最近のアクセス:
ドキュメントに電子署名する方法

非推奨: GeneXus 16 Upgrade 4 以上。デジタル署名モジュールに組み込む API で置き換えられます。


: 非推奨となったのは機能全体ではなく、ローカルに署名するモジュール (アプレット) です。これは、現行ブラウザーの制限によります。詳細については、SAC #45270 および SAC #45590 を参照してください。
ここでは、ドキュメントに電子署名する方法を説明し、その概要を簡潔に説明します。
ドキュメントにデジタル署名することにより、ドキュメントが変更されていないことや、信頼できる証明書で署名されたことを検証できます。
この機能を使用するには、PKI (Public Key Infrastructure: 公開鍵インフラストラクチャ) の知識が必要です。
デジタル署名を取得するには次のアルゴリズムを使用します:
- SHA-1: ドキュメント分散用
- RSA: 分散暗号化用

事前の手順

GXflow アプリケーションでこの機能を使用できるようにする前に、事前設定が必要です。以降で説明するように、この設定は各プラットフォームによって異なります:

.NET 設定

  • アプリケーションは .NET Framework 2.0 で実行する必要があります。
  • クライアント PC のブラウザーは Java 1.4.2 以上のプラグインを使用し、.NET アプレットを実行する必要があります。
  • 信頼された認証局 (中間または上級) から発行された証明書を、アプリケーションが格納されている Windows Server の対応する証明書リポジトリにインストールする必要があります。また、証明書の失効を管理するには、対応する証明書失効リスト (CRL) をインストールする必要があります。

Java 設定

  • クライアント PC のブラウザーは Java 1.4.2 以上のプラグインを使用し、Java アプレットを実行する必要があります。
  • 2048 ビットを超える RSA キーを使用するには、Java Unrestricted Policy Files をインストールする必要があります。これらのファイルは仮想マシンの各バージョンに固有で、Sun の Web サイトから入手できます。
  • 信頼された認証局 (中間または上級) から発行された証明書と証明書失効リストを、アプリケーションがアクセス可能なディレクトリーのディスクに配置する必要があります。そのため、ディレクトリーに次のサブディレクトリーを追加する必要があります:
    • inter_ca_certs: 信頼された中間認証局から発行された証明書
    • root_ca_certs: 信頼された上級認証局から発行された証明書
    • crls: 証明書失効リスト (CRL)
これらのディレクトリーに保存する証明書と CRL は DER 形式でなければなりません。

GeneXus IDE 設定

[ 設定 ] -> [ ワークフロー ] -> [ ドキュメント ] オプションでドキュメントを作成または変更する場合、ドキュメントにデジタル署名が必要かどうかを選択できます。デジタル署名を必要とする場合は、 [ Digital signature required ] プロパティを True に設定します。
イメージ:15557.jpg

GXflow クライアント設定

GXflow クライアントのサーバー設定で、 [ 設定 ] > [ 詳細 ] > [ ドキュメントマネージメント ] > [ デジタル署名の有効化 ] でドキュメントのデジタル署名機能を有効にします。
また、Java では、 [ 設定 ] > [ 詳細 ] > [ ドキュメントマネージメント ] > [ 証明書ディレクトリー ] に前述の証明書ディレクトリーを指定する必要があります。

GXflow クライアントでのドキュメントの署名

デジタル署名が必要なドキュメントにチェックインすると、ドキュメントのアップロード元に署名用の Java アプレットが追加されます。
このアプレットは Artech によってデジタル署名されているので、このアプレットを初めてクライアントで使用するときに、アプレットを有効にする許可を求めるメッセージがブラウザーに表示されます。
イメージ:15558.jpg
このアプレットが有効になると、 [ Sign ] ボタンがアップロードフォームに追加されます。
ドキュメントに署名するには、次の手順に従います:
1.アップロードするドキュメントを選択し、 [ Sign ] ボタンをクリックします。
イメージ:15559.jpg
2.表示されるダイアログボックスで、ドキュメントに署名する秘密鍵が含まれている証明書を選択します。具体的には、このダイアログで、この証明書のディスクパス (PKCS#12 形式 (.pfx ファイル) でなければなりません) とファイルの秘密鍵を解凍するパスワードが求められます。
3. [ Sign ] をクリックします。情報が正確な場合は、ドキュメントに署名して、ドキュメントをサーバーにアップロードするためのボタンが有効になります。
イメージ:15560.jpg
サーバーでは、デジタル署名を検証して、送信時にドキュメントが変更されていないことを確認します。また、ドキュメントの署名に使用した証明書を検証して、失効していないことを確認します。さらに、証明書の信頼性をチェックして、信頼された認証機関から発行されていることを確認します。この検証に成功すると、ドキュメントは GXflow ドキュメントリポジトリに承認されます。

署名付きドキュメントのデータの表示

GXflow クライアントのドキュメントを表示するすべてのアプリケーション (マイドキュメント、付随するドキュメントなど) では、ドキュメントのグリッドに署名付きドキュメントの列が追加されます。
[ 電子署名 ] ( [ 他のアクション ] ボタンを参照) をクリックし、ドキュメントの署名に使用した署名と証明書の詳細を確認します。
イメージ:15561.jpg
イメージ:15562.jpg
イメージ:15563.jpg

ユーザー証明書の管理

ドキュメントの署名に使用した証明書はサーバーに保存され、ユーザーに関連付けられます。これらの証明書は、各ユーザーのデータ内にあるユーザーの ABM に表示されます。
証明書には秘密鍵は含まれていません。証明書の所有者の個人情報と公開鍵のみが含まれています。
既定では、ユーザーがドキュメントに署名すると、使用した証明書は信頼性が検証された後に自動的に追加されますが、ユーザー証明書グループには追加されません。
ユーザー証明書を手動で管理するには、 [ 設定 ] > [ 詳細 ] > [ ドキュメントマネージメント ] > [ ユーザー証明書の自動挿入 ] のサーバー設定を [ いいえ ] に設定する必要があります。
つまり、管理者ユーザーのみがアプリケーションのユーザーから証明書を追加または削除できるようにします (管理コンソールのユーザーの ABM ダイアログを使用)。ユーザーは、信頼された有効な証明書であるかどうかにかかわらず、自分のユーザーアカウントに関連付けられていない証明書を使ってドキュメントに署名することはできません。



サブページ
Created: 14/09/18 03:09 by Admin Last update: 24/03/25 23:57 by Admin
カテゴリ
Powered by GXwiki 3.0