、[SSH 構成セクション] で指定します)。[OK]を選択します。
-
表示されたダイアログボックスに、この鍵を使用してホストに対して認証を行うユーザの名前とパスワードを入力します。
ホストへの安全な接続が確立されると、ダイアログボックスが開き、Open Textアプリケーションがこの鍵をアップロードするホスト上の場所に関する情報が表示されます。通常は、この設定を変更する必要はありません。詳細については、以下の「注意」を参照してください。
注
- 鍵エージェントがロックされている場合は、[アップロード]は使用できません。
- [公開鍵のアップロード]ダイアログボックスに、転送に関する情報が表示されます。[OK] をクリックしてこのダイアログボックスを閉じます。
- Reflection for Secure IT、F-Secure、およびSSH Communications (SSH Tectia)サーバが実行されているホストにアップロードした鍵は、SECSH形式でエクスポートされます。既定で、これらの鍵はユーザの
.ssh2
ディレクトリにインストールされ、適切なKEY
エントリがauthorization
ファイルに追加されます。このファイルがまだない場合は、新規作成され、適切なファイル権限が付与されます。 - OpenSSHサーバが実行されているホストにアップロードした鍵は、OPENSSH形式でエクスポートされます。既定では、これらの鍵はユーザの
.ssh2
ディレクトリにあるauthorized_keys
ファイルに追加されます。このファイルがまだない場合は、新規作成され、適切なファイル権限が付与されます。
鍵エージェントへの鍵のインポート
- [ファイル] - [秘密鍵のインポート] コマンドを選択します。
注
鍵エージェントがロックされている場合は、[秘密鍵のインポート]は使用できません。
鍵をインポートすると、元の鍵は元の場所に残ります。鍵のコピーが暗号化されてエージェントに追加されます。インポートする鍵がパスフレーズで暗号化されている場合は、パスフレーズを入力する画面が表示されます。
説明
鍵エージェントへの証明書のインポート
-
鍵エージェントを起動してロック解除します。
-
[ファイル]メニューの[\<store>から証明書をインポート]コマンドを選択します。
**. 選択した証明書格納場所で現在使用可能なすべての証明書が表示されます。
-
インポートする証明書を選択し、[OK]をクリックします。
公開鍵のエクスポート
Reflection 鍵エージェントに保存されている鍵の公開鍵を非暗号化テキストでエクスポートできます。
非暗号化テキストで公開鍵をエクスポートするには
-
エクスポートする公開鍵を選択します。
-
[ファイル] - [公開鍵のエクスポート] コマンドを選択します。
現在選択している鍵の公開鍵がエクスポートされます。
注
鍵エージェントは、既定でOpen Textアプリケーションのネイティブ形式を使用して鍵をエクスポートします。
-
(オプション) OpenSSH サーバによって使用される形式で保存するには、[OpenSSH 形式で保存する] をオンにします。
注
- 公開鍵をSecure Shellサーバにアップロードする場合は、[アップロード]ボタンを使用するだけでアップロードできます。先に公開鍵をエクスポートする必要はありません。アップロードユーティリティは、指定したサーバの正確なキーの形式を自動的に判断します。
- 鍵エージェントがロックされている場合は、[公開鍵のエクスポート]は使用できません。
リモートで鍵を追加
鍵をリモートホストに追加する時にその鍵をReflection鍵エージェントに自動的に追加するように、Open Textアプリケーションを構成できます。
この機能を有効にするには
-
鍵エージェントの [オプション] - [リモートで鍵を追加] コマンドを選択します。
-
[Secure Shellの設定]ダイアログボックスを開きます。
-
サイドメニューから[ユーザ鍵]を選択し、[エージェントの転送を許可する]を選択します。
注
ホストでもエージェントの転送が有効になっている必要があります。
リモートで鍵を削除
鍵をリモートホストから削除する時にその鍵をReflection鍵エージェントから自動的に削除するように、Open Textアプリケーションを構成できます。
この機能を有効にするには
-
鍵エージェントの [オプション] - [リモートで鍵を削除] コマンドを選択します。
-
[Secure Shellの設定]ダイアログボックスを開きます。
-
サイドメニューから[ユーザ鍵]を選択し、[エージェントの転送を許可する]を選択します。
注
ホストでもエージェントの転送が有効になっている必要があります。
秘密鍵リモート操作の確認
接続時にエージェントの鍵が使用されるたびに鍵エージェントによる確認を行うかどうかを構成できます。
秘密鍵リモート操作を構成するには
-
鍵エージェントの [オプション] - [秘密鍵リモート操作の確認] コマンドをオンまたはオフにします。
接続時にエージェントの鍵が使用されると、鍵エージェントに確認のダイアログボックスが表示されます。オフにした場合は、鍵の交換がバックグラウンドで実行され、接続時にダイアログボックスは表示されません。
RSA署名をSHA1に制限する
古いサーバとの互換性を保つには、エージェントの識別情報要求に応答する際に、SHA1を使用するRSA署名のみを含めるエージェントを設定できます。
注
このオプションが選択されていない場合、リスト要求への回答の長さが原因で、一部のサーバへのエージェントの転送に対応できない場合があります。
[鍵の生成] ダイアログボックス
表示方法
- 鍵エージェントの起動.
- [鍵の生成]を選択します。
Secure Shell の鍵認証では、公開鍵/秘密鍵のペアを使用します。このダイアログボックスで、新しい鍵のペアを作成して鍵エージェントに追加できます。鍵エージェントで鍵を生成した場合は、Reflection 鍵エージェントのみで使用できるように、秘密鍵は常に暗号化されて保存されます。
オプションは次のとおりです。
[名前] | この鍵を識別する名前を入力します。 |
[型] | 鍵の生成に使用する鍵のアルゴリズムを指定します。 |
[長さ] | 鍵のサイズを指定します。鍵のサイズを大きくすると、ある程度までセキュリティは向上します。鍵のサイズを大きくすると最初の接続が遅くなりますが、正常に接続した後は、鍵のサイズはデータストリームの暗号化や解読の速度に影響しません。使用する鍵の長さは、多くの要素に依存します。 その要素には、鍵の種類、鍵の有効期間、保護するデータの値、潜在的な攻撃者にとって利用可能なリソース、この非対称鍵とともに使用する対称鍵のサイズなどがあります。ニーズに合った最適な選択をするには、セキュリティ管理者にお問い合わせください。 |
注
エージェントからエクスポートできるのは公開鍵のみです。