Comments
Description
Transcript
LGPKI証明書検証サーバに申請するIPアドレス
平成26年7月 LGPKI証明書検証サーバに申請するIPアドレス 【LGPKI証明書検証サーバ利用申請書に関するお問い合わせ先】 http://center.lgwan.jp/use/index.html#LGPKI4 ※上記サイトはLGWAN参加団体のみが参照できるサイトです。 ≪概要(背景)≫ 機構発行の文書データ・署名データは、電子申請・通知システムからダウンロードして入手致しますが、この署名データの検証には 専用アプリケーション『署名・検証ツール』を使用して頂きます。 署名・検証ツールは、機構理事長証明書の検証を『証明書検証サーバ』に委任しており、証明書検証サーバにHTTPS通信でアクセス する必要がございます。 証明書検証サーバにはアクセス制限が施されており、地方公共団体からのアクセス許可の申請が必要となります。 インターネット 地方公共団体ネットワーク ※アクセス制限あり 証明書検証の委任 HTTPS 運用端末 証明書検証サーバ 証明書検証 署名検証ツール GPKIブリッジ認証局 文書データ 東京法務局電子認証登記所 署名データ 機構理事長 証明書 ※機構理事長の公開証明書を含 ≪申請するIPアドレスのポイント≫ アクセス制限はグローバルIPアドレスで行われているため、アクセス許可の申請はグローバルIPアドレスで行います。 運用端末(署名・検証ツール)からのアクセスが、証明書検証サーバから見て、どのようなIPアドレスからのアクセスとなるかを 団体側ネットワーク管理部門と調整/確認し、そのグローバルIPアドレスで申請する必要がございます。 (発生する通信はHTTPSプロトコルですので、プロキシーサーバ経由のアクセスが可能です。) ≪申請するIPアドレスの記入例≫ ■プロキシサーバ経由でアクセスする基本的な構成の場合 団体側ネットワーク 署名・検証ツール HTTP インターネット Proxy1 HTTPS プロキシーサーバに Proxy1を指定 証明書検証サーバ ※Proxy1からアクセスされる 団体側ネットワークに存在するProxy1を使用するケースでは、Proxy1のインタネット上でのアドレスを記入して下さい。 Proxy1が複数台で運用されている場合は、複数のアドレスを;(セミコロン)で区切って記入して下さい。 ※署名・検証ツールの設定では、プロキシサーバにProxy1を指定することになります。 ■プロキシサーバが多段構成の場合 ※2段構成のプロキシの例 署名・検証ツール プロキシーサーバに Proxy1を指定 団体側ネットワーク HTTP Proxy1 HTTP Proxy2 インターネット HTTPS 証明書検証サーバ ※Proxy2からアクセスされる プロキシサーバが多段構成である場合、最後のプロキシサーバ(上記例ではProxy2)のインタネット上でのアドレスを記入して下さい。 Proxy2が複数台で運用されている場合は、複数のアドレスを;(セミコロン)で区切って記入して下さい。 ※署名・検証ツールの設定では、プロキシサーバにProxy1を指定することになります。 ■プロキシサーバがプロバイダのプロキシサーバである場合 プロバイダのプロキシサーバを使用している場合、IPアドレスはプロバイダ管理であり、通知なく変更される可能性もあります。 また、証明書検証サーバのアクセス制限の観点からも、このアドレスを申請するのは問題がございます。 従いまして、プロバイダのプロキシサーバでは申請を行わないようにお願い申し上げます。 ●プロキシがプロバイダの プロキシしかない場合 ブラウザ 署名・検証ツール 団体側ネットワーク インターネット ブラウザからのアクセスの場合 プロバイダ提供の プロキシサーバ HTTP Proxy1 HTTPS Gateway プロキシーサーバを 指定しない 証明書検証サーバ ※運用端末から直接アクセスされる アドレス変換 ブラウザのプロキシ設定とは異なり、(署名・検証ツールが動作する)運用端末からプロキシサーバを介さず、直接接続を行わせます。 このケースではプロキシサーバを介しませんので、(アドレス変換された)運用端末のインタネット上でのアドレスを記入して下さい。 ※署名・検証ツールの設定では、プロキシサーバを指定しないで下さい。 ●3段構成のプロキシが プロバイダ管理の場合 署名・検証ツール 団体側ネットワーク HTTP Proxy1 HTTP インターネット HTTP Proxy2 プロキシーサーバに Proxy1を指定 プロバイダ提供の プロキシサーバ Proxy3 証明書検証サーバ ※Proxy2からアクセスされる HTTPS 団体側で管理されるプロキシサーバ(上記例ではProxy2)にて、証明書検証サーバへのアクセスは直接接続する設定に変更して下さい。 その後、アクセス元となるプロキシサーバ(上記例ではProxy2)のインタネット上でのアドレスを記入して下さい。 Proxy2が複数台で運用されている場合は、複数のアドレスを;(セミコロン)で区切って記入して下さい。 ※署名・検証ツールの設定では、プロキシサーバにProxy1を指定することになります。 ■都道府県NOC (Network Operations Center) を介してインタネット接続されている場合 市町村ネットワーク 署名・検証ツール HTTP Proxy1 都道府県ネットワーク HTTP 各自治体の プロキシサーバ プロキシーサーバに Proxy1を指定 Proxy2 インターネット HTTPS 都道府県の プロキシサーバ 証明書検証サーバ ※Proxy2からアクセスされる このケースでは都道府県のプロキシサーバが証明書検証サーバのアクセス元ですので、都道府県からの一括申請となります。 詳細は都道府県の担当者にご確認下さい。 ※署名・検証ツールの設定では、プロキシサーバにProxy1を指定することになります。 ■プロキシサーバを介さない場合 団体側ネットワーク 署名・検証ツール HTTPS インターネット Gateway アドレス変換 証明書検証サーバ ※運用端末から直接アクセスされる プロキシーサーバを 指定しない このケースではプロキシサーバを介しませんので、(アドレス変換された)運用端末のインタネット上でのアドレスを記入して下さい。 ※署名・検証ツールの設定では、プロキシサーバを指定しないで下さい。