JP2021083042A - Information processing device, information processing method, and program - Google Patents
Information processing device, information processing method, and program Download PDFInfo
- Publication number
- JP2021083042A JP2021083042A JP2019211453A JP2019211453A JP2021083042A JP 2021083042 A JP2021083042 A JP 2021083042A JP 2019211453 A JP2019211453 A JP 2019211453A JP 2019211453 A JP2019211453 A JP 2019211453A JP 2021083042 A JP2021083042 A JP 2021083042A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- cpu
- multifunction device
- setting
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、情報処理装置、情報処理方法及びプログラムに関する。 The present invention relates to an information processing device, an information processing method and a program.
オフィス等のネットワークに接続するパーソナルコンピュータ(PC)、個人が所持する携帯移動端末は、外部のサーバと通信する際、セキュアな通信と認証を行うために、公開鍵証明書を利用している。
また近年の複合機は、単純に画像の印刷や送信を行うだけではなく、複合機内に画像データを格納し、PCに対してファイルサービスを提供する機能を備えている。そのため複合機も、ネットワーク上に存在するその他のサーバ機器と同様の情報処理装置としての役割を果たすようになってきている。これらの情報処理装置がネットワーク上で利用される中で、安全でかつ安心なオフィス環境を維持するためには、電子証明書を使って認証を行って通信することが求められる。一般的にはこの電子証明書を使った公開鍵基盤(PKI:public key infrastructure)の技術により安全なネットワークの識別と認証が実現されている(特許文献1参照)。
Personal computers (PCs) connected to networks such as offices and mobile mobile terminals owned by individuals use public key certificates for secure communication and authentication when communicating with external servers.
Further, recent multifunction devices not only simply print and transmit images, but also have a function of storing image data in the multifunction device and providing a file service to a PC. Therefore, the multifunction device also plays a role as an information processing device similar to other server devices existing on the network. While these information processing devices are used on the network, in order to maintain a safe and secure office environment, it is required to authenticate and communicate using an electronic certificate. In general, secure network identification and authentication are realized by public key infrastructure (PKI: public key infrastructure) technology using this digital certificate (see Patent Document 1).
例えば、情報処理装置がクライアントになる場合、サーバから取得したサーバ公開鍵証明書と、そのサーバ公開鍵証明書を発行した認証局の認証局証明書を取得して、サーバの正当性を検証することができる。他にも、情報処理装置のクライアント公開鍵証明書をサーバに提供することによって、サーバがクライアントの正当性を検証することも可能となる。また情報処理装置がサーバになる場合、接続するクライアントに対して、情報処理装置のサーバ公開鍵証明書を配布することによって、クライアントが情報処理装置の正当性を検証できる。このように電子証明書は、情報処理装置同士がネットワーク通信の認証や識別を行う上で、従来から重要な技術として利用されている。例えば、このような通信で利用される通信プロトコルとして、SSL、TLS、IEEE802.1X、IPSECがある。 For example, when the information processing device becomes a client, the server public key certificate obtained from the server and the certificate authority certificate of the certificate authority that issued the server public key certificate are obtained to verify the validity of the server. be able to. In addition, by providing the client public key certificate of the information processing device to the server, the server can verify the validity of the client. When the information processing device becomes a server, the client can verify the validity of the information processing device by distributing the server public key certificate of the information processing device to the connecting client. As described above, the digital certificate has been used as an important technology for the information processing devices to authenticate and identify the network communication. For example, communication protocols used in such communication include SSL, TLS, IEEE802.1X, and IPSEC.
この電子証明書は、情報処理装置の中に格納・保持しておく必要があるため、従来は、電子証明書は認証局が発行したものを、情報処理装置のユーザが手動で情報処理装置のストレージに格納していた。この格納方法としては、電子証明書を発行する認証局からダウンロードしたり、USBメモリ等の外部ストレージからコピーしたり、E−mail等で受信した電子証明書を所定のフォルダにコピーしたりする等の方法で行われている。
この電子証明書は有効期限があり、有効期限が切れると、その電子証明書を使用した通信が不可能になってしまう。そのため、有効期限が切れた場合や、切れる直前に新たな電子証明書を追加して切り替える必要がある。
Since this digital certificate needs to be stored and held in the information processing device, conventionally, the digital certificate issued by the certificate authority is manually stored by the user of the information processing device. It was stored in the storage. This storage method includes downloading from a certificate authority that issues an electronic certificate, copying from an external storage such as a USB memory, copying an electronic certificate received by E-mail, etc. to a predetermined folder, etc. It is done by the method of.
This digital certificate has an expiration date, and when the expiration date expires, communication using the digital certificate becomes impossible. Therefore, when the expiration date has expired, or just before the expiration date, it is necessary to add a new digital certificate and switch.
このような電子証明書更新する際、情報処理装置が証明書管理サーバに更新要求をネットワーク経由で送信し、証明書管理サーバから電子証明書を受信することが従来から可能である。情報処理装置は新しい電子証明書を受信した場合、以前利用していた電子証明書から新しい電子証明書に切り替える。このような情報処理装置による電子証明書の追加取得は定期的に行われる。
この定期的な実行方法としては、例えば情報処理装置にタイマ等の条件を設定しておき、その条件に達した場合自動的に更新要求を送信し、証明書管理サーバから電子証明書を受信するという利用の仕方もある。このようなある特定条件に達した場合に自動的に証明書の更新要求を実行する仕組みを本明細書では「証明書の自動更新機能」と称する。
When updating such a digital certificate, it has been conventionally possible for the information processing apparatus to send an update request to the certificate management server via the network and receive the digital certificate from the certificate management server. When the information processing device receives a new digital certificate, it switches from the previously used digital certificate to the new digital certificate. The additional acquisition of the digital certificate by such an information processing device is performed periodically.
As this periodic execution method, for example, a condition such as a timer is set in the information processing device, and when the condition is reached, an update request is automatically sent and an electronic certificate is received from the certificate management server. There is also a way to use it. In this specification, a mechanism for automatically executing a certificate renewal request when such a specific condition is reached is referred to as an "automatic certificate renewal function".
この更新対象となる証明書は、通信の用途によっては情報処理装置毎に別々の電子証明書を利用する場合がある。例えば、TLS、IEEE802.1X、IPSEC等通信機能ごとに個別の電子証明書を情報処理装置に格納することが一般的である。
特許文献1等、従来では情報処理装置の証明書に対して一律同じ更新周期を設定することを可能としていた。
The certificate to be renewed may use a separate digital certificate for each information processing device depending on the purpose of communication. For example, it is common to store individual digital certificates for each communication function such as TLS, IEEE802.1X, and IPsec in an information processing device.
Conventionally, it has been possible to uniformly set the same renewal cycle for a certificate of an information processing device such as Patent Document 1.
しかしながら、情報処理装置が利用する証明書においては、証明書が使用される通信機能ごとに更新周期を変更したい場合がある。例えば、複合機がリモートUI等の通信のために利用するサーバ証明書については複合機自体が機密情報を持っていない場合、厳密な運用は求められずサーバ証明書の更新も数年ごとでもよい。一方で社内のネットワークにつなげる際にIEEE802.1X認証を行う運用をしている場合、そこで利用されるクライアント証明書については、1ヶ月毎等頻繁に更新することでセキュリティを高める運用がある。こういった場合にすべての証明書の更新を短い周期に合わせて実行してしまうと、その分、複合機と証明書発行サーバとの通信や複合機の更新処理が増加してしまう。 However, in the certificate used by the information processing device, it may be desired to change the update cycle for each communication function in which the certificate is used. For example, regarding the server certificate used by the multifunction device for communication such as remote UI, if the multifunction device itself does not have confidential information, strict operation is not required and the server certificate may be renewed every few years. .. On the other hand, when the operation is to perform IEEE 802.1X authentication when connecting to the in-house network, there is an operation to improve the security by renewing the client certificate used there frequently, such as every month. In such a case, if all the certificates are renewed in a short cycle, the communication between the multifunction device and the certificate issuing server and the renewal process of the multifunction device will increase accordingly.
本発明は、情報処理装置であって、証明書を利用する複数の通信機能ごとに証明書の更新周期を選択する選択領域を含む画面を表示する表示手段と、前記選択領域で選択された更新周期に基づき前記複数の通信機能ごとの証明書を更新する更新手段と、を有することを特徴とする。 The present invention is an information processing apparatus, which is a display means for displaying a screen including a selection area for selecting a certificate renewal cycle for each of a plurality of communication functions using a certificate, and a renewal selected in the selection area. It is characterized by having an renewal means for renewing a certificate for each of the plurality of communication functions based on a cycle.
本発明によれば、証明書の自動更新機能が有効時に、証明書の不要な更新処理を減らすことができる。 According to the present invention, when the automatic certificate renewal function is enabled, unnecessary renewal processing of the certificate can be reduced.
以下、本発明の実施形態について図面に基づいて説明する。
なお、以下では実施形態に係る電子証明書の利用及び管理する情報処理装置として複合機(デジタル複合機/MFP/Multi Function Peripheral)を例に説明する。しかしながら適用範囲は複合機に限定はせず、電子証明書が利用可能な情報処理装置であればよい。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
In the following, a multifunction device (digital multifunction device / MFP / Multifunction Peripheral) will be described as an example as an information processing device for using and managing the digital certificate according to the embodiment. However, the scope of application is not limited to the multifunction device, and any information processing device that can use an electronic certificate may be used.
<実施形態1>
図1は、印刷システムのシステム構成の一例を示す図である。
印刷機能を有する複合機100は、ネットワーク110を介して他の情報処理装置との間で、印刷データ、スキャンした画像データ、デバイスの管理情報等の送受信が可能である。また複合機100は、TLS、IPSEC、IEEE802.1X等の暗号化通信を行う機能を有し、それらの暗号処理に使用する公開鍵ペアと電子証明書を保持している。ここで複合機100は画像形成装置の一例であり、画像形成装置としてはこれに限らず、ファクシミリ装置、プリンタ、コピー機の単独の機能、又はこれらの複合的な機能を併せ持つ装置であってもよい。ネットワーク110には、複合機101も接続されており、この複合機101は、複合機100と同等の機能をもっている。以下、複合機100を主に説明するが、電子証明書のやりとりについては、複数台の複合機を対象とすることもできる。
<Embodiment 1>
FIG. 1 is a diagram showing an example of a system configuration of a printing system.
The
認証局・登録局102は、電子証明書を発行する認証局CA(Certificate Authority)の機能と、電子証明書の発行要求の受付、登録処理を行う登録局RA(Registration Authority)の機能を有する。即ち、この認証局・登録局102は、ネットワーク110を介してCA証明書の配布、電子証明書の発行・登録する機能を有するサーバ装置である。実施形態1では、この際のネットワーク110のプロトコルとして、SCEP(Simple Certificate Enrollment Protocol)を利用するものとする。複合機100等の情報処理装置は、このSCEPを利用し、ネットワーク110経由で電子証明書の発行要求、取得のための通信を認証局・登録局102に対して行う。複合機100は、Webサーバ機能を有し、電子証明書の発行要求、取得のための処理を実行することが可能なWebページ型のRUI(Remoto UI)機能をネットワーク110に公開している。
The certificate authority /
認証局・登録局102は、ネットワーク110を介して他の情報処理装置から電子証明書の発行要求を受信すると、その発行要求に基づく電子証明書の発行と登録処理を行い、発行した電子証明書を、その発行要求の応答として送信する。なお、実施形態1では、認証局と登録局の機能が同一のサーバ装置で実現されているが、認証局と登録局が別のサーバ装置で実現される構成であってもよく、特に限定はしない。また実施形態1では、電子証明書の発行要求及びそれを取得するプロトコルとしてSCEPを利用しているが、同等の機能を持つプロトコルであればよく、特に限定はしない。例えば、CMP(Certificate Management Protocol)又はEST(Enrollment over Secure Transport)protocol)等でもよい。
PC103はパーソナルコンピュータで、PC103にはWebブラウザ機能が搭載されており、ネットワーク110に接続された情報処理装置が公開しているHTML文書及びWebサイトを閲覧、利用することが可能である。
When the certificate authority /
The
次に、電子証明書の取得・更新の処理概要を説明する。
複合機100の管理者は、PC103に搭載されているWebブラウザを利用して、複合機100が公開している電子証明書の発行要求及びその取得のためにWebページに接続して、電子証明書の発行要求、取得のための処理の実行のための設定と指示を行う。複合機100は、管理者が設定及び指示した内容に従って認証局・登録局102に対しSCEPによるCA証明書の取得及び電子証明書の発行要求を行う。また複合機100は、電子証明書の発行要求の応答に含まれる認証局・登録局102が発行した電子証明書を取得し、その取得した電子証明書の複合機100での利用設定を行う。
Next, the outline of the process of acquiring / renewing the digital certificate will be described.
The administrator of the
次に複合機100のハードウェア構成を説明する。
図2は、複合機100のハードウェア構成の一例を示す図である。
CPU201は、複合機100のソフトウェアプログラムを実行し、装置全体の制御を行う。ROM202は、リードオンリーメモリで、複合機100のブートプログラム及び固定パラメータ等を格納している。RAM203は、ランダムアクセスメモリで、CPU201が複合機100を制御する際に、プログラム及び一時的なデータの格納等に使用される。HDD204は、ハードディスクドライブで、システムソフトウェア、アプリケーション、各種データを格納する。CPU201は、ROM202に記憶されているブートプログラムを実行し、HDD204に格納されているプログラムをRAM203に展開し、その展開したプログラムを実行することにより、この複合機100の動作を制御する。
Next, the hardware configuration of the
FIG. 2 is a diagram showing an example of the hardware configuration of the
The
ネットワークI/F制御部205は、ネットワーク110とのデータの送受信を制御する。スキャナI/F制御部206は、スキャナ211による原稿の読み取り制御する。プリンタI/F制御部207は、プリンタ210による印刷処理等を制御する。パネル制御部208は、タッチパネル式の操作パネル212を制御し、各種情報の表示、使用者からの指示入力を制御する。
バス209は、CPU201、ROM202、RAM203、HDD204、ネットワークI/F制御部205、スキャナI/F制御部206、プリンタI/F制御部207、パネル制御部208を相互に接続している。このバス209を介して、CPU201からの制御信号及び各装置間のデータ信号が送受信される。
The network I /
The
図3は、複合機100のソフトウェアモジュール構成の一例を示す図である。なお、この図3に示すソフトウェアモジュールは、CPU201がRAM203に展開したプログラムを実行することにより実現される。
ネットワークドライバ301は、ネットワーク110に接続されるネットワークI/F制御部205を制御して、ネットワーク110を介して外部とデータの送受信を行う。ネットワーク制御部302は、TCP/IP等のネットワーク通信プロトコルにおけるトランスポート層以下の通信を制御して、データの送受信を行う。通信制御部303は、複合機100がサポートする複数の通信プロトコルの制御を行うためのモジュールである。電子証明書の取得及び更新処理では、通信制御部303がHTTPプロトコル通信のための要求、及び応答データの生成、解析処理とデータ送受信の制御を行い、認証局・登録局102及びPC103との通信を実行する。また複合機100がサポートするTLS、IPSEC、IEEE802.1Xの暗号化通信も通信制御部303によって実行される。
FIG. 3 is a diagram showing an example of a software module configuration of the
The
Webページ制御部304は、電子証明書の発行要求とその取得のための処理を実行することが可能なWebページの表示のためのHTMLデータの生成及び通信制御を行うモジュールである。Webページ制御部304は、ネットワークドライバ301から通信制御部303を介して送られてきたWebページの表示要求、電子証明書の発行要求及び取得の実行指示に対する処理を実行する。Webページ制御部304は、RAM203又はHDD204に保存されている既定のWebページのHTMLデータ、又は表示要求の内容に応じて生成したHTMLデータを、Webブラウザからのリクエストへの応答として送信する。
The Web
鍵ペア・証明書取得制御部305は、Webページ制御部304からの指示に基づく電子証明書の取得処理を実行するためのモジュールである。鍵ペア・証明書取得制御部305は、SCEPによる通信制御、PKCS#7、PKCS#10等のSCEPによる通信で必要な暗号化データの生成と解析処理及び、取得した電子証明書の保存、用途設定等の処理を行うモジュールである。暗号化処理部306は、データの暗号化及び復号処理、電子署名の生成・検証、ハッシュ値生成等の各種暗号処理を実行するためのモジュールである。暗号化処理部306は、電子証明書の取得及び更新処理で、SCEPの要求・応答データの生成、解析処理において必要な各暗号処理を実行する。
The key pair / certificate
鍵ペア・証明書管理部307は、複合機100が保持する公開鍵ペア、電子証明書を管理するモジュールである。鍵ペア・証明書管理部307は、公開鍵ペア、電子証明書のデータをRAM203又はHDD204に各種設定値と共に保存する。また公開鍵ペア、電子証明書の詳細表示、生成、削除等の処理は、実施形態1では図示しないが、操作パネル212を介したユーザの指示によって実行することも可能である。操作パネル212及びパネル制御部208の制御は、UI制御部308によって実行される。なお、通信制御部303によって実行されるTLS、IPSEC、IEEE802.1X等の暗号化通信処理においても、暗号化処理部306で暗号化処理が行われ、鍵ペア・証明書管理部307から、使用する公開鍵ペア・電子証明書データを取得する構成となっている。
The key pair /
印刷/読取処理部309は、プリンタ210による印刷及び、スキャナ211による原稿の読み取り等の機能を実行するためのモジュールである。デバイス制御部310は、複合機100の制御コマンドや制御データを生成して、複合機100を統括的に制御するためのモジュールである。なお、デバイス制御部310は、複合機100の電源の制御を行い、Webページ制御部304からの指示によって複合機100の再起動処理を実行する。
The print /
図4は、印刷システムにおける、電子証明書の発行要求に関する初期設定、電子証明書の情報表示、発行要求と受信、再起動と、その電子証明書を反映するまでの全体処理の流れを説明するシーケンス図である。
このシーケンスは、鍵ペア及び選書証明書リストの表示指示がユーザにより入力されたことに応答して開始される。実施形態1では、一つの複合機100に対する処理の例で説明するが、一回の開始指示に応じて、複数の複合機100、101に対して実行させてもよい。例えば、PC103から、複合機100及び複合機101に対してリクエストを出し、それぞれの複合機で、後述するフローチャートで示す処理を実行させてもよい。この際、複合機100、101から証明書を取得して表示して確認させる工程をスキップしてもよい。そして、有効期限が切れた証明書を自動的に複合機で検出し、その書誌情報(証明書IDや有効期限)をPC103に送信し、PC103では有効期限が切れそう、又は切れた証明書の更新を、複数の複合機に自動的に実行させてもよい。これは、所謂、サイレントインストールと呼ばれるものである。
FIG. 4 illustrates the flow of the initial setting regarding the issuance request of the digital certificate, the information display of the digital certificate, the issuance request and reception, the restart, and the entire process until the digital certificate is reflected in the printing system. It is a sequence diagram.
This sequence is started in response to a user inputting instructions for displaying the key pair and the selection certificate list. In the first embodiment, an example of processing for one
まずS401で複合機100は、PC103からの接続を受け付けると、PC103から送信される複合機100が保持している鍵ペア・電子証明書のリスト表示要求を受信する。実施形態1では、複合機100の管理者は、PC103に搭載されているWebブラウザを利用して、複合機100が公開している電子証明書の発行要求・取得のためのWebページ形式のRUI形式に接続し、指示等の操作を行うものとする。このRUIはリモートユーザインタフェースの略であり、PC103のウェブブラウザを使用して、遠隔で複合機100及び複合機101の操作画面データを要求してPC103で表示できる技術である。このとき画面は、HTML又はサーブレット等で実装できる。
First, when the
次にS402で複合機100は、複合機100が保持している鍵ペア・電子証明書のリスト表示のためのデータの取得、及びそれを表示するためのWebページ画面の生成処理を実行する。
図5(A)は、図4のS402の鍵ペア・電子証明書のリストの取得及び表示データの作成処理を説明するフローチャートである。なお、この処理は、CPU201がRAM203に展開したプログラムを実行することにより達成される。
また図6は、鍵ペア・証明書管理部307が管理している鍵ペア・電子証明書の詳細情報のデータベースの概念図である。このデータベースは、複合機100のHDD204に保存されている。
Next, in S402, the
FIG. 5A is a flowchart illustrating a process of acquiring a list of the key pair / digital certificate of S402 of FIG. 4 and creating display data. This process is achieved by executing the program expanded in the
Further, FIG. 6 is a conceptual diagram of a database of detailed information of the key pair / digital certificate managed by the key pair /
図5(A)のフローチャートを説明する。この処理は、鍵ペア・電子証明書リストの取得要求を受信することにより開始される。まずS501でCPU201は、鍵ペア・電子証明書リストの取得要求を受信する。次にS502に進みCPU201は、鍵ペア・証明書管理部307が管理している、例えば図6(A)に示す鍵ペア・電子証明書の詳細情報を取得する。次にS503に進みCPU201は、S502で取得した鍵ペア・電子証明書の詳細情報を使用して、RUIとして提供するWebページ画面のHTMLデータを生成する。
The flowchart of FIG. 5A will be described. This process is started by receiving a request for obtaining a key pair / digital certificate list. First, in S501, the
図7〜図8、図10〜図11、図13〜図14、図17〜図18は、PC103で表示されるRUIのWebページ画面の例を示す図である。図5のS503では、図7Aに示すWebページ画面のHTMLデータが生成されるものとし、これはPC103のWebブラウザによって表示される。これにより、PC103で複合機100が保持している鍵ペア・電子証明書リストが確認可能となる。
7 to 8, FIGS. 10 to 11, 13 to 14, and 17 to 18 are diagrams showing an example of a Web page screen of the RUI displayed on the
図7Aのリストに表示される電子証明書の情報は、証明書の名前1011、用途1012、発行者1013、有効期限終了日1014、証明書の詳細1015を含んでいる。名前1011は、鍵ペア・電子証明書の発行の際に、複合機100の管理者等の操作者が任意に付与した文字列である。用途1012は、その鍵ペア・電子証明書がTLS、IPSEC、IEEE802.1Xの何れかの用途で使用される事を示す設定値である。発行者1013は、電子証明書を発行した認証局の識別名(DN:Distinguished Name)である。有効期限終了日1014は、その電子証明書の有効期限が終了する日の情報である。詳細1015は、電子証明書の詳細情報を表示させるためのアイコンである。
The digital certificate information displayed in the list of FIG. 7A includes the name of the certificate 1011, the use 1012, the
そしてS504に進みCPU201は、S503で生成したHTMLデータをS501への応答としてPC103へ送信して、この処理を終了する。こうして図4のS403が実行される。
なお、図4のシーケンス図には図示しないが、複合機100の管理者が、PC103に表示された図7Aの詳細1015のアイコンをクリックすると、該当の電子証明書の詳細情報の表示要求がPC103から複合機100へ送信される。その表示要求を受信した複合機100は、その電子証明書の詳細情報を取得し、その取得した情報に基づく証明書の詳細情報のHTMLデータを生成し、生成したデータを、応答としてPC103へ送信する。
これにより例えば図8に示すような、電子証明書の詳細情報がPC103のWebブラウザにより表示される。図8は、PC103で表示される電子証明書の詳細情報の一例を示す図である。
Then, the process proceeds to S504, and the
Although not shown in the sequence diagram of FIG. 4, when the administrator of the
As a result, the detailed information of the digital certificate, as shown in FIG. 8, is displayed by the Web browser of the
図5(B)は、複合機100が、この詳細情報を表示する要求をPC103から受信したときの処理を説明するフローチャートである。なお、この処理は、CPU201がRAM203に展開したプログラムを実行することにより達成される。
まずS511でCPU201は、PC103から電子証明書の詳細情報の取得要求を受信する。次にS512に進みCPU201は、鍵ペア・証明書管理部307が管理している図6(A)に示す鍵ペア・電子証明書の詳細情報を取得する。次にS513に進みCPU201は、S512で取得した鍵ペア・電子証明書の詳細情報を使用してWebページ画面のHTMLデータを生成する。次にS514に進みCPU201は、それをPC103に送信する。
図8は、電子証明書の詳細情報の表示画面の一例を示す図である。この画面はPC103でRUIとしてWebページ形式で表示される。
FIG. 5B is a flowchart illustrating a process when the
First, in S511, the
FIG. 8 is a diagram showing an example of a display screen for detailed information of the digital certificate. This screen is displayed as a RUI on the
再び図4の説明に戻り、S403で複合機100は、S402で生成した図7Aで示すWebページ画面のHTMLデータを、応答としてPC103へ送信する。
なお、上述の図4のS401〜S403及び、図5のS501〜S504、S511〜S514で示す処理は、鍵ペア・電子証明書リストの表示要求を受信した複合機100における電子証明書情報の表示処理に関する制御処理を示している。
そしてS404で複合機100は、PC103から、SCEPサーバの接続設定画面の表示要求を受信する。実施形態1では、複合機100の管理者は認証局・登録局102との接続設定を行うために、図7Aの接続設定1002をクリックすることで、接続設定画面の表示要求を複合機100に対して送信するものとする。
Returning to the description of FIG. 4 again, in S403, the
The processes shown in S401 to S403 of FIG. 4 and S501 to S504 and S511 to S514 of FIG. 5 are for displaying the electronic certificate information in the
Then, in S404, the
次にS404−2で複合機100は、接続設定を示すWebページ画面の生成処理を実行する。
図9(A)は、複合機100による、図4のS404−2の認証局・登録局102への接続設定画面の生成処理を説明するフローチャートである。なお、この処理は、CPU201がRAM203に展開したプログラムを実行することにより達成される。
まずS611でCPU201は、PC103から接続設定の設定要求を受信する。
次にS612に進みCPU201は、HDD204から証明書更新予約設定を取得する。
次にS613でCPU201は、証明書更新予約設定は有効であるかを判定する。
CPU201はS613において、証明書更新予約設定は無効であると判定した場合、S614に進む。S614でCPU201は、例えば図7Bの接続設定を受け付けるWebページ画面のHTMLデータを生成する。そしてS616に進みCPU201は、S614で生成したHTMLデータをS611の応答として送信して、この処理を終了する。
Next, in S404-2, the
FIG. 9A is a flowchart illustrating the process of generating the connection setting screen to the certificate authority /
First, in S611, the
Next, the process proceeds to S612, and the
Next, in S613, the
If the
図7Bに示す接続設定画面は、SCEPサーバのホスト名及び接続先ポート番号を入力するサーバ名1016、ポート番号1017の入力フィールドと、入力した設定値の設定を指示する設定ボタン1018を含んでいる。
CPU201はS613において、証明書更新予約設定は有効であると判定した場合、S615に進む。S615でCPU201は、例えば図7Cの接続設定を禁止する旨を表示するWebページ画面のHTMLデータを生成する。そしてS616に進みCPU201は、S615で生成したHTMLデータをS611の応答として送信して、この処理を終了する。
このS612〜S615までの処理によって、複合機100は証明書更新予約設定が無効な場合にのみ電子証明書の自動更新機能に必要な設定である通信設定を変更可能としてる。証明書更新予約設定が有効な場合に設定を変更させないことで、電子証明書の自動更新機能によって証明書取得が実行された際に、不正な通信先が設定されて、証明書の更新が失敗することを防ぐことが可能である。
The connection setting screen shown in FIG. 7B includes a
When the
By the processing of S612 to S615, the
次にS405で複合機100は、S404の応答として、図7B又は図7Cに示す既定のSCEPサーバの接続設定画面のHTMLデータを応答としてPC103に送信する。
次にS406で複合機100は、PC103から接続設定の設定指示要求を受信する。複合機100の管理者は、PC103から図7Bのサーバ名1016、ポート番号1017へ入力を行い、設定ボタン1018をクリックすることで複合機100に対して、この設定指示要求を送信するものとする。
次にS407で複合機100は、接続設定の設定処理と設定結果を示すWebページ画面の生成処理を実行する。そしてS408で複合機100は、S407で生成した図10(A)に示すWebページ画面のHTMLデータを、応答としてPC103へ送信する。
Next, in S405, the
Next, in S406, the
Next, in S407, the
図9(B)は、複合機100による、図4のS407の認証局・登録局102への接続設定の設定処理を説明するフローチャートである。なお、この処理は、CPU201がRAM203に展開したプログラムを実行することにより達成される。
FIG. 9B is a flowchart illustrating a process of setting the connection setting to the certificate authority /
まずS621でCPU201は、PC103から接続設定の設定要求を受信する。次にS622に進みCPU201は、その接続設定の設定要求に含まれるホスト名と、ポート番号の設定値、及び証明書更新予約設定を取得する。
次にS623でCPU201は、証明書更新予約設定が有効であるかを判定する。
CPU201はS623において、証明書更新予約設定は無効であると判定した場合、S624に進む。S624でCPU201は、HDD204に接続設定の設定要求に含まれるホスト名と、ポート番号の設定値を保存する。そしてCPU201は、S625に移行する。
S625でCPU201は、例えば図10(A)のWebページ画面のHTMLデータを生成する。そしてS627に進みCPU201は、S625で生成したHTMLデータをS621の応答として送信して、この処理を終了する。
First, in S621, the
Next, in S623, the
If the
In S625, the
CPU201はS623において、証明書更新予約設定は有効であると判定した場合、S626に進む。S626でCPU201は、例えば図7Cの接続設定を禁止する旨を表示するWebページ画面のHTMLデータを生成する。そしてS616に進みCPU201は、S626で生成したHTMLデータをS621の応答として送信して、この処理を終了する。
When the
このS622〜S626までの処理によって、複合機100は、証明書更新予約設定が無効な場合にのみ電子証明書の自動更新機能に必要な設定である通信設定を反映させることを可能としている。証明書更新予約設定が有効な場合に設定を反映させないことで、電子証明書の自動更新機能によって証明書取得が実行された際に、不正な通信先が設定されることを防ぐことが可能である。
By the processing of S622 to S626, the
図9(A)S613、S615までの処理と図9(B)S623、S626までの処理の違いとしては、前者は設定を行う画面上で設定を受け付けず、後者は設定反映を実行された際に反映を受け付けない処理となる。複合機100を使うユーザが1名であれば 図9(A)S613、S615の処理で設定変更を受け付けないようにすることができる。しかし図4のS405又はS406までは証明書更新予約設定が無効な状態であっても、S407〜S622の間に別ユーザが別のPCからRUIにログインして証明書更新予約設定を有効にした場合、設定が反映されてしまう場合が存在する。そのために図9(B)S622で設定値の取得を行ったあと、S623、S626の処理によって証明書更新予約設定が有効な場合にはS626に進み、設定値の保存を実行することなく、設定値を反映させないという制御を行う。
The difference between the processing up to S613 and S615 in FIG. 9A and the processing up to S623 and S626 in FIG. 9B is that the former does not accept the setting on the setting screen and the latter reflects the setting. It is a process that does not accept reflection in. If there is only one user who uses the
S407の処理の後にこうしてS408に移行する。
これによりPC103では、図10(A)に示すように、設定が反映されたことを示す文字列1101が表示される。
上述のS406〜S408及びS600〜604で示す処理が、複合機100における接続設定の処理に関する制御である。
次に図4のS409で複合機100は、PC103のブラウザから送信されるCA証明書の取得画面の表示要求を受信する。実施形態1では、複合機100の管理者が、認証局・登録局102が発行したCA証明書の取得を行うため、図7AのCA証明書取得1003をクリックすることでCA証明書の取得画面の表示要求を複合機100に送信するものとする。
これによりS410で複合機100は、S409の応答として、図10(B)に示す既定のCA証明書の取得画面のHTMLデータを応答として送信する。
図10(B)の接続設定画面は、CA証明書の取得を指示する実行ボタン1102を含んでいる。
After the processing of S407, it shifts to S408 in this way.
As a result, as shown in FIG. 10A, the
The processes shown in S406 to S408 and S600 to 604 described above are controls related to the process of connection setting in the
Next, in S409 of FIG. 4, the
As a result, in S410, the
The connection setting screen of FIG. 10B includes an
次にS411で複合機100は、図10(B)の実行ボタン1102がクリックされてPC103のブラウザから送信されるCA証明書の取得要求を受信する。実施形態1では、複合機100の管理者が図10(B)の実行ボタン1102をクリックすることで、CA証明書の取得要求を複合機100に送信するものとする。
次にS412で複合機100は、CA証明書の取得要求データの生成処理を実行する。そしてS413に進み複合機100は、S412で生成したCA証明書の取得要求データを、S407で設定した情報に基づいて、SCEPサーバである認証局・登録局102に対して送信する。そしてS414に進み複合機100は、認証局・登録局102から送信されるCA証明書の取得要求に対する応答を受信する。これによりS415に進み複合機100は、受信したCA証明書の取得応答を解析し、その応答に含まれるCA証明書を取得し、その取得したCA証明書を複合機100が信頼するCA証明書として登録する処理を行う。そしてS416に進み複合機100は、S415で生成した図11(A)又は図11(B)に示すWebページ画面のHTMLデータをPC103へ送信する。図11(A)は、CA証明書の取得に成功して、CA証明書として登録したときに表示される画面例を示す。一方、図11(B)は、CA証明書の取得に失敗したときに表示される画面例を示す。
Next, in S411, the
Next, in S412, the
図12は、複合機100による、図4のS412からS416に示すCA証明書取得・登録処理を説明するフローチャートである。なお、この処理は、CPU201がRAM203に展開したプログラムを実行することにより達成される。
先ずS701でCPU201は、PC103からCA証明書の取得要求を受信する。次にS702に進みCPU201は、S407で取得した認証局・登録局102への接続設定の情報を基にCA証明書の取得要求のメッセージを生成する。以下は、生成される取得要求のメッセージの例である。実施形態1では、通信プロトコルとしてSCEPを利用しており、このプロトコルを利用するためのリクエストメッセージとなる。
xxxxxxx/yyyyy?operation=GetCAXyz&message=CAIdentifier
FIG. 12 is a flowchart illustrating the CA certificate acquisition / registration process shown in S412 to S416 of FIG. 4 by the
First, in S701, the
xxxxxx / yyyy? operation = GetCAXyz & message = CAIdentifer
次にS703に進みCPU201は、図4のS407で取得した認証局・登録局102への接続設定に基づき、SCEPサーバである認証局・登録局102に対してTCP/IPプロトコルでの接続を行う。次にS704に進みCPU201は、S703における接続が成功したかを判定する。CPU201は、成功した場合はS705へ進み、失敗した場合はS714へ進む。
Next, the process proceeds to S703, and the
S705でCPU201は、S702で生成したCA証明書の取得メッセージをHTTPプロトコルのGET又はPOSTメソッドで認証局・登録局102に送信する。次にS706に進みCPU201は、S704における接続が成功したかを判定する。CPU201は、成功した場合はS707へ進み、失敗した場合はS714へ進む。S707でCPU201は、CA証明書の取得要求に対する、認証局・登録局102からの応答データを受信する。そしてS708に進みCPU201は、S707における応答データの受信が成功したかを判定する。CPU201は、成功した場合はS709へ進み、失敗した場合はS714へ進む。S709でCPU201は、S708で受信した応答データを解析し、その応答データに含まれるCA証明書のデータを取得する。この応答データの解析処理とCA証明書の取得処理は、暗号化処理部306によって行われる。
なお、応答データは、X.509(RFC5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile)形式のバイナリデータとする。但し、例えばPKCS#7(RFC5652: Cryptographic Message Syntax)形式のデータが応答として送信されてもよく、データ形式については限定しない。
In S705, the
The response data is X.I. Binary data in the form of 509 (RFC5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile). However, for example, PKCS # 7 (RFC5652: Cryptographic Message Syntax) format data may be transmitted as a response, and the data format is not limited.
次にS710に進みCPU201は、S709におけるCA証明書の取得に成功したかを判定する。CPU201は、成功した場合はS711へ進み、失敗した場合はS714へ進む。S711でCPU201は、S709で取得したCA証明書を、複合機100が信頼するCA証明書として登録する。このときCPU201は、取得したCA証明書をRAM203に保持すると共に、鍵ペア・証明書管理部307によってHDD204の複合機100が信頼するCA証明書を格納する所定のディレクトリに保存する。そしてS712に進みCPU201は、S710におけるCA証明書の登録処理が成功したか否かを判定する。CPU201は、成功したと判定した場合はS713へ進み、失敗した場合はS714へ進む。
Next, the process proceeds to S710, and the
S713でCPU201は、CA証明書の取得成功の際に図11(A)の1201に表示するCA証明書の拇印(SHA1アルゴリズムによるハッシュ値)を生成する。この拇印の生成は、暗号化処理部306によって実行される。そしてS715に進みCPU201は、S703からS714までの処理結果から図11(A)、図11(A)のCA証明書の取得結果の表示データのHTMLデータを生成する。そしてS716に進みCPU201は、S715で生成したHTMLデータをS701の応答としてPC103に送信して、この処理を終了する。そして図4のS417に移行する。実施形態1では、CA証明書の取得結果に応じて図11(A)の文字列1201を表示する。又はS714でエラー処理を実行した場合は、図11(B)の文字列1202を表示する。次に図4の説明に戻る。
In S713, the
S417で複合機100は、PC103のブラウザから送信される証明書の発行要求画面の表示要求を受信する。実施形態1では、複合機100の管理者が、図7Aの証明書発行要求1004をクリックすることで、認証局・登録局102に対する証明書の発行要求・取得を行うものとする。
次にS418で複合機100は、S417の応答として、図13(A)に示す既定の証明書の発行要求画面のHTMLデータを応答としてPC103に送信する。これによりPC103は、図13(A)に示す画面を表示する表示制御を行う。
In S417, the
Next, in S418, the
図13(A)の証明書の発行要求画面は、証明書の名前1301、生成する鍵ペアの鍵長を設定するアルゴリズムと対応する鍵の長さ1302、発行先情報の入力1303を含んでいる。また証明書の発行要求画面は、認証局・登録局102から送信される証明書の発行要求の応答に付与される署名を検証するか否かの署名検証1304、発行された証明書の用途設定を行うための鍵の用途1305、証明書発行要求に含めるパスワード1306、証明書の発行要求を実行する実行ボタン1307を含んでいる。用途1305はチェックボックスになっており、一つの鍵に対して複数の用途を設定できることを示している。
The certificate issuance request screen of FIG. 13A includes the
次にS419で複合機100は、図13(A)の画面の実行ボタン1307がクリックされてPC103のブラウザから送信される1301〜1306までの各入力・設定情報を含む証明書の発行要求を受信する。実施形態1では、複合機100の管理者が図13(A)の1301〜1306までの各入力・設定を行い、実行ボタン1307をクリックすることで、PC103から証明書の発行要求を送信する。
次にS420で複合機100は、証明書の発行要求データの生成処理を実行する。そしてS421で複合機100は、S420で生成した証明書の発行要求データを、S407で設定した情報に基づきSCEPサーバである認証局・登録局102に対して送信する。そしてS422で複合機100は、認証局・登録局102から送信される証明書の発行要求に対する応答を受信する。次にS423で複合機100は、S422で受信した証明書の発行要求に対する応答の解析(設定に応じた署名検証の実行、応答に含まれる証明書の取得、取得した証明書を指定された用途に設定)処理を行う。そして、証明書の発行要求の結果を示すWebページ画面の生成処理を実行する。
Next, in S419, the
Next, in S420, the
ここで証明書の発行・取得が成功した場合は、S423の処理によって、電子証明書データの保存、用途設定が行われる。ここで用途設定とは、電子証明書を使う通信機能のことであり、実施形態1では、TLS、IPSEC、IEEE802.1Xといった暗号化通信が設定可能となる。また複合機100は、複数の電子証明書を持つことが可能であり、かつ、その電子証明書毎に用途設定を行うものとする。例えば複合機100がWebサーバとしてTLS通信を行うサーバサービスを提供する際に使う電子証明書と、複合機100がIEEE802.1Xを使ったクライアント通信を行うための電子証明書が異なる場合にそれぞれが設定可能となる。但し、1つの電子証明書を全ての通信の用途に自動的に適用してもよい。
If the issuance / acquisition of the certificate is successful, the digital certificate data is saved and the usage is set by the process of S423. Here, the usage setting is a communication function using an electronic certificate, and in the first embodiment, encrypted communication such as TLS, IPsec, and IEEE 802.1X can be set. Further, the
そしてS424で複合機100は、S423で生成した図13(B)又は図14(A)に示すWebページ画面のHTMLデータをPC103へ送信する。なお、証明書の発行要求の結果に応じて図13(B)の1308、図14(A)の1401に示すように設定結果の文字列が表示される。図13(B)は、証明書の発行及び取得に成功した場合の画面例を示す。図14(A)は、証明書の発行及び取得に失敗した場合の画面例を示す。
こうして証明書の発行・取得が成功した場合には、S423の処理によって、電子証明書データの保存、用途設定が行われる。通信制御部303は、TLS、IPSEC、IEEE802.1Xの暗号化通信が使用する電子証明書のデータを複合機100の起動時に取得するため、用途変更された場合は、複合機100の再起動が必要になる。
Then, in S424, the
When the issuance / acquisition of the certificate is successful in this way, the digital certificate data is saved and the usage is set by the process of S423. Since the
図15は、複合機100による、図4のS419からS424までの証明書の発行要求・取得処理を説明するフローチャートである。なお、この処理は、CPU201がRAM203に展開したプログラムを実行することにより達成される。
まずS801でCPU201は、PC103から証明書の発行要求を受信する。次にS802に進みCPU201は、S801で受信した証明書の発行要求に含まれる証明書の名前1301、鍵の長さ1302、発行先情報の入力1303、署名検証1304、鍵の用途1305の情報を取得する。次にS803に進みCPU201は、図4のS412からS415で取得したCA証明書を取得する。そしてS804に進みCPU201は、S802で取得した名前1301、鍵の長さ1302の情報に基づく鍵ペアの生成処理と、発行先情報の入力1303、パスワード1306の情報に基づくPKSC#10(RFC2986: PKCS #10: Certification Request Syntax Specification)形式の証明書署名要求(CSR:Certificate Signing Request)データを暗号化処理部306によって生成する。
FIG. 15 is a flowchart illustrating a certificate issuance request / acquisition process from S419 to S424 of FIG. 4 by the
First, in S801, the
次にS805に進みCPU201は、S804における鍵ペア・証明書の署名要求の生成が成功したかを判定する。CPU201は、成功したと判定した場合はS806へ進み、失敗した場合はS823へ進む。S806でCPU201は、証明書の発行要求データを生成する。このS806で生成される取得要求データは、図4のS407で取得した認証局・登録局102への接続設定に基づき、SCEPで定義されているPKCS#7形式のデータとなる。
Next, the process proceeds to S805, and the
次にS808に進みCPU201は、図4のS407で取得した認証局・登録局102への接続設定に基づきSCEPサーバである認証局・登録局102にTCP/IPプロトコルでの接続を行う。次にS809に進みCPU201は、S808における接続が成功したかを判定する。CPU201は、成功した場合はS810へ進み、失敗した場合はS823へ進む。S810でCPU201は、S806で生成した証明書の発行要求データをHTTPプロトコルのGET又はPOSTメソッドで送信する。そしてS811でCPU201は、S810における送信が成功したかを判定する。CPU201は、成功した場合はS812へ進み、失敗した場合はS823へ進む。S812でCPU201は、認証局・登録局102から、証明書の発行要求に対する応答データを受信する。SCEPで定義されている応答データは、PKCS#7形式のデータが応答として送信される。
Next, the process proceeds to S808, and the
次にS813に進みCPU201は、S812における応答データの受信に成功したかを判定する。CPU201は、成功した場合はS814へ進み、失敗した場合はS823へ進む。S814でCPU201は、S802で取得した署名検証1304の設定に基づき、署名検証する設定かどうか判定する。CPU201は、署名検証する設定の場合はS815へ進み、署名検証しない設定の場合はS817へ進む。S815でCPU201は、S812で受信したデータに付与されている署名データを、S803において取得したCA証明書に含まれる公開鍵を用いて検証する。そしてS816に進みCPU201は、S815での署名検証の結果が成功したかどうか判定する。CPU201は、成功した場合はS817へ進み、失敗した場合はS823へ進む。
Next, the process proceeds to S813, and the
S817でCPU201は、S812で受信したデータを解析し、その応答データに含まれる証明書のデータを取得する。このとき暗号化処理部306によって応答データの解析と証明書の取得処理を行う。次にS818に進みCPU201は、S817における証明書の取得に成功したかを判定する。CPU201は、成功した場合はS819へ進み、失敗した場合はS823へ進む。S819でCPU201は、S818で取得した証明書を、S804で生成した鍵ペアに対応する電子証明書として登録する。このときCPU201は、S804で生成した公開鍵ペア、及び取得した電子証明書を、鍵ペア・証明書管理部307によってHDD204の鍵ペア・電子証明書を格納する所定のディレクトリに保存する。このとき鍵ペア・証明書管理部307は、図6(B)に示すように鍵ペア・証明書の詳細情報のリストにS804で生成した公開鍵ペア及び取得した電子証明書の情報を追加する。図6(B)では、新たに鍵ペア・証明書Xyz4が追加されている。
In S817, the
次にS820に進みCPU201は、S819におけるCA証明書の登録処理が成功したかを判定する。CPU201は、成功した場合はS821へ進み、失敗した場合はS823へ進む。S821でCPU201は、S802で取得した鍵の用途1305の情報に基づき、証明書の用途設定を行う。このとき鍵ペア・証明書管理部307は、例えば図6(C)に示したように鍵ペア・証明書の詳細情報のリストにある、用途の情報を更新する。図6(C)では、TLSで使用する鍵ペア・証明書が、Xyz1からXyz4に変更されている。
Next, the process proceeds to S820, and the
次にS824に進みCPU201は、S801からS823までの処理結果に応じた図13(B)に示した証明書の発行要求結果のHTMLデータを生成する。そしてS825でCPU201は、S824で生成したHTMLデータをS801の証明書の発行要求に対する応答としてPC103に送信して、この処理を終了する。そして図4のS425に移行する。
Next, the process proceeds to S824, and the
上述のS419〜S424及びS801〜S825の処理が、複合機100における電子証明書の発行要求と受信処理、通信用途の設定に関する制御となる。この実施形態1では、これらの発行要求と受信処理、通信用途の設定までの処理を総称して「電子証明書の自動更新機能」と称する。
この電子証明書の自動更新機能によって、複合機100はネットワークを介して電子証明書の発行要求及び受信処理を自動で行い、更に、受信した電子証明書の用途設定も行うことができ、ユーザの作業の手間を削減することが可能となる。図4の説明に戻る。
The above-mentioned processes S419 to S424 and S801 to S825 control the issuance request and reception process of the digital certificate in the
With this automatic renewal function of the digital certificate, the
S425で複合機100は、複合機100の再起動のリクエストを受信する。実施形態1では、複合機100の管理者が、複合機100の再起動を行うため、図13(B)の再起動ボタン1309をクリックするものとする。
次にS426に進み複合機100は、S425の応答として、図14(B)に示す既定の再起動実行画面のHTMLデータを応答として送信する。次にS427に進み複合機100は、複合機100の再起動処理を実行する。
In S425, the
Next, the process proceeds to S426, and the
複合機100は、受信した電子証明書に対してIEEE802.1X等の通信の用途を設定した際、再起動を行わなければ反映できないことを想定している。これは例えばIEEE802.1X等の電子証明書は、複合機100の起動時にRAM203に展開されて使用され続けるため、HDD204に保存される受信した電子証明書に置き換わらない場合があるためである。但し、もしも複合機100が再起動を必要せずに通信の用途で使われる電子証明書を切り替えることが可能であれば、再起動は不要でもよい。例えば、TLSの用途に設定した場合は、再起動を不要にすることとしてもよい。例えば、予め、複数の用途に対してそれぞれ再起動の要否を設定しておき、複合機100は、その再起動要否情報に応じて再起動の有無を自動的に決定してもよい。
It is assumed that the
図16は、複合機100による、図4のS424からS427までの複合機100の再起動に関する処理を説明するフローチャートである。なお、この処理は、CPU201がRAM203に展開したプログラムを実行することにより達成される。
まずS901でCPU201は、PC103から複合機100の再起動要求を受信する。次にS902に進みCPU201は、図14(B)に示した既定の複合機100の再起動要求のHTMLデータを、S501への応答としてPC103に送信する。次にS903に進みCPU201は、デバイス制御部310へ再起動処理の開始を指示して、この処理を終了する。
以上の一連の動作によって、再起動した後の複合機100は、認証局・登録局102から取得した電子証明書が利用される。
FIG. 16 is a flowchart illustrating a process related to restarting the
First, in S901, the
By the above series of operations, the
図17は、証明書の発行・取得が成功した場合に、再びS401の処理によって鍵ペア・電子証明書リストの表示を行った場合の画面例を示す図である。認証局・登録局102が発行した証明書(Xyz4)の情報1501が追加されている。
図18は、複合機100が有する証明書更新予約設定画面の一例を示す図である。他の画面と同様にWebページ型のRUIによって表示される。この証明書の更新予約の設定画面を介して証明書の更新日を設定できる。
本実施形態の証明書更新予約設定画面、自動更新設定(1801)を有する。この自動更新設定(1801)は自動更新設定の有効化設定(18011)、取得要求開始日時(18012)、取得要求開始時間(18013)が設定可能となる。現在日時が、この取得要求開始日時(18012)、取得要求開始時間(18013)の日時となったときに、証明書の自動更新機能が実行される。これらの証明書更新予約設定が更新されると、CPU201が、それをHDD204に保存する。
FIG. 17 is a diagram showing a screen example when the key pair / digital certificate list is displayed again by the process of S401 when the issuance / acquisition of the certificate is successful.
FIG. 18 is a diagram showing an example of a certificate renewal reservation setting screen included in the
It has a certificate renewal reservation setting screen and an automatic renewal setting (1801) of the present embodiment. The automatic update setting (1801) can be set to enable the automatic update setting (18011), the acquisition request start date and time (18012), and the acquisition request start time (18013). When the current date and time becomes the date and time of the acquisition request start date and time (18012) and the acquisition request start time (18013), the automatic certificate renewal function is executed. When these certificate renewal reservation settings are updated, the
また、図18は自動更新の対象となる証明書に利用する更新対象証明書使用先設定(1802)を有する。本実施例では使用先の通信機能例としてTLS(18021)、IEEE802.1X(18022)、IPSEC(18023)を選択可能としているが、これ以外の通信プロトコルを持つ通信機能でもよく、特に限定はしない。この更新対象証明書使用先設定において、複数選択がされている場合、その数分の証明書が自動更新される。図18は使用先の通信機能としてTLSとIEEE802.1Xが選択されている場合の例である。これらの更新対象証明書使用先設定が更新されると、CPU201が、それをHDD204に保存する。
Further, FIG. 18 has a renewal target certificate usage destination setting (1802) used for a certificate to be automatically renewed. In this embodiment, TLS (18021), IEEE 802.1X (18022), and IPsec (18023) can be selected as examples of communication functions to be used, but communication functions having other communication protocols are also acceptable and are not particularly limited. .. If multiple selections are made in this renewal target certificate usage setting, the number of certificates is automatically renewed. FIG. 18 shows an example in which TLS and 802.1X are selected as the communication function of the destination. When these update target certificate usage destination settings are updated, the
更新対象証明書使用先設定において、複数の使用先が設定される場合、図18の更新周期対象設定1803が設定可能となる。更新周期対象設定1803は、選択領域の一例である。更新周期対象設定1803は「まとめて更新周期を設定する(18031)」と「使用先毎に更新周期を設定する(18032)」の選択肢を持つ。「まとめて更新周期を設定する」が設定された場合、更新対象証明書使用先設定で選択された各使用先において、同じ更新周期(18033)が設定される。「使用先毎に更新周期を設定する」が設定された場合、更新対象証明書使用先設定で選択された通信先それぞれに対して更新周期が設定される。図18ではTLS(18034)、IEEE802.1X(18035)においてそれぞれ個別の設定がなされたケースの例である。これらの設定値もCPU201が、それをHDD204に保存する。
また、本実施形態において、図18の証明書更新予約設定画面は「証明書の有効期限をもとに更新する設定(1804)」を有する。「使用先毎に更新周期を設定する」が有効かつ「証明書の有効期限をもとに更新する設定」が有効な場合、更新対象となる証明書の有効期限が取得され、現在日時と有効期限の差から更新周期が算出され、各使用先の更新周期(18034〜18036)に自動入力される。
When a plurality of usage destinations are set in the renewal target certificate usage destination setting, the renewal cycle target setting 1803 of FIG. 18 can be set. The update
Further, in the present embodiment, the certificate renewal reservation setting screen of FIG. 18 has "setting to renew based on the expiration date of the certificate (1804)". If "Set renewal cycle for each user" is valid and "Renewal based on certificate expiration date" is valid, the expiration date of the certificate to be renewed is acquired, and the current date and time and validity are obtained. The renewal cycle is calculated from the difference in deadlines, and is automatically input to the renewal cycle (18034 to 18036) of each user.
図19は、複合機100が、証明書更新予約設定を基に電子証明書の自動更新機能を実行するときの処理を説明するフローチャートである。本図においては複合機100に対して設定しているが、最初に複数の複合機を指定(複合機ごとに異なる時間設定も可)することで、複数の複合機に対して図19で入力できる指示を実行することもできる。その場合、図19の処理は、複数の複合機において並列で実行される。なお、この処理は、CPU201がRAM203に展開したプログラムを実行することにより達成される。
先ずS1901でCPU201は、HDD204から図18で設定した証明書更新予約設定を取得する。この証明書更新予約設定の設定時の処理の流れは後述の図20で説明する。
FIG. 19 is a flowchart illustrating a process when the
First, in S1901, the
次にS1902に進みCPU201は、現在利用されている電子証明書の情報を取得する。この情報は図6で保持している情報等が代表的な例である。次にS1903に進みCPU201は、複合機100が管理している現在の日時を取得する。そしてS1904に進みCPU201は、証明書更新予約設定と電子証明書の情報とを比較し、現在利用している電子証明書の更新が必要かどうか判定する。ここで電子証明書の更新が必要ではないと判定した場合、CPU201は、S1901に戻る。
一方、電子証明書の更新が必要であると判定した場合、CPU201は、S1905に進み、図15の「証明書発行要求処理」の制御に移行する。そして図15の処理が完了するとCPU201は、S1906に移行する。S1906では、CPU201は、複合機が設定を反映するために再起動するかを判定する。CPU201は、不要と判定した場合は本処理を終了する。S1906で必要と判定した場合、S1907に移行しCPU201は、再起動と設定反映処理を行う。そしてCPU201は、本処理を終了する。
Next, the process proceeds to S1902, and the
On the other hand, when it is determined that the digital certificate needs to be renewed, the
図20は図18の証明書更新予約設定の設定の処理の流れを示すフローチャートである。なお、この処理は、CPU201がRAM203に展開したプログラムを実行することにより達成される。
まずS2001でCPU201は、PC103から複合機100の証明書更新予約設定の設定要求を受信する。次にS2002に進みCPU201は、HDD204から現在の設定値を取得した上で図18の画面を表示し、PC103からの入力を受け付ける。
S2003でCPU201は、自動更新設定18011が有効であるかを判定する。S2003において自動更新設定が有効ではないと判定した場合、CPU201は、本処理を終了する。
S2003において自動更新設定が有効であると判定した場合、CPU201は、S2004に移行し、HDD204から証明書更新対象使用先設定18021〜18023の設定値を取得する。
FIG. 20 is a flowchart showing a processing flow of setting the certificate renewal reservation setting of FIG. This process is achieved by executing the program expanded in the
First, in S2001, the
In S2003, the
When it is determined in S2003 that the automatic renewal setting is valid, the
次にS2005においてCPU201は、更新対象の証明書は複数あるか、すなわち証明書更新対象使用先設定18021〜18023において2つ以上選択されているかを判定する。
S2005において更新対象の証明書は1つであると判定した場合、S2008に移行し、CPU201は、対象の証明書に開始日時である18012、18013の設定を自動更新設定として設定する。
S2005においてCPU201は更新対象の証明書は複数あると判定した場合、CPU201は、HDD204から更新周期対象設定1803を取得する。そしてCPU201は、S2007に移行する。
Next, in S2005, the
When it is determined in S2005 that there is only one certificate to be renewed, the process proceeds to S2008, and the
When the
S2007において、CPU201は、使用先毎の更新設定は有効かを判定する。
S2007で使用先毎の更新設定が無効である、すなわち図18の18031の設定であると判定した場合、CPU201は、S2008に移行する。
S2007で使用先毎の更新設定が有効である、すなわち図18の18032の設定であると判定した場合、CPU201は、図18の18034〜18306の設定を取得し、使用先毎に証明書自動更新の更新周期を設定する。
そしてCPU201は、本処理を終了する。
In S2007, the
When it is determined in S2007 that the update setting for each use destination is invalid, that is, the setting is 18031 in FIG. 18, the
When it is determined in S2007 that the renewal setting for each user is valid, that is, the setting in 18032 in FIG. 18 is determined, the
Then, the
以上が、電子証明書の自動更新機能を有する複合機において、証明書の自動更新機能が有効時に、証明書の通信機能の使用先に応じて、更新の周期を変更する処理である。このS2003〜2009の処理によって必要な更新周期で証明書の自動更新を行うことができ、証明書の不要な更新処理を減らすことが可能となる。 The above is the process of changing the renewal cycle according to the usage destination of the communication function of the certificate when the automatic certificate renewal function is enabled in the multifunction device having the automatic renewal function of the digital certificate. By the processing of S2003 to 2009, the certificate can be automatically renewed at a required renewal cycle, and unnecessary renewal processing of the certificate can be reduced.
<その他の実施形態>
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給する。そして、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
<Other Embodiments>
The present invention supplies a system or device with a program that realizes one or more of the functions of the above-described embodiment via a network or a storage medium. It can also be realized by a process in which one or more processors in the computer of the system or apparatus reads and executes a program. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.
以上、本発明の実施形態の一例について詳述したが、本発明は係る特定の実施形態に限定されるものではない。 Although an example of the embodiment of the present invention has been described in detail above, the present invention is not limited to the specific embodiment.
以上、上述した各実施形態によれば証明書の自動更新機能が有効時に、証明書の不要な更新処理を減らすことができる。 As described above, according to each of the above-described embodiments, unnecessary renewal processing of the certificate can be reduced when the automatic certificate renewal function is enabled.
100 複合機
103 PC
201 CPU
100
201 CPU
Claims (10)
前記選択領域で選択された更新周期に基づき前記複数の通信機能ごとの証明書を更新する更新手段と、
を有することを特徴とする情報処理装置。 A display means that displays a screen that includes a selection area for selecting the certificate renewal cycle for each of the multiple communication functions that use the certificate.
An renewal means for renewing the certificate for each of the plurality of communication functions based on the renewal cycle selected in the selected area, and
An information processing device characterized by having.
証明書を利用する複数の通信機能ごとに証明書の更新周期を選択する選択領域を含む画面を表示する表示工程と、
前記選択領域で選択された更新周期に基づき前記複数の通信機能ごとの証明書を更新する更新工程と、
を含むことを特徴とする情報処理方法。 It is an information processing method executed by an information processing device.
A display process that displays a screen that includes a selection area for selecting the certificate renewal cycle for each of the multiple communication functions that use the certificate.
The renewal process of renewing the certificate for each of the plurality of communication functions based on the renewal cycle selected in the selected area, and
An information processing method characterized by including.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019211453A JP2021083042A (en) | 2019-11-22 | 2019-11-22 | Information processing device, information processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019211453A JP2021083042A (en) | 2019-11-22 | 2019-11-22 | Information processing device, information processing method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2021083042A true JP2021083042A (en) | 2021-05-27 |
Family
ID=75965451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019211453A Pending JP2021083042A (en) | 2019-11-22 | 2019-11-22 | Information processing device, information processing method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2021083042A (en) |
-
2019
- 2019-11-22 JP JP2019211453A patent/JP2021083042A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7256847B2 (en) | Information processing device and its control method and program | |
JP7058930B2 (en) | Information processing device, control method of information processing device, program, and storage medium | |
JP7418131B2 (en) | Information processing device, control method for information processing device, and program | |
JP6278651B2 (en) | Network system, management server system, control method and program | |
JP2022179719A (en) | Information processing device, control method for the same, and program | |
JP2023078380A (en) | Information processing apparatus, control method for information processing apparatus, and program | |
JP7409618B2 (en) | Information processing device and its control method and program | |
JP2021083042A (en) | Information processing device, information processing method, and program | |
JP5729057B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, AND PROGRAM | |
JP2021083002A (en) | Information processing device, information processing method, and program | |
JP2021082071A (en) | Information processing device, control method thereof, and program | |
JP2019022154A (en) | Information processing device, control method thereof, and program |