JP2001077809A - Electronic certificate management device, method and recording medium - Google Patents
Electronic certificate management device, method and recording mediumInfo
- Publication number
- JP2001077809A JP2001077809A JP25201599A JP25201599A JP2001077809A JP 2001077809 A JP2001077809 A JP 2001077809A JP 25201599 A JP25201599 A JP 25201599A JP 25201599 A JP25201599 A JP 25201599A JP 2001077809 A JP2001077809 A JP 2001077809A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- client
- request
- management server
- electronic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、電子証明書を管理
する装置に関し、特に電子証明書の失効を安全かつ容易
に管理するための装置,方法および記録媒体に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an apparatus for managing an electronic certificate, and more particularly to an apparatus, a method, and a recording medium for safely and easily managing revocation of an electronic certificate.
【0002】[0002]
【従来の技術】従来の電子証明書管理装置の一例が、特
開平10−308733号公報に記載されている。この
従来の電子証明書管理装置は、ローカルネットワークお
よびインターネットを通じて相互接続される多数のクラ
イアントとサーバとから構成されている。2. Description of the Related Art An example of a conventional electronic certificate management device is described in Japanese Patent Application Laid-Open No. Hei 10-308733. This conventional electronic certificate management device is composed of a number of clients and servers interconnected via a local network and the Internet.
【0003】このような構成を有する従来の電子証明書
管理装置は、次のように動作する。A conventional electronic certificate management device having such a configuration operates as follows.
【0004】すなわち、証明権威の資格で活動する管理
者は、「管理者用識別名(DN)」を発行されることに
よって、リポジトリへのフルアクセスを許可され、新し
い証明書を付加することも、証明書取り消しリストを修
正することもできる。他の者に許可されるアクセスはこ
れより少なく、知られていない関係者に至っては、証明
書要求を提出するか、または公開証明書(および取り消
しリスト)をダウンロードすることのみしか許可されな
い。[0004] That is, an administrator who operates under the qualifications of the certification authority is given full access to the repository by issuing an "administrator distinguished name (DN)", and can add a new certificate. Also, the certificate revocation list can be modified. Others are granted less access, and unknown parties are only allowed to submit certificate requests or download public certificates (and revocation lists).
【0005】[0005]
【発明が解決しようとする課題】しかし、この従来技術
には、次のような問題点がある。However, this prior art has the following problems.
【0006】すなわち、電子証明書(以降、単に証明書
とも記す)が有効である(失効されていない)かどうか
を確認するためには、証明書失効リストを取得し、その
リストの中に確認したい証明書が含まれていないかどう
かを確認しなければならず有効性の検証が複雑である、
また、証明書失効リストの更新のタイミングは認証局に
よって異なっており必ずしもリアルタイムに失効証明書
が反映されずタイミングによっては失効済みの証明書が
証明書失効リストに記載されていない場合がある、とい
う問題がある。That is, in order to check whether an electronic certificate (hereinafter, also simply referred to as a certificate) is valid (not revoked), a certificate revocation list is acquired, and a check is made in the list. You need to make sure that the certificate you want is not included, and validity verification is complicated.
Also, the timing of updating the certificate revocation list differs depending on the certificate authority, and the revoked certificate is not always reflected in real time, and depending on the timing, the revoked certificate may not be listed in the certificate revocation list. There's a problem.
【0007】その理由は、証明書が失効されているかど
うかを確認する手段が、証明書失効リストの内容を確認
するという方法しかないためである。The reason is that the only means for checking whether a certificate has been revoked is to check the contents of a certificate revocation list.
【0008】本発明の目的は、電子証明書が失効されて
いるかどうかを簡単に検証できる手段を提供することに
ある。An object of the present invention is to provide means for easily verifying whether a digital certificate has been revoked.
【0009】[0009]
【課題を解決するための手段】本願第1の発明の電子証
明書管理装置は、電子証明書の発行および失効を証明書
管理サーバに要求し又リポジトリに対して電子証明書の
照会を行うクライアントと、前記クライアントからの要
求に基づき電子証明書の作成あるいは失効処理を行って
リポジトリに電子証明書の登録あるいは削除を行い前記
クライアントに通知する証明書管理サーバと、前記証明
書管理サーバが登録し失効していない電子証明書を保管
するリポジトリと、を備える。According to a first aspect of the present invention, there is provided a digital certificate management apparatus which requests a certificate management server to issue and revoke an electronic certificate, and inquires a repository of the digital certificate. A certificate management server that performs creation or revocation processing of an electronic certificate based on a request from the client, registers or deletes the electronic certificate in a repository, and notifies the client, and registers the certificate management server. A repository for storing digital certificates that have not been revoked.
【0010】本願第2の発明の電子証明書管理装置は、
電子証明書の発行および失効を証明書管理サーバに要求
し又リポジトリに対して電子証明書の照会を行うクライ
アントと、前記クライアントからの要求を受け取って認
証局に送信し前記認証局から処理結果を受信してリポジ
トリに電子証明書の登録あるいは削除を行い前記クライ
アントに通知する証明書管理サーバと、前記証明書管理
サーバから送信された前記クライアントからの要求に基
づき電子証明書の作成あるいは失効処理を行い前記証明
書管理サーバに処理結果を送信する認証局と、前記証明
書管理サーバが登録し失効していない電子証明書を保管
するリポジトリと、を備える。[0010] The electronic certificate management device of the second invention of the present application is:
A client for requesting issuance and revocation of an electronic certificate to a certificate management server and for inquiring of a repository for an electronic certificate; receiving a request from the client; transmitting the request to a certificate authority; and transmitting a processing result from the certificate authority. A certificate management server that receives and registers or deletes an electronic certificate in the repository and notifies the client, and creates or revokes an electronic certificate based on a request from the client transmitted from the certificate management server. A certificate authority that sends a processing result to the certificate management server; and a repository that stores an electronic certificate registered and not revoked by the certificate management server.
【0011】本願第3の発明の電子証明書管理装置は、
第2の発明において前記証明書管理サーバは、前記クラ
イアントからの電子証明書要求メッセージ,電子証明書
失効要求メッセージ,前記認証局からの応答メッセー
ジ,接続可能な認証局との接続情報および接続可能なリ
ポジトリとの接続情報を記憶することを特徴とする。[0011] The electronic certificate management device of the third invention of the present application comprises:
In the second invention, the certificate management server includes an electronic certificate request message from the client, an electronic certificate revocation request message, a response message from the certificate authority, connection information with a connectable certificate authority, and a connectable certificate authority. It is characterized by storing connection information with a repository.
【0012】本願第4の発明の電子証明書管理装置は、
第1または第2の発明において前記リポジトリへの電子
証明書の登録および削除は、前記証明書管理サーバ以外
では行えないようにアクセス制御されることを特徴とす
る。An electronic certificate management device according to a fourth invention of the present application is:
In the first or second invention, it is characterized in that access control is performed so that registration and deletion of an electronic certificate from / to the repository cannot be performed except by the certificate management server.
【0013】本願第5の発明の電子証明書管理装置は、
第2の発明において前記認証局は、発行する電子証明書
の種別により複数存在することを特徴とする。[0013] The electronic certificate management device of the fifth invention of the present application comprises:
A second invention is characterized in that there are a plurality of certificate authorities depending on the type of electronic certificate to be issued.
【0014】本願第6の発明の電子証明書管理装置は、
第2の発明において前記リポジトリは、保管する電子証
明書の種別により複数存在することを特徴とする。An electronic certificate management device according to a sixth aspect of the present invention comprises:
A second invention is characterized in that a plurality of the repositories exist according to the type of the electronic certificate to be stored.
【0015】本願第7の発明の電子証明書管理方法は、
クライアントが証明書管理サーバに対して電子証明書の
要求または失効要求を行い、前記クライアントからの要
求が電子証明書の要求であれば電子証明書を作成しリポ
ジトリに登録して前記クライアントに通知し、前記クラ
イアントからの要求が電子証明書の失効要求であればリ
ポジトリから電子証明書を削除して前記クライアントに
通知し、前記クライアントは電子証明書を入手したとき
に前記リポジトリに電子証明書の照会を行うことを特徴
とする。According to a seventh aspect of the present invention, there is provided a digital certificate management method comprising:
The client makes a request for a digital certificate or a revocation request to the certificate management server, and if the request from the client is a request for a digital certificate, creates a digital certificate, registers it in the repository, and notifies the client. If the request from the client is a request for revoking a digital certificate, the client deletes the digital certificate from the repository and notifies the client, and when the client obtains the digital certificate, the client queries the repository for the digital certificate. Is performed.
【0016】本願第8の発明の電子証明書管理方法は、
クライアントが証明書管理サーバに対して電子証明書の
要求または失効要求を行い、前記証明書管理サーバは前
記クライアントからの要求を認証局に送信し、前記認証
局は前記証明書管理サーバから送信された前記クライア
ントからの要求が電子証明書の要求であれば電子証明書
を作成して前記証明書管理サーバに処理結果を送信し、
前記認証局は前記証明書管理サーバから送信された前記
クライアントからの要求が電子証明書の失効要求であれ
ば電子証明書の失効処理を行って前記証明書管理サーバ
に処理結果を送信し、前記証明書管理サーバは前記認証
局から処理結果を受信し前記クライアントからの要求が
電子証明書の要求であればリポジトリに電子証明書を登
録して前記クライアントに通知し、前記証明書管理サー
バは前記認証局から処理結果を受信し前記クライアント
からの要求が電子証明書の失効要求であればリポジトリ
から電子証明書を削除して前記クライアントに通知し、
前記クライアントは電子証明書を入手したときに前記リ
ポジトリに電子証明書の照会を行うことを特徴とする。According to an eighth aspect of the present invention, there is provided a digital certificate management method comprising:
A client makes a request for a digital certificate or a revocation request to a certificate management server, the certificate management server sends a request from the client to a certificate authority, and the certificate authority is sent from the certificate management server. If the request from the client is a request for an electronic certificate, an electronic certificate is created and a processing result is sent to the certificate management server,
If the request from the client transmitted from the certificate management server is an electronic certificate revocation request, the certificate authority performs an electronic certificate revocation process and transmits a processing result to the certificate management server, The certificate management server receives the processing result from the certificate authority, and if the request from the client is a request for an electronic certificate, registers the electronic certificate in a repository and notifies the client of the request, and the certificate management server If a processing result is received from a certificate authority and the request from the client is a request for revocation of an electronic certificate, the electronic certificate is deleted from the repository and notified to the client,
The client may refer to the repository for the electronic certificate when the client obtains the electronic certificate.
【0017】本願第9の発明の記録媒体は、クライアン
トが証明書管理サーバに対して電子証明書の要求または
失効要求を行う要求処理と、前記クライアントからの要
求が電子証明書の要求であれば電子証明書を作成しリポ
ジトリに登録して前記クライアントに通知する証明書登
録処理と、前記クライアントからの要求が電子証明書の
失効要求であればリポジトリから電子証明書を削除して
前記クライアントに通知する証明書削除処理と、前記ク
ライアントが電子証明書を入手したときに前記リポジト
リに電子証明書の照会を行う照会処理と、をコンピュー
タに実行させるためのプログラムを記録したことを特徴
とする。According to a ninth aspect of the present invention, there is provided a recording medium in which a client performs a request process for requesting or revoking an electronic certificate from a certificate management server, and if the request from the client is a request for an electronic certificate. A certificate registration process of creating an electronic certificate, registering it in a repository, and notifying the client, and, if the request from the client is a request for revocation of an electronic certificate, deleting the electronic certificate from the repository and notifying the client A program for causing a computer to execute a certificate deletion process to be executed and an inquiry process for inquiring the repository for the electronic certificate when the client obtains the electronic certificate.
【0018】本願第10の発明の記録媒体は、クライア
ントが証明書管理サーバに対して電子証明書の要求また
は失効要求を行う要求処理と、前記証明書管理サーバは
前記クライアントからの要求を認証局に送信する転送処
理と、前記認証局は前記証明書管理サーバから送信され
た前記クライアントからの要求が電子証明書の要求であ
れば電子証明書を作成して前記証明書管理サーバに処理
結果を送信する電子証明書作成処理と、前記認証局は前
記証明書管理サーバから送信された前記クライアントか
らの要求が電子証明書の失効要求であれば電子証明書の
失効処理を行って前記証明書管理サーバに処理結果を送
信する電子証明書失効処理と、前記証明書管理サーバは
前記認証局から処理結果を受信し前記クライアントから
の要求が電子証明書の要求であればリポジトリに電子証
明書を登録して前記クライアントに通知する電子証明書
登録処理と、前記証明書管理サーバは前記認証局から処
理結果を受信し前記クライアントからの要求が電子証明
書の失効要求であればリポジトリから電子証明書を削除
して前記クライアントに通知する電子証明書削除処理
と、前記クライアントが電子証明書を入手したときに前
記リポジトリに電子証明書の照会を行う照会処理と、を
コンピュータに実行させるためのプログラムを記録した
ことを特徴とする。According to a tenth aspect of the present invention, there is provided a recording medium, wherein a client performs a request process for requesting or revoking an electronic certificate to a certificate management server, and the certificate management server transmits a request from the client to a certificate authority. And the certification authority creates an electronic certificate if the request from the client transmitted from the certificate management server is a request for an electronic certificate, and sends the processing result to the certificate management server. The digital certificate creating process to be transmitted, and the certificate authority performs the digital certificate revocation process if the request from the client transmitted from the certificate management server is a revocation request of the digital certificate, and performs the certificate management. A digital certificate revocation processing for transmitting a processing result to a server; and the certificate management server receives a processing result from the certificate authority, and a request from the client is a digital certificate. If the request is a digital certificate registration process for registering an electronic certificate in the repository and notifying the client, the certificate management server receives a processing result from the certificate authority, and the request from the client is an electronic certificate. A digital certificate deletion process for notifying the client by deleting the digital certificate from the repository if the request is a revocation request; and a query process for querying the repository for the digital certificate when the client obtains the digital certificate. And a program for causing a computer to execute the above.
【0019】[0019]
【発明の実施の形態】本発明の第1の実施の形態につい
て、図面を参照して説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A first embodiment of the present invention will be described with reference to the drawings.
【0020】図1は、第1の実施の形態の構成を示す図
である。FIG. 1 is a diagram showing the configuration of the first embodiment.
【0021】図1を参照すると、本発明の電子証明書管
理装置は、証明書管理サーバ100と、リポジトリ11
0と、クライアント120、ネットワーク130とから
構成されている。Referring to FIG. 1, an electronic certificate management device according to the present invention comprises a certificate management server 100, a repository 11
0, a client 120, and a network 130.
【0022】証明書管理サーバ100は、制御装置10
1と、通信装置102と、記憶装置103と、認証局1
04と、記録媒体105とを含む。The certificate management server 100 includes the control device 10
1, the communication device 102, the storage device 103, and the certificate authority 1
04 and the recording medium 105.
【0023】制御装置101は、証明書管理サーバ10
0内のプログラム制御を行う。認証局104から受け取
った処理結果を基に、通信装置102を通してリポジト
リ110に接続して電子証明書の登録または削除を行
う。また、証明書作成通知や証明書失効通知を作成し、
通信装置102を通してクライアント120に送信す
る。The control device 101 includes a certificate management server 10
Program control within 0 is performed. Based on the processing result received from the certificate authority 104, the digital certificate is registered or deleted by connecting to the repository 110 through the communication device 102. In addition, create a certificate creation notification and certificate revocation notification,
The data is transmitted to the client 120 through the communication device 102.
【0024】通信装置102は、ネットワーク130を
介してリポジトリ110およびクライアント120に接
続する。通信装置102は、クライアント120からの
証明書要求メッセージまたは証明書失効要求メッセージ
を受信して認証局104に渡す。また、証明書要求メッ
セージや証明書失効要求メッセージなどを記憶装置10
3に記憶する。The communication device 102 connects to the repository 110 and the client 120 via the network 130. The communication device 102 receives the certificate request message or the certificate revocation request message from the client 120 and passes it to the certificate authority 104. Also, a certificate request message, a certificate revocation request message, and the like are stored in the storage device 10.
3 is stored.
【0025】記憶装置103は、証明書要求メッセージ
や証明書失効要求メッセージなどを記憶する。The storage device 103 stores a certificate request message, a certificate revocation request message, and the like.
【0026】認証局104は、通信装置102が受信し
たクライアント120からの証明書要求メッセージを受
け取ると電子証明書を作成し、また通信装置102が受
信したクライアント120からの証明書失効要求メッセ
ージを受け取ると証明書失効処理を行い、処理結果を制
御装置101に返す。Upon receiving the certificate request message from the client 120 received by the communication apparatus 102, the certificate authority 104 creates an electronic certificate, and receives the certificate revocation request message from the client 120 received by the communication apparatus 102. And a certificate revocation process, and returns a processing result to the control device 101.
【0027】記録媒体105は、証明書管理サーバ10
0のプログラムを記録する。The recording medium 105 stores the certificate management server 10
Record the 0 program.
【0028】リポジトリ110は、制御装置111と、
通信装置112と、記憶装置113とを含む。The repository 110 includes a control device 111,
It includes a communication device 112 and a storage device 113.
【0029】制御装置111は、リポジトリ110の制
御を行う。証明書管理サーバ100から電子証明書の登
録要求があったときには電子証明書を記憶装置113に
登録し、証明書管理サーバ100から電子証明書の削除
要求があったときには電子証明書を記憶装置113から
削除する。また、クライアント120から電子証明書の
照会要求があったときには記憶装置113を検索して処
理結果を通信装置112を経由してクライアント120
に返す。なお、電子証明書の登録および削除は、証明書
管理サーバ100から要求されたときのみ行うようにア
クセス制御する。The control device 111 controls the repository 110. When there is a request for registration of an electronic certificate from the certificate management server 100, the electronic certificate is registered in the storage device 113. When there is a request for deletion of the electronic certificate from the certificate management server 100, the electronic certificate is stored in the storage device 113. Remove from. When the client 120 makes an inquiry request for an electronic certificate, the storage device 113 is searched and the processing result is transmitted to the client 120 via the communication device 112.
To return. Note that access control is performed such that registration and deletion of an electronic certificate are performed only when requested by the certificate management server 100.
【0030】通信装置112は、ネットワーク130を
介して証明書管理サーバ100およびクライアント12
0に接続する。通信装置112は、クライアント120
からの電子証明書の照会要求および証明書管理サーバ1
00からの電子証明書の登録または削除要求を受信して
制御装置111に渡す。The communication device 112 is connected to the certificate management server 100 and the client 12 via the network 130.
Connect to 0. The communication device 112 is a client 120
Request for digital certificate from the server and certificate management server 1
A request for registration or deletion of an electronic certificate from 00 is received and passed to the control device 111.
【0031】記憶装置113は、証明書管理サーバ10
0が登録し削除していない電子証明書を保管する。すな
わち、失効されていない電子証明書のみを保管する。The storage device 113 stores the certificate management server 10
0 stores the digital certificate that has been registered and not deleted. That is, only the electronic certificate that has not been revoked is stored.
【0032】クライアント120は、制御装置121
と、通信装置122と、記憶装置123とを含む。The client 120 includes a control device 121
, A communication device 122, and a storage device 123.
【0033】制御装置121は、クライアント120の
制御を行う。証明書要求メッセージまたは証明書失効要
求メッセージを通信装置122を経由して証明書管理サ
ーバ100に送信する。また、証明書管理サーバ100
の処理結果を通信装置122を経由して受信し、記憶装
置123に記憶する。The control device 121 controls the client 120. A certificate request message or a certificate revocation request message is transmitted to the certificate management server 100 via the communication device 122. Also, the certificate management server 100
Is received via the communication device 122 and stored in the storage device 123.
【0034】通信装置122は、ネットワーク130を
介して証明書管理サーバ100およびリポジトリ110
に接続する。The communication device 122 is connected to the certificate management server 100 and the repository 110 via the network 130.
Connect to
【0035】記憶装置123は、証明書管理サーバ10
0が発行した電子証明書等を記憶する。The storage device 123 stores the certificate management server 10
0 stores an electronic certificate issued.
【0036】本発明の第1の実施の形態の動作につい
て、図1〜図4を参照して詳細に説明する。The operation of the first embodiment of the present invention will be described in detail with reference to FIGS.
【0037】図2はクライアントが証明書管理サーバに
対して証明書要求を行う場合の動作の流れを示す図、図
3はクライアントが証明書管理サーバに対して証明書失
効要求を行う場合の動作の流れを示す図、図4はクライ
アントがリポジトリに電子証明書を照会する場合の動作
の流れを示す図、である。FIG. 2 is a diagram showing a flow of an operation when the client makes a certificate request to the certificate management server, and FIG. 3 shows an operation when the client makes a certificate revocation request to the certificate management server. FIG. 4 is a diagram showing a flow of operation when a client inquires a repository for an electronic certificate.
【0038】先ず、図1および図2を参照して、クライ
アント120が証明書管理サーバ100に対して証明書
要求を行う場合の動作を説明する。First, an operation when the client 120 makes a certificate request to the certificate management server 100 will be described with reference to FIGS.
【0039】クライアント120が証明書要求メッセー
ジを作成し、ネットワーク130を通して証明書管理サ
ーバ100の通信装置102に送信する(図2のステッ
プA1)。The client 120 creates a certificate request message and sends it to the communication device 102 of the certificate management server 100 via the network 130 (step A1 in FIG. 2).
【0040】通信装置102は受信したクライアント1
20からの証明書要求メッセージを認証局104に渡
し、認証局104はクライアント120の証明書要求メ
ッセージの内容に応じた電子証明書を作成し、処理結果
を制御装置101に渡す(ステップA2)。The communication device 102 receives the client 1
The certificate request message from the client 20 is passed to the certificate authority 104, and the certificate authority 104 creates an electronic certificate according to the content of the certificate request message of the client 120, and passes the processing result to the control device 101 (step A2).
【0041】制御装置101は、通信装置102を通し
てリポジトリ110に接続し、ステップA2で作成した
電子証明書を記憶装置113に登録する(ステップA
3)。The control device 101 connects to the repository 110 through the communication device 102, and registers the digital certificate created in step A2 in the storage device 113 (step A).
3).
【0042】制御装置101は、証明書発行通知を作成
し、通信装置102を通してクライアント120に送信
する(ステップA4)。The control device 101 creates a certificate issuance notification and sends it to the client 120 through the communication device 102 (step A4).
【0043】次に、図1および図3を参照して、クライ
アント120が証明書管理サーバ100に対して証明書
失効要求を行う場合の動作を説明する。Next, with reference to FIGS. 1 and 3, the operation when the client 120 makes a certificate revocation request to the certificate management server 100 will be described.
【0044】クライアント120は図2のステップA4
で取得した電子証明書に対する失効要求メッセージを作
成し、通信装置122を通して証明書管理サーバ100
の通信装置102に送信する(図3のステップB1)。The client 120 executes step A4 in FIG.
Creates a revocation request message for the electronic certificate obtained in
(Step B1 in FIG. 3).
【0045】通信装置102は受信したクライアント1
20からの証明書失効要求メッセージを認証局104に
渡し、認証局104は証明書失効要求メッセージを解析
してクライアント120の電子証明書に対する失効処理
を行い、処理結果を制御装置101に渡す(ステップB
2)。The communication device 102 receives the client 1
The certificate revocation request message from the client 20 is passed to the certificate authority 104, the certificate authority 104 analyzes the certificate revocation request message, performs revocation processing on the digital certificate of the client 120, and passes the processing result to the control device 101 (step S1). B
2).
【0046】制御装置101は、通信装置102を通し
てリポジトリ110に接続し、記憶装置113に記録さ
れているクライアント120の証明書失効要求メッセー
ジに対応する電子証明書を検索する(ステップB3)。The control device 101 connects to the repository 110 through the communication device 102 and searches for an electronic certificate corresponding to the client 120 certificate revocation request message recorded in the storage device 113 (step B3).
【0047】制御装置101は、通信装置102を通し
てステップB3で検索した電子証明書を削除する(ステ
ップB4)。The control device 101 deletes the electronic certificate retrieved in step B3 through the communication device 102 (step B4).
【0048】制御装置101は、証明書失効通知を作成
し(ステップB5)、通信装置102を通してクライア
ント120に送信する(ステップB6)。The control device 101 creates a certificate revocation notice (step B5) and sends it to the client 120 through the communication device 102 (step B6).
【0049】最後に、図1および図4を参照して、クラ
イアント120がリポジトリ110に電子証明書を照会
する場合の動作を説明する。Finally, the operation when the client 120 inquires the repository 110 of the digital certificate will be described with reference to FIGS.
【0050】クライアント120は、証明書管理サーバ
100が発行した電子証明書を入手する(図4のステッ
プC1)。The client 120 obtains the electronic certificate issued by the certificate management server 100 (Step C1 in FIG. 4).
【0051】クライアント120は、ステップC1で入
手した電子証明書が既に失効されていないかどうかを確
認するために、通信装置122を通してリポジトリ11
0に接続する(ステップC2)。The client 120 checks whether the digital certificate obtained in step C1 has already been revoked, through the communication device 122 to check whether the digital certificate has been revoked.
0 (step C2).
【0052】クライアント120は、リポジトリ110
の記憶装置113の中にステップC1で入手した電子証
明書が保管されているかどうか検索する(ステップC
3)。The client 120 is connected to the repository 110
Of the electronic certificate obtained in step C1 is stored in the storage device 113 (step C).
3).
【0053】電子証明書がリポジトリ110の記憶装置
113に存在していれば、その電子証明書は失効されて
おらず(ステップC5)、存在していなければその電子
証明書は失効されていると判断する(ステップC6)。If the digital certificate exists in the storage device 113 of the repository 110, the digital certificate has not been revoked (step C5), and if not, the digital certificate has been revoked. A judgment is made (step C6).
【0054】なお、図4では、接続先のリポジトリ11
0が判っているものとして、クライアント120が直接
リポジトリ110に接続して電子証明書を検索する処理
を説明した。接続先のリポジトリ110が判らないとき
には、クライアント120が証明書管理サーバ100に
電子証明書の照会を行うことにより、証明書管理サーバ
100がクライアント120からの要求に基づきリポジ
トリ110を検索して、電子証明書が保管されているか
どうかの検索結果をクライアント120に返すこともで
きる。In FIG. 4, the connection destination repository 11
As described above, the process in which the client 120 directly connects to the repository 110 and searches for an electronic certificate has been described. When the connection destination repository 110 is unknown, the client 120 makes an inquiry to the certificate management server 100 for an electronic certificate, and the certificate management server 100 searches the repository 110 based on a request from the client 120, and A search result as to whether or not the certificate is stored can be returned to the client 120.
【0055】更に、図4および図5を用いて、より具体
的に説明する。Further, a more specific description will be given with reference to FIGS.
【0056】図5は、第1の実施の形態の動作を説明す
る図である。FIG. 5 is a diagram for explaining the operation of the first embodiment.
【0057】図5に示すように、例えば証明書管理サー
バ200から電子証明書221を取得しているクライア
ント220が、メッセージ241にクライアント220
の電子証明書221を使用して電子署名242を行い、
電子証明書221と共にクライアント230に送信す
る。すなわち、公開鍵方式による秘密鍵を用いてメッセ
ージ241を暗号化して、電子証明書221と共にクラ
イアント230に送信する。なお、電子証明書221に
はクライアント220の属性や公開鍵が証明されている
ものとする(図4のステップC1)。As shown in FIG. 5, for example, the client 220 acquiring the electronic certificate 221 from the certificate management server 200 sends the message 220
Electronic signature 242 using the electronic certificate 221 of
This is transmitted to the client 230 together with the electronic certificate 221. That is, the message 241 is encrypted using the secret key according to the public key method, and transmitted to the client 230 together with the electronic certificate 221. It is assumed that the attribute and the public key of the client 220 are certified in the electronic certificate 221 (step C1 in FIG. 4).
【0058】クライアント230は、クライアント22
0から受け取った電子文書240が不正なものでないか
どうかを検証するため、電子署名242に使用されてい
る電子証明書221が失効されたものでないかどうかを
検証するために、リポジトリ210に接続する(ステッ
プC2)。The client 230 is connected to the client 22
In order to verify whether or not the electronic document 240 received from the electronic document 240 is invalid, a connection is made to the repository 210 to verify that the electronic certificate 221 used for the electronic signature 242 is not revoked. (Step C2).
【0059】クライアント230は、リポジトリ210
内にクライアント220の電子証明書221が保管され
ているかどうか検索する(ステップC3)。[0059] The client 230 is connected to the repository 210.
A search is made as to whether the electronic certificate 221 of the client 220 is stored in the server (step C3).
【0060】リポジトリ210内にクライアント220
の電子証明書221が存在していれば、クライアント2
30はクライアント220の電子証明書221が失効さ
れていないものと判断することができるし、クライアン
ト220の電子署名242の検証を正しく行うことがで
きれば、メッセージ241の内容を信頼することができ
る。すなわち、クライアント230は電子証明書221
上の公開鍵を用いて電子署名242を復号化してメッセ
ージ241の内容を確認する(ステップC5)。The client 220 in the repository 210
If the digital certificate 221 exists, the client 2
30 can determine that the digital certificate 221 of the client 220 has not been revoked, and if the digital signature 242 of the client 220 can be correctly verified, the contents of the message 241 can be trusted. That is, the client 230 sends the digital certificate 221
The digital signature 242 is decrypted using the above public key, and the content of the message 241 is confirmed (step C5).
【0061】クライアント220の電子証明書221が
リポジトリ210内に存在していなければ、電子証明書
221はなんらかの原因ですでに失効されたものと判断
し、クライアント230はメッセージ241を信頼する
ことはできない(ステップC6)。If the digital certificate 221 of the client 220 does not exist in the repository 210, it is determined that the digital certificate 221 has been revoked for some reason, and the client 230 cannot trust the message 241. (Step C6).
【0062】次に、本発明の第2の実施の形態につい
て、図面を参照して詳細に説明する。Next, a second embodiment of the present invention will be described in detail with reference to the drawings.
【0063】図6は、第2の実施の形態の構成を示す図
である。FIG. 6 is a diagram showing the configuration of the second embodiment.
【0064】図6を参照すると、本発明の電子証明書管
理装置は、証明書管理サーバ300と、認証局310
と、リポジトリ320と、クライアント330と、ネッ
トワーク340とから構成されている。第2の実施の形
態は、証明書管理サーバ300と認証局310とがネッ
トワーク340を介して接続されているという点で、第
1の実施の形態における構成と異なっている。Referring to FIG. 6, the electronic certificate management device of the present invention comprises a certificate management server 300, a certificate authority 310
, A repository 320, a client 330, and a network 340. The second embodiment differs from the first embodiment in that the certificate management server 300 and the certificate authority 310 are connected via a network 340.
【0065】証明書管理サーバ300は、制御装置30
1と、通信装置302と、記憶装置303と、記録媒体
304とを含む。The certificate management server 300 controls the control device 30
1, a communication device 302, a storage device 303, and a recording medium 304.
【0066】制御装置301は、証明書管理サーバ30
0内のプログラム制御を行う。ネットワーク340を介
して認証局310から受信した処理結果を基に、通信装
置302を通してネットワーク340を介してリポジト
リ320に接続して電子証明書の登録または削除を行
う。リポジトリが複数存在する場合には、記憶装置30
3に記憶している接続可能なリポジトリとの接続情報を
参照して、接続するリポジトリ320を決定する。ま
た、証明書作成通知または証明書失効通知を作成し、通
信装置302を通してネットワーク340を介してクラ
イアント330に送信する。The control device 301 is provided with the certificate management server 30
Program control within 0 is performed. Based on the processing result received from the certificate authority 310 via the network 340, the communication device 302 connects to the repository 320 via the network 340 to register or delete an electronic certificate. If there are a plurality of repositories, the storage device 30
The repository 320 to be connected is determined with reference to the connection information with the connectable repository stored in the storage device 3. In addition, a certificate creation notification or a certificate revocation notification is created and transmitted to the client 330 via the communication device 302 and the network 340.
【0067】通信装置302は、ネットワーク340を
介してクライアント330と認証局310とリポジトリ
320に接続する。クライアント330からの証明書要
求メッセージまたは証明書失効要求メッセージを受信
し、ネットワーク340を介して認証局310に送信す
る。認証局が複数存在する場合には、記憶装置303に
記憶している接続可能な認証局との接続情報を参照し
て、接続先の認証局310を決定する。さらに、証明書
要求メッセージや証明書失効要求メッセージなどを記憶
装置303に記憶する。The communication device 302 connects to the client 330, the certificate authority 310, and the repository 320 via the network 340. A certificate request message or a certificate revocation request message from the client 330 is received and transmitted to the certificate authority 310 via the network 340. When there are a plurality of certificate authorities, a connection destination certificate authority 310 is determined with reference to the connection information with a connectable certificate authority stored in the storage device 303. Further, a certificate request message, a certificate revocation request message, and the like are stored in the storage device 303.
【0068】記憶装置303は、クライアント330か
らの証明書要求メッセージ,証明書失効要求メッセー
ジ、認証局310からの応答メッセージ、接続可能な認
証局との接続情報および接続可能なリポジトリとの接続
情報を記憶する。The storage device 303 stores a certificate request message from the client 330, a certificate revocation request message, a response message from the certificate authority 310, connection information with a connectable certificate authority, and connection information with a connectable repository. Remember.
【0069】記録媒体304は、証明書管理サーバ30
0のプログラムを記録する。The recording medium 304 stores the certificate management server 30
Record the 0 program.
【0070】認証局310は、ネットワーク340を介
して、証明書管理サーバ300から証明書要求メッセー
ジを受信すると電子証明書を作成し、証明書管理サーバ
300から証明書失効要求メッセージを受信すると証明
書失効処理を行い、処理結果を証明書管理サーバ300
に送信する。なお、認証局310は複数存在することが
可能である。この場合、証明書管理サーバ300はクラ
イアント330からのメッセージに基づき記憶装置30
3に記憶している接続可能な認証局との接続情報を参照
して、通信する認証局310を決定する。The certificate authority 310 creates an electronic certificate upon receiving a certificate request message from the certificate management server 300 via the network 340, and generates a certificate upon receiving a certificate revocation request message from the certificate management server 300. The revocation processing is performed, and the processing result is sent to the certificate management server 300.
Send to Note that a plurality of certificate authorities 310 can exist. In this case, the certificate management server 300 sends the certificate to the storage device 30 based on the message from the client 330.
The authentication authority 310 to communicate with is determined with reference to the connection information with the connectable authentication authority stored in the storage device 3.
【0071】リポジトリ320は、制御装置321と、
通信装置322と、記憶装置323とを含む。なお、リ
ポジトリ320は複数存在することが可能である。この
場合、証明書管理サーバ300は記憶装置303に記憶
している接続可能なリポジトリとの接続情報を参照し
て、接続するリポジトリ320を決定する。The repository 320 includes a control device 321 and
It includes a communication device 322 and a storage device 323. Note that a plurality of repositories 320 can exist. In this case, the certificate management server 300 determines the repository 320 to be connected with reference to the connection information with the connectable repository stored in the storage device 303.
【0072】制御装置321は、リポジトリ320の制
御を行う。証明書管理サーバ300から電子証明書の登
録要求があったときには電子証明書を記憶装置323に
登録し、証明書管理サーバ300から電子証明書の削除
要求があったときには電子証明書を記憶装置323から
削除する。また、クライアント330から電子証明書の
照会要求があったときには記憶装置323を検索して処
理結果を通信装置322を経由してクライアント330
に返す。なお、電子証明書の登録および削除は、証明書
管理サーバ300から要求されたときのみ行うようにア
クセス制御する。The control device 321 controls the repository 320. When there is a request for registration of an electronic certificate from the certificate management server 300, the electronic certificate is registered in the storage device 323, and when there is a request for deletion of the electronic certificate from the certificate management server 300, the electronic certificate is stored in the storage device 323. Remove from. When the client 330 makes an inquiry request for an electronic certificate, the storage device 323 is searched and the processing result is transmitted to the client 330 via the communication device 322.
To return. Note that access control is performed such that registration and deletion of an electronic certificate are performed only when requested by the certificate management server 300.
【0073】通信装置322は、ネットワーク340を
介して証明書管理サーバ300およびクライアント33
0に接続する。通信装置322は、クライアント330
からの電子証明書の照会要求および証明書管理サーバ3
00からの電子証明書の登録または削除要求を受信して
制御装置321に渡す。The communication device 322 is connected to the certificate management server 300 and the client 33 via the network 340.
Connect to 0. The communication device 322 is a client 330
Request for digital certificate from the server and certificate management server 3
A request for registration or deletion of an electronic certificate from 00 is received and passed to the control device 321.
【0074】記憶装置323は、証明書管理サーバ30
0が登録し削除していない電子証明書を保管する。すな
わち、失効されていない電子証明書のみを保管する。The storage device 323 stores the certificate management server 30
0 stores the digital certificate that has been registered and not deleted. That is, only the electronic certificate that has not been revoked is stored.
【0075】クライアント330は、制御装置331
と、通信装置332と、記憶装置333とを含む。The client 330 is connected to the control device 331
, A communication device 332, and a storage device 333.
【0076】制御装置331は、クライアント330の
制御を行う。証明書要求メッセージまたは証明書失効要
求メッセージを通信装置332を通して証明書管理サー
バ300に送信する。また、証明書管理サーバ300か
ら証明書作成通知または証明書失効通知を通信装置33
2を通して受信し、記憶装置333に記憶する。The control device 331 controls the client 330. A certificate request message or a certificate revocation request message is transmitted to the certificate management server 300 via the communication device 332. In addition, a certificate creation notification or a certificate revocation notification is sent from the certificate management server 300 to the communication device 33.
2 and stored in the storage device 333.
【0077】通信装置332は、ネットワーク340を
介して、証明書管理サーバ300およびリポジトリ32
0に接続する。The communication device 332 is connected to the certificate management server 300 and the repository 32 via the network 340.
Connect to 0.
【0078】記憶装置333は、認証局310が発行し
た電子証明書等を記憶する。The storage device 333 stores an electronic certificate issued by the certificate authority 310 and the like.
【0079】本発明の第2の実施の形態の動作につい
て、図6〜図8を参照して詳細に説明する。The operation of the second embodiment of the present invention will be described in detail with reference to FIGS.
【0080】図7はクライアントが証明書管理サーバに
対して証明書要求を行う場合の動作の流れを示す図、図
8はクライアントが証明書管理サーバに対して証明書失
効要求を行う場合の動作の流れを示す図、である。FIG. 7 is a diagram showing an operation flow when the client makes a certificate request to the certificate management server, and FIG. 8 is an operation when the client makes a certificate revocation request to the certificate management server. FIG.
【0081】先ず、図6および図7を参照して、クライ
アント330が証明書管理サーバ300に対して証明書
要求を行う動作を説明する。First, the operation of the client 330 requesting a certificate from the certificate management server 300 will be described with reference to FIGS.
【0082】クライアント330が証明書要求メッセー
ジを作成し、ネットワーク340を通して証明書管理サ
ーバ300に送信する(図7のステップD1)。The client 330 creates a certificate request message and sends it to the certificate management server 300 via the network 340 (step D1 in FIG. 7).
【0083】証明書管理サーバ300はクライアント3
30の証明書要求メッセージを受け取った後、接続先の
認証局310を識別し、それぞれの認証局310のプロ
トコルに対応した証明書要求メッセージを作成し(ステ
ップD2)、ネットワーク340を通して認証局310
に送信する(ステップD3)。The certificate management server 300 is the client 3
After receiving the certificate request message of the certificate authority 30, the certificate authority 310 of the connection destination is identified, a certificate request message corresponding to the protocol of each certificate authority 310 is created (step D2), and the certificate authority 310 is transmitted through the network 340.
(Step D3).
【0084】認証局310は、証明書要求メッセージに
対応した電子証明書を作成すると、ネットワーク340
を通して証明書管理サーバ300に送信する(ステップ
D4)。When the certificate authority 310 creates an electronic certificate corresponding to the certificate request message, the certificate authority 310
Is transmitted to the certificate management server 300 through (step D4).
【0085】証明書管理サーバ300は、通信装置30
2を通してリポジトリ320に接続し、ステップD4で
作成した電子証明書を記憶装置323に登録する(ステ
ップD5)。The certificate management server 300 includes the communication device 30
Then, the digital certificate is connected to the repository 320 through Step 2 and the electronic certificate created in Step D4 is registered in the storage device 323 (Step D5).
【0086】証明書管理サーバ300は、証明書発行通
知を作成し、ネットワーク340を通してクライアント
330に送信する(ステップD6)。The certificate management server 300 creates a certificate issuance notification and sends it to the client 330 via the network 340 (step D6).
【0087】次に、図6および図8を参照して、クライ
アント330が証明書管理サーバ300に対して証明書
失効を行う動作を説明する。Next, the operation of the client 330 revoking a certificate from the certificate management server 300 will be described with reference to FIGS.
【0088】クライアント330は図7のステップD6
で取得した電子証明書に対する失効要求メッセージを作
成し、通信装置332を通して証明書管理サーバ300
に送信する(図8のステップE1)。The client 330 determines in step D6 of FIG.
Creates a revocation request message for the digital certificate obtained in
(Step E1 in FIG. 8).
【0089】証明書管理サーバ300はクライアント3
30の証明書失効要求メッセージを受け取った後、接続
先の認証局310を識別し、それぞれの認証局310の
プロトコルに対応した証明書失効要求メッセージを作成
し(ステップE2)、ネットワーク340を通して認証
局310に送信する(ステップE3)。The certificate management server 300 is the client 3
After receiving the certificate revocation request message of No. 30, the certificate authority 310 of the connection destination is identified, a certificate revocation request message corresponding to the protocol of each certificate authority 310 is created (step E2), and the certificate authority is transmitted through the network 340. The data is transmitted to 310 (step E3).
【0090】認証局310から証明書失効処理結果を受
信する(ステップE4)。The certificate revocation processing result is received from the certificate authority 310 (step E4).
【0091】証明書管理サーバ300は、通信装置30
2を通してリポジトリ320に接続し、記憶装置323
に記録されているクライアント330の証明書失効要求
メッセージに対応する電子証明書を検索する(ステップ
E5)。The certificate management server 300 includes the communication device 30
2 to the repository 320 and the storage device 323
Search for an electronic certificate corresponding to the certificate revocation request message of the client 330 recorded in the server (step E5).
【0092】証明書管理サーバ300は、通信装置30
2を通してステップE5で検索した電子証明書を削除す
る(ステップE6)。[0092] The certificate management server 300
2 to delete the electronic certificate retrieved in step E5 (step E6).
【0093】証明書管理サーバ300は、証明書失効通
知を作成し(ステップE7)、通信装置302を通して
クライアント330に送信する(ステップE8)。The certificate management server 300 creates a certificate revocation notice (step E7) and sends it to the client 330 via the communication device 302 (step E8).
【0094】最後に、図6および図4を参照して、クラ
イアント330がリポジトリ320に電子証明書を照会
する場合の動作を説明する。Finally, an operation when the client 330 inquires the repository 320 of an electronic certificate will be described with reference to FIGS.
【0095】クライアント330は、証明書管理サーバ
300が発行した電子証明書を入手する(図4のステッ
プC1)。The client 330 obtains the digital certificate issued by the certificate management server 300 (Step C1 in FIG. 4).
【0096】クライアント330は、ステップC1で入
手した電子証明書が既に失効されていないかどうかを確
認するために、通信装置332を通してリポジトリ32
0に接続する(ステップC2)。The client 330 checks with the repository 32 through the communication device 332 to check whether the digital certificate obtained in step C1 has already been revoked.
0 (step C2).
【0097】クライアント330は、リポジトリ320
の記憶装置323の中にステップC1で入手した電子証
明書が保管されているかどうか検索する(ステップC
3)。[0098] The client 330
Of the electronic certificate obtained in step C1 is stored in the storage device 323 (step C).
3).
【0098】電子証明書がリポジトリ320の記憶装置
323に存在していれば、その電子証明書は失効されて
おらず(ステップC5)、存在していなければその電子
証明書は失効されていると判断する(ステップC6)。If the digital certificate exists in the storage device 323 of the repository 320, the digital certificate has not been revoked (step C5). Otherwise, the digital certificate has been revoked. A judgment is made (step C6).
【0099】なお、図4では、接続先のリポジトリ32
0が判っているものとして、クライアント330が直接
リポジトリ320に接続して電子証明書を検索する処理
を説明した。接続先のリポジトリ320が判らないとき
には、クライアント330が証明書管理サーバ300に
電子証明書の照会を行うことにより、証明書管理サーバ
300がクライアント330からの要求に基づきリポジ
トリ320を検索して、電子証明書が保管されているか
どうかの検索結果をクライアント330に返すこともで
きる。この場合、リポジトリが複数存在していれば、証
明書管理サーバ300は記憶装置303に記憶している
接続可能なリポジトリとの接続情報を参照して、接続可
能なリポジトリを順次検索する。In FIG. 4, the connection destination repository 32
As described above, the process in which the client 330 directly connects to the repository 320 and searches for an electronic certificate has been described. When the connection destination repository 320 is unknown, the client 330 queries the certificate management server 300 for an electronic certificate, and the certificate management server 300 searches the repository 320 based on the request from the client 330, and A search result as to whether the certificate is stored may be returned to the client 330. In this case, if there are a plurality of repositories, the certificate management server 300 sequentially searches for connectable repositories with reference to the connectable repository information stored in the storage device 303.
【0100】更に、図7および図9を用いて、具体的に
説明する。Further, a specific description will be given with reference to FIGS. 7 and 9.
【0101】図9は、第2の実施の形態の動作を説明す
る図である。FIG. 9 is a diagram for explaining the operation of the second embodiment.
【0102】図9に示すように、例えば証明書管理サー
バ400が、異なる電子証明書を発行する認証局410
と認証局420と認証局430並びに保管する電子証明
書の種別(発行元、用途等)の異なるリポジトリ440
とリポジトリ450とリポジトリ460とネットワーク
で結ばれている。As shown in FIG. 9, for example, the certificate management server 400 issues a certificate authority 410 that issues a different digital certificate.
And certificate authorities 420 and 430, as well as repositories 440 with different types (issuers, applications, etc.) of stored digital certificates
And the repository 450 and the repository 460 are connected by a network.
【0103】クライアント470が、認証局410の発
行する電子証明書を取得しようとする時、クライアント
470は証明書管理サーバ400に、認証局410の電
子証明書を要求する内容の証明書要求メッセージを作成
し、送信する(図7のステップD1)。When the client 470 attempts to obtain an electronic certificate issued by the certificate authority 410, the client 470 sends a certificate request message of a content requesting the electronic certificate of the certificate authority 410 to the certificate management server 400. Create and transmit (Step D1 in FIG. 7).
【0104】証明書管理サーバ400は、クライアント
470からの証明書要求メッセージを解析し、認証局4
10が要求する形式の証明書要求メッセージを作成し
(ステップD2)、認証局410に送信する(ステップ
D3)。The certificate management server 400 analyzes the certificate request message from the client 470, and
A certificate request message in a format requested by the server 10 is created (step D2) and transmitted to the certificate authority 410 (step D3).
【0105】認証局410は、ステップD3で受信した
証明書要求メッセージに応じてクライアント470の電
子証明書を作成し、証明書管理サーバ400に送信する
(ステップD4)。The certificate authority 410 creates an electronic certificate of the client 470 in response to the certificate request message received in step D3, and sends it to the certificate management server 400 (step D4).
【0106】証明書管理サーバ400は、電子証明書の
種別に応じて保管するリポジトリをあらかじめ定義して
おき、認証局410から受信したクライアント470の
証明書を、種別に応じて保管するリポジトリを選択し、
登録する(ステップD5)。The certificate management server 400 defines in advance a repository to be stored according to the type of electronic certificate, and selects a repository to store the certificate of the client 470 received from the certificate authority 410 according to the type. And
Register (step D5).
【0107】証明書管理サーバ400は、証明書作成通
知を作成し、クライアント470に送信する(ステップ
D6)。The certificate management server 400 creates a certificate creation notification and sends it to the client 470 (step D6).
【0108】以上説明したように、証明書管理サーバが
発行した電子証明書に関して、その電子証明書が失効さ
れていないかどうかを確認するためには、リポジトリ内
に電子証明書が保管されているかどうかをチェックする
だけでよい。すなわち、電子証明書が保管されていれば
電子証明書は失効されていないし、電子証明書が保管さ
れていなければ電子証明書は既に失効されているものと
判断することが出来る。このようにして、電子証明書が
失効されていないかどうかを安全にかつ容易に検証する
ことができる。As described above, regarding the digital certificate issued by the certificate management server, in order to check whether the digital certificate has been revoked, it is necessary to check whether the digital certificate is stored in the repository. You just have to check. That is, if the electronic certificate is stored, it can be determined that the electronic certificate has not been revoked, and if the electronic certificate has not been stored, it can be determined that the electronic certificate has already been revoked. In this way, it is possible to securely and easily verify whether the electronic certificate has been revoked.
【0109】本発明による上述した実施の形態におい
て、電子証明書管理装置の処理動作を実行するためのプ
ログラム等を、データとして磁気ディスクや光ディスク
等の記録媒体に記録するようにし、記録されたデータを
読み出して電子証明書管理装置を動作させるために用い
る。このように、本発明による電子証明書管理装置を動
作させるデータを記録媒体に記録させ、この記録媒体を
インストールすることにより電子証明書管理装置の機能
が実現できるようになる。In the above-described embodiment of the present invention, a program for executing the processing operation of the electronic certificate management device is recorded as data on a recording medium such as a magnetic disk or an optical disk. Is used to operate the electronic certificate management device. As described above, the data for operating the electronic certificate management apparatus according to the present invention is recorded on the recording medium, and the function of the electronic certificate management apparatus can be realized by installing the recording medium.
【0110】[0110]
【発明の効果】本発明の効果は、電子証明書が失効され
ているかどうかを簡単に検証できることにある。An advantage of the present invention is that it can be easily verified whether or not a digital certificate has been revoked.
【0111】その理由は、証明書管理サーバは電子証明
書を作成した時にリポジトリに登録し、電子証明書の失
効処理を行った時にリポジトリの証明書を削除するた
め、現時点で失効されていない電子証明書のみがリポジ
トリに存在するためである。The reason is that the certificate management server registers the digital certificate in the repository when creating the digital certificate and deletes the certificate in the repository when the digital certificate is revoked. This is because only the certificate exists in the repository.
【図1】第1の実施の形態の構成を示す図FIG. 1 is a diagram showing a configuration of a first embodiment.
【図2】クライアントが証明書管理サーバに対して証明
書要求を行う場合の動作の流れを示す図FIG. 2 is a diagram showing an operation flow when a client makes a certificate request to a certificate management server.
【図3】クライアントが証明書管理サーバに対して証明
書失効要求を行う場合の動作の流れを示す図FIG. 3 is a diagram showing an operation flow when a client makes a certificate revocation request to a certificate management server.
【図4】クライアントがリポジトリに証明書を照会する
場合の動作の流れを示す図FIG. 4 is a diagram showing an operation flow when a client inquires a repository for a certificate;
【図5】第1の実施の形態の動作を説明する図FIG. 5 is a view for explaining the operation of the first embodiment;
【図6】第2の実施の形態の構成を示す図FIG. 6 is a diagram illustrating a configuration according to a second embodiment;
【図7】クライアントが証明書管理サーバに対して証明
書要求を行う場合の動作の流れを示す図FIG. 7 is a diagram showing an operation flow when a client makes a certificate request to a certificate management server.
【図8】クライアントが証明書管理サーバに対して証明
書失効要求を行う場合の動作の流れを示す図FIG. 8 is a diagram showing an operation flow when a client makes a certificate revocation request to a certificate management server.
【図9】第2の実施の形態の動作を説明する図FIG. 9 is a view for explaining the operation of the second embodiment;
100 証明書管理サーバ 101 制御装置 102 通信装置 103 記憶装置 104 認証局 105 記録媒体 110 リポジトリ 111 制御装置 112 通信装置 113 記憶装置 120 クライアント 121 制御装置 122 通信装置 123 記憶装置 130 ネットワーク 200 証明書管理サーバ 210 リポジトリ 220 クライアント 221 電子証明書 230 クライアント 240 電子文書 241 メッセージ 242 電子署名 300 証明書管理サーバ 301 制御装置 302 通信装置 303 記憶装置 304 記録媒体 310 認証局 320 リポジトリ 321 制御装置 322 通信装置 323 記憶装置 330 クライアント 331 制御装置 332 通信装置 333 記憶装置 340 ネットワーク 400 証明書管理サーバ 410 認証局 420 認証局 430 認証局 440 リポジトリ 450 リポジトリ 460 リポジトリ 470 クライアント REFERENCE SIGNS LIST 100 certificate management server 101 control device 102 communication device 103 storage device 104 certificate authority 105 recording medium 110 repository 111 control device 112 communication device 113 storage device 120 client 121 control device 122 communication device 123 storage device 130 network 200 certificate management server 210 Repository 220 client 221 electronic certificate 230 client 240 electronic document 241 message 242 electronic signature 300 certificate management server 301 control device 302 communication device 303 storage device 304 recording medium 310 certificate authority 320 repository 321 control device 322 communication device 323 storage device 330 client 331 Control device 332 Communication device 333 Storage device 340 Network 400 Certificate management server 410 Certificate Authority 420 Certificate Authority 430 Certificate Authority 440 Repository 450 Repository 460 Repository 470 Client
Claims (10)
理サーバに要求し又リポジトリに対して電子証明書の照
会を行うクライアントと、前記クライアントからの要求
に基づき電子証明書の作成あるいは失効処理を行ってリ
ポジトリに電子証明書の登録あるいは削除を行い前記ク
ライアントに通知する証明書管理サーバと、前記証明書
管理サーバが登録し失効していない電子証明書を保管す
るリポジトリと、を備える電子証明書管理装置。1. A client for requesting issuance and revocation of a digital certificate from a certificate management server and inquiring a repository for a digital certificate, and processing for creating or revoking a digital certificate based on a request from the client. A certificate management server that registers or deletes a digital certificate in the repository and notifies the client of the digital certificate, and a repository that stores the digital certificate registered by the certificate management server and not revoked. Book management device.
理サーバに要求し又リポジトリに対して電子証明書の照
会を行うクライアントと、前記クライアントからの要求
を受け取って認証局に送信し前記認証局から処理結果を
受信してリポジトリに電子証明書の登録あるいは削除を
行い前記クライアントに通知する証明書管理サーバと、
前記証明書管理サーバから送信された前記クライアント
からの要求に基づき電子証明書の作成あるいは失効処理
を行い前記証明書管理サーバに処理結果を送信する認証
局と、前記証明書管理サーバが登録し失効していない電
子証明書を保管するリポジトリと、を備える電子証明書
管理装置。2. A client for requesting issuance and revocation of an electronic certificate from a certificate management server and inquiring an electronic certificate against a repository, and receiving a request from the client and transmitting the request to a certificate authority to perform the authentication. A certificate management server that receives a processing result from a bureau, registers or deletes an electronic certificate in a repository, and notifies the client of the result;
A certificate authority for creating or revoking an electronic certificate based on a request from the client transmitted from the certificate management server and transmitting a processing result to the certificate management server; A digital certificate management device, comprising:
ントからの電子証明書要求メッセージ,電子証明書失効
要求メッセージ,前記認証局からの応答メッセージ,接
続可能な認証局との接続情報および接続可能なリポジト
リとの接続情報を記憶することを特徴とする請求項2記
載の電子証明書管理装置。3. The certificate management server includes: an electronic certificate request message from the client; an electronic certificate revocation request message; a response message from the certificate authority; connection information with a connectable certificate authority; 3. The electronic certificate management device according to claim 2, wherein connection information with a repository is stored.
よび削除は、前記証明書管理サーバ以外では行えないよ
うにアクセス制御されることを特徴とする請求項1また
は2記載の電子証明書管理装置。4. The electronic certificate management apparatus according to claim 1, wherein registration and deletion of the electronic certificate in the repository are controlled so that the registration and deletion cannot be performed by a server other than the certificate management server. .
別により複数存在することを特徴とする請求項2記載の
電子証明書管理装置。5. The electronic certificate management device according to claim 2, wherein a plurality of certificate authorities exist according to the type of the digital certificate to be issued.
の種別により複数存在することを特徴とする請求項2記
載の電子証明書管理装置。6. The electronic certificate management device according to claim 2, wherein a plurality of repositories exist according to types of electronic certificates to be stored.
て電子証明書の要求または失効要求を行い、前記クライ
アントからの要求が電子証明書の要求であれば電子証明
書を作成しリポジトリに登録して前記クライアントに通
知し、前記クライアントからの要求が電子証明書の失効
要求であればリポジトリから電子証明書を削除して前記
クライアントに通知し、前記クライアントは電子証明書
を入手したときに前記リポジトリに電子証明書の照会を
行うことを特徴とする電子証明書管理方法。7. A client makes a request for an electronic certificate or a revocation request to a certificate management server. If the request from the client is a request for an electronic certificate, an electronic certificate is created and registered in a repository. Notify the client, if the request from the client is a request for revocation of a digital certificate, delete the digital certificate from the repository and notify the client, the client will be sent to the repository when obtaining the digital certificate An electronic certificate management method characterized by performing an inquiry of an electronic certificate.
て電子証明書の要求または失効要求を行い、前記証明書
管理サーバは前記クライアントからの要求を認証局に送
信し、前記認証局は前記証明書管理サーバから送信され
た前記クライアントからの要求が電子証明書の要求であ
れば電子証明書を作成して前記証明書管理サーバに処理
結果を送信し、前記認証局は前記証明書管理サーバから
送信された前記クライアントからの要求が電子証明書の
失効要求であれば電子証明書の失効処理を行って前記証
明書管理サーバに処理結果を送信し、前記証明書管理サ
ーバは前記認証局から処理結果を受信し前記クライアン
トからの要求が電子証明書の要求であればリポジトリに
電子証明書を登録して前記クライアントに通知し、前記
証明書管理サーバは前記認証局から処理結果を受信し前
記クライアントからの要求が電子証明書の失効要求であ
ればリポジトリから電子証明書を削除して前記クライア
ントに通知し、前記クライアントは電子証明書を入手し
たときに前記リポジトリに電子証明書の照会を行うこと
を特徴とする電子証明書管理方法。8. A client makes a request for an electronic certificate or a revocation request to a certificate management server, the certificate management server sends a request from the client to a certificate authority, and the certificate authority sends the certificate to the certificate management server. If the request from the client transmitted from the management server is a request for an electronic certificate, an electronic certificate is created and a processing result is transmitted to the certificate management server, and the certificate authority transmits the processing result from the certificate management server. If the request from the client is a request for revoking an electronic certificate, the client performs revocation processing of the electronic certificate and sends a processing result to the certificate management server, and the certificate management server sends the processing result from the certificate authority. If the request from the client is a request for an electronic certificate, register the electronic certificate in the repository and notify the client, the certificate management server If the processing result is received from the certificate authority and the request from the client is a request for revocation of the digital certificate, the digital certificate is deleted from the repository and notified to the client, and when the client obtains the digital certificate, An electronic certificate management method, wherein the repository is queried for an electronic certificate.
て電子証明書の要求または失効要求を行う要求処理と、
前記クライアントからの要求が電子証明書の要求であれ
ば電子証明書を作成しリポジトリに登録して前記クライ
アントに通知する証明書登録処理と、前記クライアント
からの要求が電子証明書の失効要求であればリポジトリ
から電子証明書を削除して前記クライアントに通知する
証明書削除処理と、前記クライアントが電子証明書を入
手したときに前記リポジトリに電子証明書の照会を行う
照会処理と、をコンピュータに実行させるためのプログ
ラムを記録したことを特徴とする記録媒体。9. A request process in which a client makes a request for a digital certificate or a revocation request to a certificate management server;
If the request from the client is a request for a digital certificate, a certificate registration process for creating a digital certificate, registering it in a repository, and notifying the client, and a request from the client for a revocation request for a digital certificate. For example, a computer executes a certificate deletion process of deleting an electronic certificate from a repository and notifying the client, and an inquiry process of inquiring the repository of the electronic certificate when the client obtains the electronic certificate. A recording medium characterized by recording a program for causing the recording medium to be executed.
して電子証明書の要求または失効要求を行う要求処理
と、前記証明書管理サーバは前記クライアントからの要
求を認証局に送信する転送処理と、前記認証局は前記証
明書管理サーバから送信された前記クライアントからの
要求が電子証明書の要求であれば電子証明書を作成して
前記証明書管理サーバに処理結果を送信する電子証明書
作成処理と、前記認証局は前記証明書管理サーバから送
信された前記クライアントからの要求が電子証明書の失
効要求であれば電子証明書の失効処理を行って前記証明
書管理サーバに処理結果を送信する電子証明書失効処理
と、前記証明書管理サーバは前記認証局から処理結果を
受信し前記クライアントからの要求が電子証明書の要求
であればリポジトリに電子証明書を登録して前記クライ
アントに通知する電子証明書登録処理と、前記証明書管
理サーバは前記認証局から処理結果を受信し前記クライ
アントからの要求が電子証明書の失効要求であればリポ
ジトリから電子証明書を削除して前記クライアントに通
知する電子証明書削除処理と、前記クライアントが電子
証明書を入手したときに前記リポジトリに電子証明書の
照会を行う照会処理と、をコンピュータに実行させるた
めのプログラムを記録したことを特徴とする記録媒体。10. A request processing in which a client makes a request for an electronic certificate or a revocation request to a certificate management server, the certificate management server transmits a request from the client to a certificate authority, The certificate authority creates an electronic certificate if the request from the client sent from the certificate management server is a request for an electronic certificate, and sends a processing result to the certificate management server. If the request from the client transmitted from the certificate management server is an electronic certificate revocation request, the certificate authority performs an electronic certificate revocation process and transmits a processing result to the certificate management server. Certificate revocation processing, the certificate management server receives the processing result from the certificate authority, and if the request from the client is a request for an electronic certificate, An electronic certificate registration process for registering an electronic certificate and notifying the client, and the certificate management server receives a processing result from the certificate authority and, if the request from the client is an electronic certificate revocation request, a repository. And causing the computer to execute an electronic certificate deletion process of deleting the electronic certificate from the client and notifying the client of the electronic certificate, and an inquiry process of querying the repository for the electronic certificate when the client obtains the electronic certificate. Recording medium for recording a program for recording.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP25201599A JP2001077809A (en) | 1999-09-06 | 1999-09-06 | Electronic certificate management device, method and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP25201599A JP2001077809A (en) | 1999-09-06 | 1999-09-06 | Electronic certificate management device, method and recording medium |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001077809A true JP2001077809A (en) | 2001-03-23 |
Family
ID=17231401
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP25201599A Pending JP2001077809A (en) | 1999-09-06 | 1999-09-06 | Electronic certificate management device, method and recording medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001077809A (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003108708A (en) * | 2001-07-27 | 2003-04-11 | Legal Corp | Security application framework and electronic application system, device, method, and program using security application framework |
| JP2004246855A (en) * | 2002-12-19 | 2004-09-02 | Ntt Docomo Inc | Settlement processing method, its system, and client terminal device, shop terminal device, and financial institution terminal device used for it |
| JP2006174518A (en) * | 2002-06-12 | 2006-06-29 | Hitachi Ltd | Authentication base system with crl issue notifying function |
| JP2007506365A (en) * | 2003-09-19 | 2007-03-15 | 株式会社エヌ・ティ・ティ・ドコモ | Method and apparatus for efficiently revoking certificates |
| US8055780B2 (en) | 2006-09-12 | 2011-11-08 | Konica Minolta Holdings, Inc. | Method of managing information and information processing apparatus |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10257047A (en) * | 1997-03-12 | 1998-09-25 | Oki Electric Ind Co Ltd | Authentication system and public key management system |
| JPH10276187A (en) * | 1997-03-31 | 1998-10-13 | Nippon Telegr & Teleph Corp <Ntt> | Public key certificate management method in authentication system |
| JPH11317735A (en) * | 1998-02-17 | 1999-11-16 | Seetharaman Ramasubramani | Centrarized certificate management system for two-way interactive communication device in data network |
| JPH11338825A (en) * | 1998-05-29 | 1999-12-10 | Hitachi Ltd | Access control method considering configuration of organization |
| JP2000284688A (en) * | 1999-03-30 | 2000-10-13 | Nippon Telegr & Teleph Corp <Ntt> | Method, device, and recording medium for generating lapsed certificate list in authentication system |
| JP2001036521A (en) * | 1999-07-22 | 2001-02-09 | Ntt Data Corp | Electronic certificate issue system, electronic certificate authentication system, method for issuing electronic certificate, method for authenticating electronic certificate and recording medium |
-
1999
- 1999-09-06 JP JP25201599A patent/JP2001077809A/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10257047A (en) * | 1997-03-12 | 1998-09-25 | Oki Electric Ind Co Ltd | Authentication system and public key management system |
| JPH10276187A (en) * | 1997-03-31 | 1998-10-13 | Nippon Telegr & Teleph Corp <Ntt> | Public key certificate management method in authentication system |
| JPH11317735A (en) * | 1998-02-17 | 1999-11-16 | Seetharaman Ramasubramani | Centrarized certificate management system for two-way interactive communication device in data network |
| JPH11338825A (en) * | 1998-05-29 | 1999-12-10 | Hitachi Ltd | Access control method considering configuration of organization |
| JP2000284688A (en) * | 1999-03-30 | 2000-10-13 | Nippon Telegr & Teleph Corp <Ntt> | Method, device, and recording medium for generating lapsed certificate list in authentication system |
| JP2001036521A (en) * | 1999-07-22 | 2001-02-09 | Ntt Data Corp | Electronic certificate issue system, electronic certificate authentication system, method for issuing electronic certificate, method for authenticating electronic certificate and recording medium |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003108708A (en) * | 2001-07-27 | 2003-04-11 | Legal Corp | Security application framework and electronic application system, device, method, and program using security application framework |
| JP2006174518A (en) * | 2002-06-12 | 2006-06-29 | Hitachi Ltd | Authentication base system with crl issue notifying function |
| JP4582030B2 (en) * | 2002-06-12 | 2010-11-17 | 株式会社日立製作所 | Authentication infrastructure system with CRL issue notification function |
| JP2004246855A (en) * | 2002-12-19 | 2004-09-02 | Ntt Docomo Inc | Settlement processing method, its system, and client terminal device, shop terminal device, and financial institution terminal device used for it |
| JP2007506365A (en) * | 2003-09-19 | 2007-03-15 | 株式会社エヌ・ティ・ティ・ドコモ | Method and apparatus for efficiently revoking certificates |
| JP4699368B2 (en) * | 2003-09-19 | 2011-06-08 | 株式会社エヌ・ティ・ティ・ドコモ | Method and apparatus for efficiently revoking certificates |
| US8321664B2 (en) | 2003-09-19 | 2012-11-27 | Ntt Docomo, Inc. | Method and apparatus for efficient certificate revocation |
| US8055780B2 (en) | 2006-09-12 | 2011-11-08 | Konica Minolta Holdings, Inc. | Method of managing information and information processing apparatus |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4011243B2 (en) | Electronic original management apparatus and method | |
| JP4283536B2 (en) | Method and apparatus for delegating a digital signature to a signature server | |
| US6324645B1 (en) | Risk management for public key management infrastructure using digital certificates | |
| JP4301482B2 (en) | Server, information processing apparatus, access control system and method thereof | |
| EP2176984B1 (en) | Creating and validating cryptographically secured documents | |
| US20040078573A1 (en) | Remote access system, remote access method, and remote access program | |
| US20050289644A1 (en) | Shared credential store | |
| JP2007110377A (en) | Network system | |
| JP2007518369A (en) | Efficiently signable real-time credentials for OCSP and distributed OCSP | |
| US7100045B2 (en) | System, method, and program for ensuring originality | |
| JP4280036B2 (en) | Access right control system | |
| RU2373572C2 (en) | System and method for resolution of names | |
| JP4201556B2 (en) | Information processing method and access authority management method in center system | |
| EP4342124A1 (en) | Lifecycle administration of domain name blockchain addresses | |
| JP2003348077A (en) | Method and device for verifying attribute certificate | |
| JP2001077809A (en) | Electronic certificate management device, method and recording medium | |
| JP2004213265A (en) | Electronic document management device, document producer device, document viewer device, and electronic document management method and system | |
| JP2002215585A (en) | Device and method for processing subject name of individual certificate | |
| JP2000207362A (en) | Network system and its user authenticating method | |
| JPH10276186A (en) | Validity period notice method for public key certificate in authentication system | |
| JP2007304831A (en) | Approval management system | |
| JPH11331145A (en) | Information sharing system, information preserving device, information processing method and recording medium therefor | |
| JPH10285156A (en) | User information management device in authentication system | |
| JP4071482B2 (en) | Originality assurance system and program | |
| JP4838734B2 (en) | Electronic original management apparatus and method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040210 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040405 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040817 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20041116 |