トップ > 日医標準レセプトソフト > 運用のための各種設定 > プライベートCA構築ツールの利用

プライベートCA構築ツールの利用

最終更新日:2012年9月1日

概要

この文書は、プライベートCA構築ツールのセットアップとその利用方法について説明します。

プライベートCA構築ツールは、日医標準レセプトソフト(以下日レセ)SSLクライアント認証で使用する認証局を構築、運用することを目的としています。

プライベートCA構築ツールは、glserverとクライアントが利用する証明書を発行し、証明書とユーザを紐付けるユーザデータベースをメンテナンスするための機能を提供します。

ここではコンソールコマンドは一般ユーザで操作する前提で記載しています。管理者権限を利用する場合は、すべてsudoコマンドで実行しています。 

インストール

インストールを行う環境は日レセ用のapt-lineが設定されているものとします。日レセ用apt-lineの設定は日レセユーザサイトのインストールドキュメントを参考におこなってください。

以下のコマンドを実行しプライベートCA構築ツールをインストールします。

$ sudo apt-get update[Enter]
$ sudo apt-get install jma-certtool[Enter]

起動方法

コンソールを開いて以下のコマンドを実行し、プライベートCA構築ツールを起動します。 

$ jma-certtool[Enter]

ユーザのパスワードが要求されるので入力します。

パスワード入力画面

パスワード入力に成功すると、CA証明書の作成画面またはメインウィンドウが表示されます。 

初期設定

CA証明書の作成画面

初回起動時やCA証明書が作成されていない場合に表示される画面です。

この画面でCA証明書の作成を行います。

 CA証明書作成画面 

CA証明書の各設定項目を入力します。

それぞれの項目について以下に簡単に説明します。CA証明書を作成するために必要な項目は、項目名に(必須)と記載しています。

  • 新しいCAの名前(必須)
    • CAの名称を入力します。
  • 国名(必須)
    • 半角アルファベットでJPと入力されています。この項目は変更しないでください。
  • 都道府県名
    • お住いの都道府県名をローマ字で入力します。(例:Tokyo)
  • 市町村名
    • お住いの市町村名をローマ字で入力します。(例:Bunkyo-ku, Mitaka City)
  • 組織名(必須)
    • CAを利用する組織名(医院名など)をローマ字で入力します。(例:Nichi-i Clinic)
  • 部署名
    • 組織に複数の部署がある場合は部署名をローマ字で入力します。(例:Keiri)
  • コモンネーム(必須)
    • CA証明書の名前をローマ字で入力します。(例:Nichi-i Clinic CA)
  • Eメールアドレス
    • CAの管理を行うためのメールアドレスを入力します。(:admin@example.or.jp)
  • シリアル番号
    • シリアル番号を半角の数字で入力します。
  • 鍵アルゴリズム
    • 鍵のアルゴリズムを指定します。デフォルト値はRSA です。
  • 鍵長(ビット数)
    • 鍵長を指定します。デフォルト値は2048 です。
  • ダイジェスト
    • ダイジェストのアルゴリズムを指定します。デフォルト値はSHA1 です。
  • 証明書の有効期限
    • 作成するCAの有効期間を日数で指定します。デフォルト値は3650 日です。
  • CRLのデフォルト有効期限
    • CAが発行するCRL(失効リスト)の有効期間を日数で指定します。デフォルト値は7 日です。
  • CA鍵のパスワード
    • CAの私有鍵にパスワードを設定する場合は値を入力します。数字とアルファベットが利用可能です。設定すると証明書の発行時にパスワードが必要となります。
  • CA鍵のパスワード(確認)
    • 入力確認のため、「CA鍵のパスワード」と同じ値を入力します。
  • CA証明書の拡張領域の編集
    • 通常は特に設定を変更する必要はありません。

必要な項目を入力して「OK」をクリックするとCA証明書が作成され、メインウィンドウが表示されます。

画面の説明

メインウィンドウ

プライベートCA構築ツールの基本画面です。この画面から全ての操作を行います。

 メインウィンドウ 

メニューバー

メニューバーで利用可能な項目とそれぞれの用途は以下のとおりです。

  • ファイル
    • 新規CA:新しいCAを構築します
    • CAを開く:既存のCAを選択します
    • CAの削除:既存のCAを削除します
    • 終了:このツールを終了します
  • ツール
    • 日レセ用のユーザDB を作成する:日レセSSL 認証で利用するためのユーザDBファイルuserdbを作成します

ツールバー

ツールバーに表示されているボタンは、選択されたタブによって動作が異なります。それぞれの用途と動作は以下のとおりです。

  • 終了
    • このツールを終了します
  • 新規
    • 開いているタブによって動作が変わります
      • 証明書タブ:新しい証明書の作成を開始します
      • 証明書要求タブ:新しい証明書要求の作成を開始します
      • 認証局タブ:新しいCAの作成を開始します
  • 開く
    • 既存の証明書要求ファイルを取り込む際に利用します
  • 削除
    • 選択されているアイテムを削除します
  • プロパティ
    • 選択されているアイテムのプロパティを表示します 

タブ

プライベートCA構築ツールには4つのタブが用意されており、タブをクリックすることでメインウィンドウが切り替わり、利用できる情報が変わります。個々のタブで扱うことができる情報は以下の通りです。

  • 証明書

    • CAで発行された証明書の情報を管理します

  • 証明書要求

    • CAで利用する証明書要求の情報を管理します

  • 認証局

    • CA自身の情報を管理します

各タブウィンドウの動作

証明書タブウィンドウ

プライベートCA構築ツールを起動した直後はこのタブが開きます。他のタブウィンドウが開いているときに証明書タブをクリックした場合にもアクティブになります。

プライベートCA構築ツールで作成した証明書の管理全般を行います。

証明書タブウィンドウ 

証明書タブウィンドウではプライベートCA構築ツールを利用して発行されたすべての証明書について以下の情報が表示されます。

  • シリアル
    • 証明書のシリアル番号が表示されます。発行順に連番が付与されます
  • コモンネーム
    • 証明書に入力したコモンネームが表示されます
  • ユーザ名
    • glserverが認証に利用するユーザ名が表示されます。クリックすることで内容の変更が可能です
  • 有効期限
    • 証明書の有効期限が西暦で記載されています
  • プロファイル
    • 発行に利用した証明書プロファイル名が記載されています。証明書プロファイルの詳細は認証局タブウィンドウで確認できます
  • 失効済
    • 証明書が失効されている場合にチェックマークが表示されます
  • 私有鍵
    • 証明書に対応する私有鍵が保存されている場合にチェックマークが表示されます

証明書要求タブウィンドウ

証明書要求タブをクリックするとアクティブになるウィンドウです。

証明書要求の管理全般とCA証明書による署名を行います。

証明書要求タブウィンドウ 

証明書要求タブウィンドウでは、新規作成あるいはインポートされたすべての証明書要求について以下の情報が表示されます。

  • コモンネーム
    • コモンネームが表示されます
  • 鍵アルゴリズム
    • 鍵アルゴリズムが表示されます
  • 要求発行日
    • 証明書要求がインポートされた日時、あるいは証明書要求タブウィンドウ上で作成された日時が表示されます
  • 署名の有無
    • CA証明書によって署名されている場合(証明書が発行されている場合)はチェックマークが表示されます
  • 私有鍵
    • 証明書要求の対になる私有鍵が存在する場合はチェックマークが表示されます

認証局タブウィンドウ

認証局タブをクリックするとアクティブになるウィンドウです。

CA証明書やCRL(失効リスト)、証明書タブから発行する証明書のプロファイルなどを管理します。

認証局タブウィンドウ 

以下のボタンが用意されています。

  • エクスポート
    • CA証明書のエクスポート(PEM)PEM形式のCA証明書をエクスポートします
    • CA証明書のエクスポート(DER)DER形式のCA証明書をエクスポートします
    • CRLのエクスポート(PEM)PEM形式のCRLをエクスポートします
    • CRLのエクスポート(DER)DER形式のCRLをエクスポートします
  • 閲覧
    • CA証明書を表示する:CA証明書の詳細情報が表示されます
    • 最新のCRLを表示する:最新のCRLの詳細情報が表示されます
  • 認証局の管理
    • 新しいCRLを発行する:CRLを発行します
    • CAのパスワードを変更する:現在のパスワードから新しいパスワードに変更できます
    • CA鍵のCSRを作成する:現在利用しているCA鍵を利用して新しい証明書要求(CSR)を作成し、エクスポートします
    • CA証明書をインポートする:「CA鍵のCSRを作成する」で作成した証明書要求から生成された新たなCA証明書をインポートします
また以下の情報がタブの右側に表示されます。
  • CA証明書の情報
    • 現在のCA証明書のサブジェクト、有効期間とフィンガープリントを表示します
  • 証明書プロファイル
    • CAが署名に利用できる証明書プロファイルのリストを表示します。「名前」欄がCAによる署名時に選択できる名称です

基本機能

証明書の発行

glserverglclientmonsiajで利用する証明書を発行します。

「証明書タブウィンドウ」を開き「新規」ボタンをクリックします。

新規証明書発行ボタン 

「証明書要求の編集」画面が表示されたら、コモンネームに適切な名前を入力します。

証明書要求の編集画面

  • サーバ証明書のコモンネームの設定
    • glserverが稼働する機材のFQDNあるいはIPアドレスを指定します。ここで設定する値はクライアントが接続する際に指定するサーバ名、あるいはIPアドレスと一致している必要があります。
    • glserverに設置する証明書のコモンネームが正しく設定されていない場合、クライアントが接続できないため注意してください。
  • クライアント証明書のコモンネームの設定
    • 適切なユーザIDを指定します。ここで指定するユーザIDは証明書を識別する時に利用されますが、glserverに接続する際のユーザ名と異なっても構いません。

CAによる署名」ウィンドウが表示されたら、以下の情報を入力して「OK」をクリックします。

CAによる署名画面 

  • CA鍵のパスワード
    • CA証明書の作成」画面で設定したパスワードを入力します。
  • プロファイル
    • サーバ証明書はプルダウンメニューから「orca-server」を選択します。
    • クライアント証明書はプルダウンメニューから「orca-client」を選択します。
  • 証明書の有効期限
    • 作成する証明書の有効期限を設定します。デフォルト値は365日です。 証明書の有効期限のデフォルト値は認証局タブウィンドウから各証明書のプロパティを選択して確認・修正が可能です。
  • ユーザ名
    • 日レセ用ユーザDBファイルの生成時のユーザ名として使用します。
    • クライアント証明書では、必ずglserverに接続するユーザ名を指定します。
    • また他の証明書が使用しているユーザ名は指定しないでください。
    • サーバ証明書では指定しません。

 

証明書タブウィンドウにエントリが追加されれば証明書の発行は成功です。

証明書のエクスポート

エクスポートしたい証明書のエントリの上で画面を右クリックします。

証明書の操作ポップアップ

日レセで利用するサーバおよびクライアント証明書は、私有鍵と証明書がひとつのファイルに含まれるPKCS#12形式を利用します。

ポップアップから「エクスポート(PKCS#12)」を選択するとパスワード入力画面が表示されます。

サーバ証明書、クライアント証明書でそれぞれ以下の操作を実施します。

  • サーバ証明書のパスワード
    • パスワード欄は空のまま「OK」をクリックします
  • クライアント証明書のパスワード
    • パスワード欄に適当なパスワードを入力します。monsiajでは、空のパスワードで作成された証明書を使用することができないためパスワードの設定が必要です。 

 

PKCS#12パスワード入力画面 

パスワード欄を空とした場合、「空のパスワードを設定しますか?」と警告画面が表示されますので、「OK」をクリックします。

空のパスワード警告画面 

「出力ファイル保存」画面が表示されるので保存先を決定し「OK」ボタンを押します。

デフォルトでは保存されるファイル名は<コモンネーム>.p12 となります。

ファイルの保存画面 

CA証明書のエクスポート

「認証局」タブをクリックして「認証局タブウィンドウ」に移動します。

CA証明書のエクスポート(PEM)」ボタンをクリックすると「出力ファイル保存」画面が表示されるので保存先を決定し「OK」ボタンを押します。

デフォルトでは保存されるファイル名は<CAのコモンネーム>.pem となります。

日レセ用ユーザDBファイルの生成

証明書タブの証明書エントリのうち、以下の条件を満たすものを認証可能な証明書とするユーザDBファイルを生成します。

  • 「ユーザ名」が設定されている

  • 有効期限が切れていない

プライベートCA構築ツールの「ツール」メニューを開き、「日レセ用のユーザDBを生成する」を選択します。 日レセ用ユーザDBファイルの作成 

「ファイルの保存」画面が表示されるので、適当な場所(例えばホームディレクトリ等)に保存します。保存したユーザDBファイルを日レセサーバに設定します。

ユーザの追加、削除、変更があった場合は、先に対象の証明書の「ユーザ名」を変更し、再度ユーザDBファイルの生成を実行します。証明書の「ユーザ名」の変更は、証明書タブを開いて対象の証明書エントリの「ユーザ名」欄をクリックして編集することで行います。

  • ユーザの証明書の有効期限が切れるとユーザDBファイルに有効なユーザとして登録されている場合でも、日レセに接続できなくなります

  • 同じユーザ名を複数の証明書に設定した場合、証明書のどれか一つだけが接続可能となり、その他の証明書では接続できなくなります

その他の機能(参考)

証明書要求(CSR)からの証明書の発行

証明書を作成するにあたり、自分で私有鍵および証明書要求を作成し、署名のみをプライベートCA構築ツールで行いたい場合があります。

そのような場合は「証明書要求タブウィンドウ」から証明書要求をインポートして証明書を発行します。

プライベートCA構築ツールを起動して「証明書要求タブウィンドウ」に移動し、「開く」ボタンをクリックします。

証明書要求のインポート 

「入力ファイルの選択」画面が表示されたら、証明書要求を選択して「OK」をクリックします。

証明書要求が正しい形式であれば「証明書要求タブウィンドウ」に新しいエントリが追加されます。

証明書要求への署名 

証明書要求に追加されたエントリ上で右クリックして表示されるウィンドウで「署名(証明書発行)」を選択します。

CAによる署名」ウィンドウが表示されたら、以下の情報を入力して「OK」をクリックします。

  • CA鍵のパスワード
    • CA証明書の作成」画面で設定したパスワードを入力します
  • プロファイル
    • プルダウンメニューから利用するプロファイルを選択します
  • 証明書の有効期限
    • 作成する証明書の有効期限を設定します。デフォルト値は365日です
  • ユーザ名
    • クライアント証明書を作成する場合はglserverに接続するユーザ名を指定します

証明書要求のエントリ上で「署名済」にチェックが入っていれば署名は完了です。

 証明書要求の署名済みの確認

プロファイル

「証明書管理ツールのセットアップ」と同時にサーバ証明書プロファイル(orca-server)とクライアント証明書プロファイル(orca-client)が自動生成されます。詳細は「認証局タブウィンドウ」で確認、修正が可能ですが、通常お使いの場合は特に変更する必要はありません。

 

トップ > 日医標準レセプトソフト > 運用のための各種設定 > プライベートCA構築ツールの利用

このページのトップへ