...

LGPKI証明書検証サーバに申請するIPアドレス

by user

on
Category: Documents
30

views

Report

Comments

Transcript

LGPKI証明書検証サーバに申請するIPアドレス
平成26年7月
LGPKI証明書検証サーバに申請するIPアドレス
【LGPKI証明書検証サーバ利用申請書に関するお問い合わせ先】
http://center.lgwan.jp/use/index.html#LGPKI4
※上記サイトはLGWAN参加団体のみが参照できるサイトです。
≪概要(背景)≫
機構発行の文書データ・署名データは、電子申請・通知システムからダウンロードして入手致しますが、この署名データの検証には
専用アプリケーション『署名・検証ツール』を使用して頂きます。
署名・検証ツールは、機構理事長証明書の検証を『証明書検証サーバ』に委任しており、証明書検証サーバにHTTPS通信でアクセス
する必要がございます。
証明書検証サーバにはアクセス制限が施されており、地方公共団体からのアクセス許可の申請が必要となります。
インターネット
地方公共団体ネットワーク
※アクセス制限あり
証明書検証の委任
HTTPS
運用端末
証明書検証サーバ
証明書検証
署名検証ツール
GPKIブリッジ認証局
文書データ
東京法務局電子認証登記所
署名データ
機構理事長
証明書
※機構理事長の公開証明書を含
≪申請するIPアドレスのポイント≫
アクセス制限はグローバルIPアドレスで行われているため、アクセス許可の申請はグローバルIPアドレスで行います。
運用端末(署名・検証ツール)からのアクセスが、証明書検証サーバから見て、どのようなIPアドレスからのアクセスとなるかを
団体側ネットワーク管理部門と調整/確認し、そのグローバルIPアドレスで申請する必要がございます。
(発生する通信はHTTPSプロトコルですので、プロキシーサーバ経由のアクセスが可能です。)
≪申請するIPアドレスの記入例≫
■プロキシサーバ経由でアクセスする基本的な構成の場合
団体側ネットワーク
署名・検証ツール
HTTP
インターネット
Proxy1
HTTPS
プロキシーサーバに
Proxy1を指定
証明書検証サーバ
※Proxy1からアクセスされる
団体側ネットワークに存在するProxy1を使用するケースでは、Proxy1のインタネット上でのアドレスを記入して下さい。
Proxy1が複数台で運用されている場合は、複数のアドレスを;(セミコロン)で区切って記入して下さい。
※署名・検証ツールの設定では、プロキシサーバにProxy1を指定することになります。
■プロキシサーバが多段構成の場合
※2段構成のプロキシの例
署名・検証ツール
プロキシーサーバに
Proxy1を指定
団体側ネットワーク
HTTP
Proxy1
HTTP
Proxy2
インターネット
HTTPS
証明書検証サーバ
※Proxy2からアクセスされる
プロキシサーバが多段構成である場合、最後のプロキシサーバ(上記例ではProxy2)のインタネット上でのアドレスを記入して下さい。
Proxy2が複数台で運用されている場合は、複数のアドレスを;(セミコロン)で区切って記入して下さい。
※署名・検証ツールの設定では、プロキシサーバにProxy1を指定することになります。
■プロキシサーバがプロバイダのプロキシサーバである場合
プロバイダのプロキシサーバを使用している場合、IPアドレスはプロバイダ管理であり、通知なく変更される可能性もあります。
また、証明書検証サーバのアクセス制限の観点からも、このアドレスを申請するのは問題がございます。
従いまして、プロバイダのプロキシサーバでは申請を行わないようにお願い申し上げます。
●プロキシがプロバイダの
プロキシしかない場合
ブラウザ
署名・検証ツール
団体側ネットワーク
インターネット
ブラウザからのアクセスの場合
プロバイダ提供の
プロキシサーバ
HTTP
Proxy1
HTTPS
Gateway
プロキシーサーバを
指定しない
証明書検証サーバ
※運用端末から直接アクセスされる
アドレス変換
ブラウザのプロキシ設定とは異なり、(署名・検証ツールが動作する)運用端末からプロキシサーバを介さず、直接接続を行わせます。
このケースではプロキシサーバを介しませんので、(アドレス変換された)運用端末のインタネット上でのアドレスを記入して下さい。
※署名・検証ツールの設定では、プロキシサーバを指定しないで下さい。
●3段構成のプロキシが
プロバイダ管理の場合
署名・検証ツール
団体側ネットワーク
HTTP
Proxy1
HTTP
インターネット
HTTP
Proxy2
プロキシーサーバに
Proxy1を指定
プロバイダ提供の
プロキシサーバ
Proxy3
証明書検証サーバ
※Proxy2からアクセスされる
HTTPS
団体側で管理されるプロキシサーバ(上記例ではProxy2)にて、証明書検証サーバへのアクセスは直接接続する設定に変更して下さい。
その後、アクセス元となるプロキシサーバ(上記例ではProxy2)のインタネット上でのアドレスを記入して下さい。
Proxy2が複数台で運用されている場合は、複数のアドレスを;(セミコロン)で区切って記入して下さい。
※署名・検証ツールの設定では、プロキシサーバにProxy1を指定することになります。
■都道府県NOC (Network Operations Center) を介してインタネット接続されている場合
市町村ネットワーク
署名・検証ツール
HTTP
Proxy1
都道府県ネットワーク
HTTP
各自治体の
プロキシサーバ
プロキシーサーバに
Proxy1を指定
Proxy2
インターネット
HTTPS
都道府県の
プロキシサーバ
証明書検証サーバ
※Proxy2からアクセスされる
このケースでは都道府県のプロキシサーバが証明書検証サーバのアクセス元ですので、都道府県からの一括申請となります。
詳細は都道府県の担当者にご確認下さい。
※署名・検証ツールの設定では、プロキシサーバにProxy1を指定することになります。
■プロキシサーバを介さない場合
団体側ネットワーク
署名・検証ツール
HTTPS
インターネット
Gateway
アドレス変換
証明書検証サーバ
※運用端末から直接アクセスされる
プロキシーサーバを
指定しない
このケースではプロキシサーバを介しませんので、(アドレス変換された)運用端末のインタネット上でのアドレスを記入して下さい。
※署名・検証ツールの設定では、プロキシサーバを指定しないで下さい。
Fly UP