Title: moCA(members oriented Certification Authority) WGの 年間活動報告 Author(s): 木村泰司 (taiji-k@nic.ad.jp) Date: 2011-12-31 目次: 1. moCA WG 2011年の活動 2. OpenSSLへの移行と仮想化 3. OpenSSLへの移行の課題と解決 4. WIDEメンバ証明書 5. WIDEサーバ証明書 6. まとめ 付録. フィンガープリントの一覧 Copyright Notice 1. moCA WG 2011年の活動   moCA WGはCA(Certification Authority)の振る舞いや証明書の扱いに注目 し、WIDEプロジェクト内でCAの運用実験を行っているWGである。利用環境や 利用法に関する情報交換も行われている。moCA WGで運用されている認証局を 以下に示す。 - WIDE ROOT CA WIDEプロジェクトにおけるトラストアンカーを提供する目的で設置さ れたルートCAである。次のmoCAの他にSOI WGなど特定のワーキンググ ループ活動目的のためのCAはこのCAの下位CAとなっている。 - moCA (members oriented CA) WIDEメンバの電子証明書である「WIDEメンバ証明書」を発行する他、 WIDEプロジェクト内で使われるサーバ証明書の「WIDEサーバ証明書」 を発行している。  2011年は、東日本大震災の影響で起きた障害を受けてmoCAの認証局ソフト をOpenSSLベースに移行した。また例年通りCAの運用を継続しWIDEメンバへの 鍵対の提供を行った。 2. OpenSSLへの移行とサーバの仮想化  moCAは認証実用化実験協議会(ICAT)*1によって開発されたICAT Certification Authority Package(ICAP) を用いて構築された。ICAPは1998 年頃にリリースされたソフトウェアで、FreeBSD 2やSolaris 2.5などの古い 動作環境で動作する。このためmoCAは古い動作環境をエミューレーションす る環境で利用されてきた。 *1 ICAT HOME PAGE (WIDEプロジェクトに保存されているWebページ), http://www.wide.ad.jp/document/historical-projects/icat/  東日本大震災の影響でmoCAが設置されたNOCで停電が起きた際、この動作環 境が、継続運用に対して大きな課題となった。停電からの復旧のときにmoCA のサーバ起動しなくなり、ハードウェアを変更する必要があったが、ICAPの 動作環境を維持するため、OSなどを変更せずに復旧する必要があった。この ときはtwo WGメンバの尽力によって完全に復旧することができたが、今後も ハードウェアやOSが常に新しくなっていく状況の中で、ハードウェア障害が 起きたときに同じように復旧できるとは考えにくい。  そこで、moCA WGのメンバによって、moCAをOpenSSLで動作するように作り 替える活動が行われた。moCAがOpenSSLで動作すれば、ハードウェアが変わっ たり、OSがバージョンアップしたりしてもmoCAを継続運用しやすい。この活 動はICAP を新しいOSで動作させることが難しいかどうか確認された後、 2011年4月から5月にかけて行われた。更に、WIDE cloudを用いた仮想サーバ で構築作業が行われることで、輪番停電などの影響を踏まえても継続運用し やすい形になった。  6月に予定されていたWIDEメンバ証明書などの配布は、OpenSSLを使った新 しい認証局ソフトェアを使って行われた。 3. OpenSSLへの移行の課題と解決  ICAPをOpenSSLに移行するには、ICAPが独自に実装していた機能を移行先の プログラムで実現する必要がある。具体的には、認証局証明書と私有鍵の管 理機能、発行済みの証明書の送付および管理機能、証明書プロファイルの管 理機能、CRLの管理機能などをOpenSSLを使って実現する必要がある。  認証局証明書と私有鍵は、保存形式の変換によって移行することができた。 また発行済みの証明書は、ほぼ同様の形式で保存されていたため、証明書の 内容をテキストで残すような若干の改良を加えた上でOpenSSLで扱える形式に 変換された。  課題となったのはこれまでと同様の証明書プロファイルを維持し、かつ複 数の証明書プロファイルをOpenSSLで扱えるようにすることと、発行済みの証 明書をこれまでと同様に電子メールでWIDEメンバに配布する仕組みの実現で ある。これらは移行作業の一環で作成されたシェルスクリプトで解決された。 ICAPにはWebのユーザインターフェースを用いて電子証明書を発行する機能が あったが、これはmoCAのオペレーターだけに使用されており、シェルスクリ プトで同等の機能を実現すればこれまで通りに運用できる。この他に、発行 済みのWIDEサーバ証明書を用いて、有効期限を延ばした証明書を発行する改 良を行う必要があったが、これはOpenSSLに若干の変更を加えることで対応し た。  移行作業が一段落した後、CRLの定期的に発行するための設定が行われたり 複数の証明書プロファイルを扱う際に、ミスが起こりにくいように改良された りした。 4. WIDEメンバ証明書  WIDEメンバ証明書はWIDEメンバが利用するクライアント証明書であり、2年 間の有効期限を持っている。2011年6月末は、2年前に発行されたWIDEメンバ 証明書が期限を迎える月であり、WIDEメンバに対して、一斉に再発行が行わ れた。  一斉配布は6月22日に行われ、889通発行された。前回の2009 年6月は841通 発行されており、48通増加した。次回の一斉配布は2013年6月を予定している。  moCAが仮想サーバに移行したことを受けて、今回の一斉配布では、配布時 の送信元IPアドレスが逆引きできず、送信先のメールサーバの中には配送を 一時的に行わない対応をしたものがあった。これについては一時的に配送に 使われるネットワークインターフェースのIPアドレスに逆引きの設定がされ た後、仮想サーバで使われるIPアドレスを整理して、逆引きができるように するなどの対応が行われた。 5. WIDEサーバ証明書  WIDEサーバ証明書はWIDEメンバによって申請があると発行されるサーバ証 明書であり、2年間の有効期限を持っている。WIDEサーバ証明書はWIDEサーバ 証明書の発行を既に受けているWIDEメンバに対して配布された。WIDEサーバ 証明書は元来、一斉配布する形ではなく、更新を希望するWIDEメンバがWebの CGIを使った申請を行うことで発行されていた。今回は、moCAがOpenSSLへの 移行の際に作成されたスクリプトをmoCAのオペレーターが使用し、個々に発 行された。  WIDEサーバ証明書は、6月27日に行われた。このとき、23通(23サーバ)発行 された。前回の更新が行われた2010年6月には23通発行されており、横ばいで ある。  このWIDEサーバ証明書の発行の後、22名のWIDEメンバに対して、WIDEサー バ証明書の証明書プロファイルを持つ証明書が発行されるミスが発生した。 当時、WIDE サーバ証明書はWIDEメンバ証明書と同じ設定ファイルである openssl.cnfを使用しており、6月27日にWIDEサーバ証明書の発行が行われた 際に、WIDEサーバ証明書用の設定になったままになっていた。この openssl.cnfを用いて、その後8月3日までの間、WIDEメンバ証明書の発行が行 われたため、22名のWIDEメンバはクライアント証明書ではなくサーバ証明書 を受け取った。その結果WIDE合宿の申し込みWebページにアクセスできないな どの問題が発生した。この問題に対しては、はじめに設定を修正して各々の WIDEメンバに対してWIDEメンバ証明書を再度発行した。その後、WIDEサーバ 証明書を発行する設定ファイルを別に用意し、WIDEメンバ証明書に影響しな いように別のスクリプトを作成した。 6. まとめ  2011年は、東日本大震災の影響を受けて障害対応が行われ、moCAの OpenSSLへの移行とサーバの仮想化が行われた。これらの移行の影響で運用の ミスが発生したが、最終的に新しいmoCAによってWIDEメンバ証明書とWIDEサー バ証明書を提供できるようになった。今後、暗号アルゴリズムの移行の課題 が残っているが、OpenSSLへの移行によって、課題解決がしやすいようになっ たと言える。WIDEプロジェクトにおいて電子証明書の利用が普及している状 況を鑑みて、今後も継続して活動していくことが重要である。 付属. フィンガープリントの一覧 (wide-tr-moca-fingerprint-09.txt 参照) Copyright Notice Copyright (C) WIDE Project (2009-2012). All Rights Reserved.