JP7187209B2 - 情報処理装置、その制御方法とそのプログラム - Google Patents

情報処理装置、その制御方法とそのプログラム Download PDF

Info

Publication number
JP7187209B2
JP7187209B2 JP2018149434A JP2018149434A JP7187209B2 JP 7187209 B2 JP7187209 B2 JP 7187209B2 JP 2018149434 A JP2018149434 A JP 2018149434A JP 2018149434 A JP2018149434 A JP 2018149434A JP 7187209 B2 JP7187209 B2 JP 7187209B2
Authority
JP
Japan
Prior art keywords
digital certificate
information processing
processing device
communication interface
regeneration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018149434A
Other languages
English (en)
Other versions
JP2019220934A (ja
Inventor
直基 土樋
修一 閏間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Publication of JP2019220934A publication Critical patent/JP2019220934A/ja
Application granted granted Critical
Publication of JP7187209B2 publication Critical patent/JP7187209B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Description

本発明は、デジタル証明書を利用する情報処理装置、その制御方法とそのプログラムに関するものである。
ネットワークで接続した機器間の通信において、セキュリティを確保するために通信経路の暗号化はいまや必須の技術となっている。暗号化通信としてはOSI(Open System Interconnection)7階層におけるトランスポート層あるいはアプリケーション層で暗号化を行うSSL/TLS(Secure Socket Layer/Transport Layer Security)やネットワーク層で暗号化を行うIPSecなどが一般的である。
暗号化通信の目的としては通信経路の暗号化による盗聴対策の他に、メッセージ認証による通信経路の改ざん対策、そして証明書検証による通信相手のなりすまし対策があげられる。
証明書検証においては、通信相手が送信してきたデジタル証明書(以下証明書と呼ぶ)が権威のあるCA(Certificate Authority)局によって間接的にデジタル署名されたかを検証し、検証結果が正しいと確認された場合には証明書に記載された情報を信用することが可能となる。CA局は認証局とも称される。この際、証明書検証を行う機器は予めCA局からルートCA証明書の提供を受けいれることが前提である。送信された証明書は上位の中間証明書にひもづく秘密鍵で署名され、中間証明書も最終的にはルートCA証明書にひもづく秘密鍵で署名されている。よって、送信された証明書は中間証明書によって署名検証が行われ、最終的には中間証明書はルートCA証明書によって署名が確認できれば信頼の連鎖によって証明書が正しいことが検証可能となる。
例えば、ある機器からaaa.comというドメイン名(以下、DNS名)を持つドメインに接続する場合、接続先は中間者攻撃などの不正な通信経路のなりすましによって実際にはaaa.com以外に接続される危険性がある。しかし上記の証明書検証を行うことによって、検証に成功した場合は証明書に記載されている情報は信用できることが保証できる。
証明書に記載された情報のひとつとしてCN(コモン名)があり、この値がサーバー名(ドメイン名)を示している。証明書の情報としてCN=aaa.comという記載がある場合は、接続先のサーバーが間違いなくaaa.comであることを確認することができる。
証明書は説明したとおり最終的にはCA局により署名されるものであり、一度発行された後に修正することは通常ないが、証明書には有効期限の記載があり、有効期限内でのみ証明書を用いることができる。しかし証明書の有効期限切れが発生した場合の再作成には手間がかかるため、自動的に有効期限を更新した証明書を再生成する仕組みとしてSCEP(Simple Certificate Enrollment Protocol: IETF draft)がある。また、特許文献1において有効期限切れの証明書に対して自動的に更新を行う仕組みについて説明されている。
特開2008-9924号公報
情報処理装置において複数の通信インターフェイスを接続する場合には、複数の通信インターフェイス夫々に対しサーバー名を持つことになるため、それぞれのサーバー名に適用できるデジタル証明書が必須となる。
しかし、通信インターフェイスの構成を変えたタイミングでの証明書の設定はユーザにとって負荷となる。例えば、情報処理装置の台数が多い場合には設置コストの増大を招く虞もある。特許文献1に開示されている証明書の自動更新は有効期限切れに応じて更新する方法しか開示されておらず、上述した問題を解決できるような構成ではない。
本発明の情報処理装置は、第1の通信インターフェイスと第2の通信インターフェイスを備えることが可能な情報処理装置であって、通信が有効になっている前記第1の通信インターフェイスに加え、前記第2の通信インターフェイスによる通信も有効にする設定が行われたことで前記情報処理装置のネットワーク構成が変化することに応じて、前記第1の通信インターフェイスのドメイン名、および前記第2の通信インターフェイスのドメイン名の2つのドメイン名を少なくとも含むデジタル証明書を再生成する再生成手段と、前記再生成手段により再生成された前記デジタル証明書にデジタル署名が付加された署名済みデジタル証明書を取得する取得手段と、有している署名済みのデジタル証明書を、前記取得手段により取得された前記署名済みデジタル証明書に更新する更新手段と、前記再生成手段による前記デジタル証明書の再生成の条件を入力するための再生成の設定画面を提供する提供手段と、を有し、前記再生成の条件として、前記情報処理装置にて利用できる通信インターフェイスの数に変化したことがユーザにより設定された場合、前記再生成手段は、前記ネットワーク構成が変化していない場合であっても、前記情報処理装置にて利用できる通信インターフェイスの数に変化したことに基づいて、前記デジタル証明書を再生成することを特徴とする。
本発明によれば、情報処理装置のネットワーク構成に変化がある場合、デジタル証明書を自動的に再生成することにより再設定の手番を減らすことが可能となる。
本発明の実施の形態に関わる情報処理装置としてのMFP110を備える情報処理システムを概略的に示す概略図である。 MFP110内にあって動作するソフトウェアの構成図を示している。 構成設定部201が操作部114に表示するネットワーク構成情報の設定画面を表示するUI図である。 再生成設定手段202が操作部114に表示する証明書の再生成の設定画面を表示するUI図である。 ネットワーク構成検出部203の動作を説明するフローチャートである。 デジタル証明書再生成部204の動作を説明するフローチャートである。 管理者がログインしたときの警告画面である。 ネットワーク構成検出部203のもう1つの動作を説明するフローチャートである。 本発明の実施の形態に関わる情報処理システムのもう1つの概略図である。 デジタル証明書再生成部204のもう1つの動作を説明するフローチャートである。 デジタル証明書の一覧表示画面を表示するUI図である。
本願発明では、デジタル証明書のサブジェクト代替名(Subject Alternative Names)を利用する。例えば、CN=aaa.comの他にサブジェクト代替名としてDNS Name=bbb.aaa.comというサーバー名の記載を追加することでaaa.comとbbb.aaa.comの両方のサーバーを証明書で検証することが可能となる。サブジェクト代替名を利用することで、2つ以上のサーバーを検証することも可能である。
以下、本発明を実施するための形態について図面を用いて説明する。
図1は本発明の実施の形態に関わる情報処理装置としてのMFP110を備える情報処理システムを概略的に示す概略図である。MFP110はMFP(Multi-Function Peripheral)であり、画像形成装置の1つである。図1の情報処理システムは、MFP110、PC130、LAN120、ルーター160、インターネット150、クラウドサーバー140を備える。MFP110はLAN120を介してPC130とSCEPサービスサーバー170、及びルーター160を介してクラウドサーバー140に接続されている。
なお、SCEPサービスサーバー170はMFP110からの証明書の署名依頼を受けて認証局であるCA局から配布されるルートCA証明書で検証可能な署名をつけた証明書を発行する。SCEPでの証明書の署名の仕方についてはIETF draftで公開されている仕様にしたがって行われる。詳細な仕組みについては本発明の主題ではないため割愛する。
昨今のプリンタやMFPのような画像形成装置はサーバー機能を持っており、Webサーバー機能を有することによってPCのブラウザ経由で設定の確認や設定を行うことが可能となっている。この際、画像形成装置とPCの通信はセキュリティを確保するためにSSL/TLSを用いる場合があり、証明書検証を行うことで正しいサーバーであることを確認し、なりすましを防いでいる。
また、画像形成装置は、インターネット経由のサーバー、いわゆるクラウドに接続することによってサービス性向上を積極的に打ち出していることがあげられる。例えば、画像形成装置の利用状況を遠隔で取得してサービスマンの派遣コストを低下させることや、クラウド上にあげた印刷データを受信して遠隔の画像形成装置において印刷を行うなどの活用が考えられる。
しかし、顧客の環境によっては画像形成装置を運用する環境からインターネットに接続できない場合や、顧客の運用ポリシーとして画像形成装置から直接インターネットにアクセスすることを禁止する場合がある。このような条件においても画像形成装置がクラウドを活用するために、通常のネットワークとは異なるネットワークを設けて画像形成装置に接続する。この場合、画像形成装置に所定の通信インターフェイスが2口あり、片方をLAN環境、他方を例えば4Gなどの公衆網を介してインターネットに接続するといった運用になる。
このような運用において、外部からは機器は異なるインターフェイス毎に異なるサーバー機器あるいはクライアント機器として認識される。それぞれのサーバーにおいてSSL/TLS通信を行う際に、証明書検証を行うためには、上述したサブジェクト代替名を用いることで複数のインターフェイスに対する証明書検証を正しく行うことを可能にする。
MFP110は第1ネットワーク通信部111、第2ネットワーク通信部112、設定記憶部113、操作部114、CPU115、RAM116、記憶装置117から構成される。ここで第1ネットワーク通信部111、第2ネットワーク通信部112はそれぞれ物理的に異なる通信インターフェイスを持っていることを想定しており、本実施例ではそれぞれ第1有線インターフェイス、第2有線インターフェイスとしている。これらは上述した2口の所定の通信インターフェイスである。実際には、有線LANインターフェイスのほかに、無線LANインターフェイス、USBインターフェイスを介した通信インターフェイス、4G公衆網など、通信インターフェイスであればいずれの組み合わせでもよい。なお、通信インターフェイスを単にインターフェイスと称し省略する場合もある。このように、MFP110は複数の通信インターフェイスを備えることが可能である。
第1ネットワーク通信部はLAN120に接続しており、オフィスで使われているPC130に接続することを想定している。PC130での一般的なMFP110の利用方法としてはプリントデータを送信して印刷を行うことや、MFP110でスキャンした画像データをPC130で受信して閲覧することが考えられる。また管理者がPC130のWebブラウザアプリを用いることによってMFP110の状態を遠隔監視することが可能である。この時、MFP110のなりすましがないことを確認するために証明書検証が行われる。
一方、第2ネットワーク通信部はルーター160を介して公衆網に接続し、クラウドサーバー140に接続される。クラウドサーバー140は例えばMFP110によってすでに印刷された用紙の枚数情報やMFP110の動作状態を取得することによってサービスメンテナンスの必要性を判断するために使われる。あるいは遠隔地のPCから出力された印刷データを一時的にクラウドサーバー140に保存し、MFP110から取得、印刷することによって遠隔からの印刷を行うサービスを提供する。いずれの場合でもMFP110が正しい機器であり、なりすましがないことを確認するために、クラウドサーバー140はMFP110から送られる証明書の検証を実施する。
ここで第1ネットワーク通信部と第2ネットワーク通信部は外部に対して異なるネットワークアドレスを有し、それぞれの通信に対して検証可能な証明書を提供する必要がある。なお、実施例1ではネットワーク通信部を2つで記載したが、3つ以上のネットワーク通信部があっても良い。
図2はMFP110内にあって動作するハードウェアとソフトウェアの関連性を示した構成図である。各ソフトウェアは記憶装置117に格納されており、動作する際にはRAM116にロードされ、CPU115によって実行される。図2において構成設定部201は操作部114で提供される設定画面にしたがって入力されたネットワークの構成情報を設定記憶部113に格納する。この構成情報をネットワーク構成情報と呼称する。
再生成設定部202は操作部114で提供される設定画面にしたがって入力された証明書の再設定情報を設定記憶部113に格納する。設定画面を介してユーザにより入力された情報は、ネットワーク構成情報および再設定情報として設定記憶部113に格納されることでMFP110に設定されることになる。
ネットワーク構成検出部203は設定記憶部113に格納されたネットワークの構成情報と再生成情報に従い、ネットワークの接続状態から証明書の再生成が必要かどうかを判断し、再生成を行う必要がある場合にはデジタル証明書再生成部204に再生成指示を出す。
デジタル証明書再生成部204は再生成の指示を受けて、設定記憶部113からネットワークの構成情報を獲得し、鍵ペアと証明書を作成する。そして、SCEPサーバーに証明書を送信し、CA局が発行するルートCA証明書で検証可能なデジタル署名が付加された証明書として受け取り、鍵管理部205に鍵ペアの中の秘密鍵とともに格納する。
鍵管理部205に格納された鍵ペアおよび証明書は第1ネットワーク通信部111,第2ネットワーク通信部112のSSL/TLS通信を行う際に取り出され、証明書認証において利用される。なお、3つ以上のネットワーク通信部を保有する場合、再生成する証明書は3つのネットワーク通信部に対応した証明書となる。
図3は構成設定部201が操作部114に表示するネットワーク構成情報を入力するための設定画面を表示するUI図である。図3において、301,302は通信インターフェイスの使用を宣言するチェックボックスである。図3では301が設定されているので第1有線インターフェイスの使用が宣言されている状態を示しているが、301と302の両方を同時に有効化することが可能である。そして、両方を同時に有効化することでMFP110が2つ以上のドメイン名であるDNS名を保有することになることこそが、本願発明の発明思想の上で大変重要な要件である。
303は当該インターフェイスが第1有線インターフェイス(すなわち第1ネットワーク通信部111)であることを示し、304は当該インターフェイスが第2有線インターフェイス(すなわち第2ネットワーク通信部112)であることを示す。305は第1有線インターフェイスのIPアドレス、306は第1有線インターフェイスのサブネットマスク、307は第1有線インターフェイスのDNS名を示す。これらの設定はユーザの入力により変更することが可能である。通信インターフェイスをMFP110に備えただけでは通信機能を発揮できず、これらの通信インターフェイスの情報を入力しなければならない。
同様に、308は第2有線インターフェイスのIPアドレス、309は第2有線インターフェイスのサブネットマスク、310は第2有線インターフェイスのDNS名を示す。これらの設定も変更することが可能である。311は設定の変更を確定するOKボタン、312は設定の変更を破棄するキャンセルボタンである。ここで、OKボタン311が押下され、設定の変更がおこなわれた場合には、構成設定部201によって変更された設定がネットワーク構成情報として設定記憶部113に書き込まれる。なお、インターフェイスが3つ以上の場合は、図3において3つのインターフェイスに対して図3で示すようにネットワークの設定を行う。また、無線であっても有線と変わらず同様にネットワーク設定を行うものとする。
図4は再生成設定部202が操作部114に表示する証明書の再生成の条件を入力するための設定画面を表示するUI図である。図4において、401は設定に関する説明として「I/F設定変更時に証明書を自動再生成する」という記載がある。設定値として「する」402と「しない」403があり、この設定はトグルになっている。「しない」の場合はMFP110の管理者やサービスマンが手動で設定することを示しており、従来と同様の方法であることを示している。「する」402を選択した場合にはI/F構成の変更により自動的に証明書の再生成を行うことを示している。
404は設定に関する説明として「物理的な構成変更を対象とする」を示している。設定値として「する」405と「しない」406があり、この設定はトグルになっている。つまり、「する」405が入力され設定された場合は、物理的な通信インターフェイスの数の増減があれば、図3で示す設定画面を介して入力された情報に従って自動的に証明書の再生成を行うことになる。しかし、「しない」406が入力され設定された場合は、物理的な通信インターフェイスの数の増減は再生成の対象とならない。
404の設定は401の設定が「する」402になっている場合にのみ設定を行う子要件となっている。404の設定が「する」405になっている場合は、構成設定部201による設定が行われていなくても、物理的インターフェイスの構成の変化があれば証明書の再生成を指示する。例えば、302チェックボックスが有効化されており、第2有線インターフェイスが利用可能状態となっている場合でも、物理的に第2ネットワーク通信部にネットワークが繋がっていない場合(例えばLANケーブルの取り外し、または無線機の取り外し)に、構成に変更があったとみなし、証明書の再生成を指示する。
ただし、ケーブルの抜き差しがルーター160の不具合などにより瞬間的にネットワークが繋がっていないとみなされないように、一定期間の猶予を与えることを特徴としている。407は猶予期間である経過時間を決めるために「検出する時間」を設定する画面であり、408に時間を分単位で指定することが可能である。この場合、408に10を入力した場合、10分以内のネットワークの遮断は一時的な不具合とみなし、証明書の再生成を指示しない。しかし10分を超えてネットワークの遮断が続く場合にはネットワーク構成の変更とみなして証明書の再生成を指示する。
また、インターフェイスの構成変化は物理的な構成変更を対象としているときにのみ確認するものとする。さらに、新しいインターフェイスが物理的にMFP110に追加されたとしても、新しいインターフェイスに対し図3の設定がなされていない場合は、図4に示す再生成の対象とはならない。
409は設定の変更を確定するOKボタン、410は設定の変更を破棄するキャンセルボタンである。ここで、OKボタン409が押下され、設定の変更がおこなわれた場合には、再生成設定部202によって変更された設定が設定記憶部113に書き込まれる。
図5はネットワーク構成検出部203の動作を説明するフローチャートである。ネットワーク構成検出部203はMFP110の起動とともに動作を開始してネットワーク構成変更の検出を行う。以降MFP110の電源遮断まで動作を継続する。
図5において、ステップ501においてネットワーク構成情報が変更されているかを確認する。設定変更が行われているかどうかはステップ502で記録している前回のネットワークの構成情報と、設定記憶部113に記録されたネットワークの構成情報を比較し、異なる場合にはYesと判定する。ここでいう変更とは、図3でいうところの301,302,305~307,308~310のいずれかの変更があった場合に該当する。つまり、インターフェイスの追加、削除、アドレスの変更のいずれかが発生した場合に変更と判断する。
Yesと判定された場合はステップ502においてネットワーク構成情報を記録し、次回の設定変更との比較に備える。そしてステップ507に遷移し、401の設定が「する」になっている場合はステップ508においてデジタル証明書再生成部204に再生成を指示する。401の設定が「しない」になっている場合には、手動での再設定が必要となるため、ステップ508において管理者が次回ログイン時に証明書再生成の警告を示すメッセージを表示するよう予約する。その後ステップ501に遷移する。
ステップ501において、ネットワーク構成情報の変更が行われていない場合、ステップ503において物理的な構成変更も対象とする設定になっているかを確認する。これは404の設定が「する」になっている場合はステップ504に遷移し、前回確認した際の物理的構成から変更があるかを確認する。なお、物理的構成の変化とは上述した通りインターフェイスの数の増減である。Yesの場合、ステップ505において物理的な構成が変更されてから検出時間(これは408で設定された値)が経過したかを確認し、経過している場合にはステップ506で物理構成を記録し、ステップ507に分岐する。ステップ503およびステップ504でNoと判定された場合にはステップ501に戻る。
なおステップ501に戻る動作はフローチャート上では無限ループ処理になっているが、501の前段にイベント待ちとしてもよい。この場合、構成設定部201の持つ図3上のボタン311が押下されたタイミングでイベントが発生し、ネットワーク構成変更検出部208は501に遷移する。あるいは第1ネットワーク通信部111または第2ネットワーク通信部112でケーブルの挿抜のような物理的な状態変化を検出した場合にイベントが発生し、ネットワーク構成検出部203は501に遷移する。ループでもイベントでも本質的な差異はない。
図7は管理者がログインしたときの警告画面である。ステップ509によって管理者が次回ログイン時に証明書再生成の警告を表示するよう予約した後で、管理者が実際にログインを行ったときに操作部114に表示される警告画面である。証明書の自動再生成を行わなかった場合に、管理者に証明書の再生成を促すことを目的としている。なお、証明書の再生成は不図示の再生成を指示する画面からユーザが再生成の指示を入力することにより行われるが、ネットワークの構成の変化を情報として記憶している場合に限りデジタル証明書の再生成を行わないなどの制御を行っても良い。
図6はデジタル証明書再生成部204の動作を説明するフローチャートである。デジタル証明書再生成部204はネットワーク構成検出部203の指示があった場合に動作し、以降証明書を再生成するまで動作を行う。
図6において、ステップ601において設定記憶部113からネットワーク構成情報を取得する。次にステップ602において証明書のベースとなる鍵ペアと証明書の生成を実施する。鍵ペアは公開鍵暗号方式で用いる鍵ペアであり、方式はRSA方式でも楕円曲線暗号方式でもよい。証明書には生成した鍵ペアの公開鍵を格納する。
次にステップ603においてネットワーク構成情報から第1有線インターフェイスがネットワークに繋がっているかを確認し、繋がっている場合にはステップ604において証明書の情報としてCNに第1有線インターフェイスのDNS名307の値を入れる。なお、DNS名がない場合に代替としてIPアドレス305を用いてもよい。
続いてステップ605においてネットワーク構成情報から第2有線インターフェイスがネットワークに繋がっているかを確認し、繋がっている場合にはステップ606において証明書の情報としてCN(コモン名)あるいはSAN(サブジェクト別名)に第1有線インターフェイスのDNS名310の値を入れる。CNはステップ604で設定されていない場合に用い、604でCNが設定済みの場合にはSANを用いる(証明書の中でCNはひとつのエントリーのみで、それ以外はSANで表現されるため)。なお、DNS名がない場合に代替としてIPアドレス308を用いてもよい。
次にステップ607において、生成した証明書にCA局から配布されるルートCA証明書で検証可能な署名をつけるために、証明書をSCEPサービスサーバーに送付し、SCEPというプロトコルを用いて署名要求し、署名済みの証明書を受け取る。
SCEPサービスが存在しない場合はMFP110の署名機能によって署名がつけられた自己署名証明書に代替してもよい。CA局のルートCA証明書で検証可能な署名が付加されないためセキュリティは低下するが、同等の効果を得ることが可能である。何れかの方法によりMFP110は署名済みデジタル証明書を取得する。
最後にステップ608において、生成した秘密鍵と署名済みの証明書を情報機器に登録し、利用可能にする。登録方法としては、現在、保有しているネットワーク構成が変化する前における証明済みの証明書を、今回新たに発行された署名済みの証明書で更新する方法である。以降はMFP110のネットワーク構成、物理構成に適合した証明書を用いて、証明書検証を行うことが可能となる。なお、図6は2つのインターフェイスの例を示したが、3つ以上ある場合は、S605およびS606のステップをインターフェイスごとに実行することになる。
以上、実施例1によれば、情報処理装置のネットワーク構成に変化がある場合、デジタル証明書を自動的に再生成することにより再設定の手番を減らすことが可能となる。MFPなどの画像形成装置であれば、サービスマンによるネットワーク構成の変更が省かれるため設置コストが減少する。
実施例1において、第1ネットワーク通信部のDNS名と第2ネットワーク通信部のDNS名が一致する場合がある。それは例えば、第1ネットワーク通信部が有線LANインターフェイスであり、第2ネットワーク通信部が無線LANインターフェイスの場合などに起こり得る。このような場合でも、実施例1によれば証明書の再生成を行うが、それはこのましいことではない。なぜなら、再生成処理のためにはCPU115を使用し、記憶装置117へのアクセスが発生するので、MFP110上で同時実行される他の機能の速度低下や、記憶装置117の劣化を引き起こすからである。
図8はこの課題を解決するためのネットワーク構成検出部203の動作を説明するフローチャートである。図8は図5を元にしており、ステップ801が追加されている点だけが異なっている。以降では図5と異なる点についてのみ説明する。
ステップ507に至るまでに、ネットワーク構成または物理構成が変化しているという点は実施例1と同じである。本実施例ではステップ507の前に、複数のインターフェイス間でDNS名が異なるかどうかの確認を行う(ステップ801)。もし異なっている場合は、実施例1と同様に、ステップ507に進む。もし異なっていない場合は、証明書の生成を行わずにステップ501に戻る。
以上、実施例2によれば、情報処理装置のネットワーク構成に変化がある場合、デジタル証明書を自動的に再生成することにより再設定の手番を減らすことが可能になる。さらに、情報処理装置の他の機能の実行に影響を与えないことやハードウェアの劣化を抑えることとの両立も可能である。
実施例1で説明した方法は、第1ネットワーク通信部と第2ネットワーク通信部のそれぞれのDNS名が、互いにサブドメイン関係にある場合には問題なく実施できる方法である。サブドメイン関係とは、例えば、一方のDNS名がaaa.comで、もう一方のDNS名がbbb.aaa.comであるような場合である。
しかし、サブドメイン関係にない場合、例えばDNS名がaaa.comとbbb.comである場合は、実施例1の実施にあたり課題が生じる。この場合は証明書のCNにaaa.comが設定され、SANにbbb.comが設定されることになるが、このように無関係の2つのドメインが証明書に設定されることは、接続先が正しいことを証明するという証明書の意義に反するからである。
サブドメイン関係にない2つのインターフェイスを持つネットワーク構成は、例えば自治体のオフィスなどにおいてよく見られる。これは、個人情報の漏えい対策を目的としているためである。この場合は図9に示すように、MFP110は自治体オフィス内のPC130と、自治体オフィス外にある外部PC910と通信することになる。図9のシステム構成は、図1のクラウドサーバー140が外部PC910に置き換わっている点だけが異なる。このようなネットワーク構成において、外部利用者が外部PC910からMFP110アクセスした際に、証明書に全く異なる2つのドメインが含まれていた場合、本当にその証明書は正しいのかという不信感を外部利用者が抱きかねないという課題が生じる。このような不信感を避けるためには手動による証明書生成をする必要があり、実施例1の方法はとれないことになる。
本実施例は上述した課題を解決するための方法であり、そのためのデジタル証明書再生成部204の動作を、図10のフローチャートを用いて説明する。なお、それ以外の動作、構成については、実施例1と同様である。
図10は図6を元にしたフローチャートであり、図6とは、ステップ1001、1002、1003、1004、1005が追加されている点のみが異なる。そのため、追加されたステップについてのみ説明する。
ステップ606に至るまでは、実施例1と同様である。ステップ606の前に、ステップ1001で、第1有線インターフェイスと第2有線インターフェイスがサブドメインの関係にあるかの判定を行う。判定は、設定記憶部113から取得したそれぞれのインターフェイスのDNS名を用いて行う。具体的には、それぞれのDNS名から、「.com」や「.co.jp」のような定義済みドメイン名を取り除き、残った文字列のうち一番右側の部分が一致していれば、サブドメイン関係にあると判定する。例えば、「aaa.com」と「bbb.aaa.com」はサブドメイン関係にある。「bbb.aaa.com」と「ccc.aaa.com」もサブドメイン関係にある。しかし、「aaa.com」と「bbb.com」はサブドメイン関係にはない。
ステップ1001の判定によりサブドメイン関係にあると判定した場合は、ステップ606に進み、以降の動作は実施例1と同様である。
ステップ1001の判定によりサブドメイン関係にないと判定した場合は、ステップ1002に進み、公開鍵暗号方式による鍵ペアと証明書の生成を行う。この結果、既にステップ602で実施済みの鍵ペア、証明書と併せて、2組の鍵ペア、証明書が生成されたことになる。
続いてステップ1003において、ステップ1002で生成した証明書のCNに、第2有線インターフェイスのDNS名310を入れる。
次にステップ1004において、ここまでに生成した2つの証明書をSCEPサービスサーバー170に送付し、SCEPプロトコルを用いて署名要求し、署名済みの証明書を受け取る。
最後にステップ1005において、2組の秘密鍵と署名済みの証明書を情報機器に登録し、利用可能にする。ここで、第1有線インターフェイス用にはステップ602で生成した証明書に署名が行われた証明書が使われるようにし、第2有線インターフェイス用にはステップ1002で生成した証明書に署名が行われた証明書が使われるようにする。
なお、本実施例は、インターフェイス毎に証明書が生成されるという点が、実施例1と大きく異なる点である。インターフェイスの数の増加に伴って証明書の数も増加することになるため、本実施例の実施により、適切な証明書のみがMFP110に登録されているか確認するといった、MFP110の管理のためのコストの増大を招くおそれがある。このコスト増大を避けるため、さらに以下の処理を行ってもよい。
ネットワーク構成検出部203が、インターフェイス数が減ったことを検出した場合に、設定記憶部113に記憶されているネットワーク構成情報または物理構成を元に、削減されたインターフェイスを特定する。そして、特定したインターフェイス用に登録されている証明書をMFP110から削除する。これにより、使用される証明書のみがMFP110に登録されている状態になる。
また、情報処理装置は、情報処理装置に登録されているデジタル証明書を一覧表示する画面を持つことが一般的である。一覧表示画面の典型的な構成としては、証明書の名称を一覧表示し、どれか一つが選択されると別画面に遷移して、選択された証明書の詳細情報(有効期限など)を表示する、というものである。一覧表示画面には、その証明書の用途も表示されることも多い。用途とは、その証明書を何の機能のために利用するかを示すものであり、SSL/TLS以外にも、例えばIPSecといった暗号化通信機能のために証明書が使われることがある。このような画面構成において、本実施例を適用すると、SSL/TLS向けの証明書が複数存在することになり、どれがどのインターフェイス用の証明書なのか、証明書の詳細情報画面に遷移するまでわからない、という課題がある。この課題は、図11に示すように、証明書一覧画面にDNS名を表示することで解決できる。図11は例として3つの証明書が表示された様子を表しているが、1101、1104、1107が証明書の名称、1102、1105、1108がそれぞれの証明書の用途、1103、1106がそれぞれの証明書のCNに設定されたDNS名を表す。この画面構成により、利用者にとって、その証明書がどのインターフェイス用のものか、一目瞭然となる。
以上、実施例3によれば、情報処理装置のネットワーク構成に変化がある場合、デジタル証明書を自動的に再生成することにより再設定の手番を減らすことが可能となる。さらに、情報処理装置の利用者に不信感を与えないことと、情報処理装置の管理コスト増大を避けることの両立も可能である。
[その他の実施例]
本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施例の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。また、実施例1、2、3ではMFP110であるが、その他の情報処理装置であっても良い。
110 MFP
111 第1ネットワーク通信部
112 第2ネットワーク通信部
113 設定記憶部
114 操作部
140 クラウドサーバー
170 SCEPサービスサーバー
201 構成設定部
202 再生成設定部
203 ネットワーク構成検出部
204 デジタル証明書再生成部

Claims (12)

  1. 第1の通信インターフェイスと第2の通信インターフェイスを備えることが可能な情報処理装置であって、
    通信が有効になっている前記第1の通信インターフェイスに加え、前記第2の通信インターフェイスによる通信も有効にする設定が行われたことで前記情報処理装置のネットワーク構成が変化することに応じて、前記第1の通信インターフェイスのドメイン名、および前記第2の通信インターフェイスのドメイン名の2つのドメイン名を少なくとも含むデジタル証明書を再生成する再生成手段と、
    前記再生成手段により再生成された前記デジタル証明書にデジタル署名が付加された署名済みデジタル証明書を取得する取得手段と、
    有している署名済みのデジタル証明書を、前記取得手段により取得された前記署名済みデジタル証明書に更新する更新手段と、
    前記再生成手段による前記デジタル証明書の再生成の条件を入力するための再生成の設定画面を提供する提供手段と、を有し、
    前記再生成の条件として、前記情報処理装置にて利用できる通信インターフェイスの数に変化したことがユーザにより設定された場合、前記再生成手段は、前記ネットワーク構成が変化していない場合であっても、前記情報処理装置にて利用できる通信インターフェイスの数に変化したことに基づいて、前記デジタル証明書を再生成する情報処理装置。
  2. 前記情報処理装置のネットワーク構成が変化したとしても前記デジタル証明書の再生成をしないと前記情報処理装置にて設定されていた場合、前記再生成手段は前記デジタル証明書を再生成しないことを特徴とする請求項1に記載の情報処理装置。
  3. 前記再生成手段が、前記情報処理装置のネットワーク構成が変化したとしても前記デジタル証明書の再生成をしない場合は、ユーザの次回のログイン時、前記デジタル証明書を再生成することを促すメッセージを表示することを特徴とする請求項2に記載の情報処理装置。
  4. 前記提供手段は、前記情報処理装置に備えられた複数の通信インターフェイスの夫々に対し、ドメイン名を含む情報を入力するためのネットワーク構成情報の設定画面を提供し、
    前記再生成手段は、前記ネットワーク構成情報の設定画面を介してユーザにより入力されたドメイン名を含む情報を基に前記デジタル証明書を再生成することを特徴とする請求項1乃至3の何れか1項に記載の情報処理装置。
  5. 前記情報処理装置にて利用できる通信インターフェイスの数に変化があった場合に再生成することがユーザにより設定された場合に、さらに、前記通信インターフェイスの数に変化があってからの経過時間を再生成の条件として設定可能である請求項に記載の情報処理装置。
  6. 前記取得手段は、前記再生成手段により再生成された前記デジタル証明書と鍵ペアとを前記デジタル証明書の署名要求とともに認証局へ送信することで、前記認証局にて署名されて送信される前記署名済みデジタル証明書を取得することを特徴とする請求項1乃至の何れか1項に記載の情報処理装置。
  7. 第1の通信インターフェイスと第2の通信インターフェイスを備えることが可能な情報処理装置の制御方法であって、
    通信が有効になっている前記第1の通信インターフェイスに加え、前記第2の通信インターフェイスによる通信も有効にする設定が行われたことで前記情報処理装置のネットワーク構成が変化することに応じて、前記第1の通信インターフェイスのドメイン名、および前記第2の通信インターフェイスのドメイン名の2つのドメイン名を少なくとも含むデジタル証明書を再生成する再生成ステップと、
    前記再生成ステップにおいて再生成された前記デジタル証明書にデジタル署名が付加された署名済みデジタル証明書を取得する取得ステップと、
    有している署名済みのデジタル証明書を、前記取得ステップにおいて取得された前記署名済みデジタル証明書に更新する更新ステップと、
    前記再生成ステップによる前記デジタル証明書の再生成の条件を入力するための再生成の設定画面を提供する提供ステップと、を有し、
    前記再生成の条件として、前記情報処理装置にて利用できる通信インターフェイスの数に変化したことがユーザにより設定された場合、前記再生成ステップでは、前記ネットワーク構成が変化していない場合であっても、前記情報処理装置にて利用できる通信インターフェイスの数に変化したことに基づいて、前記デジタル証明書を再生成する制御方法。
  8. 第1の通信インターフェイスと第2の通信インターフェイスを備えることが可能な情報処理装置で実行されるプログラムであって、
    通信が有効になっている前記第1の通信インターフェイスに加え、前記第2の通信インターフェイスによる通信も有効にする設定が行われたことで前記情報処理装置のネットワーク構成が変化することに応じて、前記第1の通信インターフェイスのドメイン名、および前記第2の通信インターフェイスのドメイン名の2つのドメイン名を少なくとも含むデジタル証明書を再生成する再生成ステップと、
    前記再生成ステップにおいて再生成された前記デジタル証明書にデジタル署名が付加された署名済みデジタル証明書を取得する取得ステップと、
    有している署名済みのデジタル証明書を、前記取得ステップにおいて取得された前記署名済みデジタル証明書に更新する更新ステップと、
    前記再生成ステップによる前記デジタル証明書の再生成の条件を入力するための再生成の設定画面を提供する提供ステップと、を有し、
    前記再生成の条件として、前記情報処理装置にて利用できる通信インターフェイスの数に変化したことがユーザにより設定された場合、前記再生成ステップでは、前記ネットワーク構成が変化していない場合であっても、前記情報処理装置にて利用できる通信インターフェイスの数に変化したことに基づいて、前記デジタル証明書を再生成するプログラム。
  9. 前記情報処理装置のネットワーク構成が変化したとしても、情報処理装置に設定されたドメイン名に変化がない場合、前記再生成手段は前記デジタル証明書を再生成しないことを特徴とする請求項1に記載の情報処理装置。
  10. 第1の通信インターフェイスと第2の通信インターフェイスを備えることが可能な情報処理装置であって、
    通信が有効になっている前記第1の通信インターフェイスに加え、前記第2の通信インターフェイスによる通信も有効にする設定が行われたことで前記情報処理装置のネットワーク構成が変化することに応じて、前記第1の通信インターフェイスのドメイン名を含むデジタル証明書を再生成し、さらに前記第2の通信インターフェイスのドメイン名を含むデジタル証明書を再生成する再生成手段と、
    前記再生成手段により再生成された前記デジタル証明書にデジタル署名が付加された署名済みデジタル証明書を取得する取得手段と、
    前記取得手段により取得された前記署名済みデジタル証明書をそれぞれの通信インターフェイスに対応するよう登録する登録手段と、
    前記再生成手段による前記デジタル証明書の再生成の条件を入力するための再生成の設定画面を提供する提供手段と、を有し、
    前記再生成の条件として、前記情報処理装置にて利用できる通信インターフェイスの数に変化したことがユーザにより設定された場合、前記再生成手段は、前記ネットワーク構成が変化していない場合であっても、前記情報処理装置にて利用できる通信インターフェイスの数に変化したことに基づいて、前記デジタル証明書を再生成する情報処理装置。
  11. 前記情報処理装置にて利用できる通信インターフェイスの数に変化があった場合に、削減された通信インターフェイスに対応するデジタル証明書を削除することを特徴とする請求項10に記載の情報処理装置。
  12. 前記情報処理装置に登録されているデジタル証明書を一覧表示する表示手段を有し、表示手段が、デジタル証明書に対応する通信インターフェイスに設定されたドメイン名を、デジタル証明書の名称と共に表示することを特徴とする請求項11に記載の情報処理装置。
JP2018149434A 2018-06-19 2018-08-08 情報処理装置、その制御方法とそのプログラム Active JP7187209B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018116344 2018-06-19
JP2018116344 2018-06-19

Publications (2)

Publication Number Publication Date
JP2019220934A JP2019220934A (ja) 2019-12-26
JP7187209B2 true JP7187209B2 (ja) 2022-12-12

Family

ID=68840512

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018149434A Active JP7187209B2 (ja) 2018-06-19 2018-08-08 情報処理装置、その制御方法とそのプログラム

Country Status (5)

Country Link
US (1) US20190386835A1 (ja)
JP (1) JP7187209B2 (ja)
KR (1) KR102520842B1 (ja)
CN (1) CN110620667B (ja)
BR (1) BR102019010920A2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11310720B2 (en) * 2019-08-30 2022-04-19 Silicon Works Co., Ltd. Wireless battery management system, node for wireless communication, and network establishment method
US11159513B1 (en) * 2020-05-29 2021-10-26 Kyocera Document Solutions Inc. Systems, apparatus, and computer program products for installing security certificates in publicly accessible printer stations through gateway
CN112187808B (zh) * 2020-09-30 2023-04-21 徐凌魁 一种交通电子认证平台及认证方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005269558A (ja) 2004-03-22 2005-09-29 Canon Inc セキュリティ装置、その処理方法及びプログラム
US20150095995A1 (en) 2013-09-30 2015-04-02 Symantec Corporation Dynamic certificate generation on a certificate authority cloud
WO2016151824A1 (ja) 2015-03-25 2016-09-29 三菱電機株式会社 サーバ、証明書生成指示方法、及び、プログラム
US20160330164A1 (en) 2015-05-06 2016-11-10 NextPlane, Inc. System and Method of Federating a Cloud-Based Communications Service with a Unified Communications System
JP2018078626A (ja) 2017-12-26 2018-05-17 キヤノン株式会社 画像形成装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
US7512974B2 (en) * 2004-09-30 2009-03-31 International Business Machines Corporation Computer system and program to update SSL certificates
JP5100209B2 (ja) * 2006-11-20 2012-12-19 キヤノン株式会社 通信装置及びその制御方法
RU2011117608A (ru) * 2008-10-15 2012-11-27 Нокиа Корпорейшн Способ, устройство и компьютерный программный продукт для определения сетевого интерфейса, используемого для доступа к сетевому ресурсу
US20100138907A1 (en) * 2008-12-01 2010-06-03 Garret Grajek Method and system for generating digital certificates and certificate signing requests
US20100268942A1 (en) * 2009-04-15 2010-10-21 Secuware Systems and Methods for Using Cryptographic Keys
US9055059B1 (en) * 2009-12-16 2015-06-09 Symantec Corporation Combining multiple digital certificates
DE102013205051A1 (de) * 2013-03-21 2014-09-25 Siemens Aktiengesellschaft Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts
JP6436677B2 (ja) * 2014-08-07 2018-12-12 キヤノン株式会社 画像形成装置、画像形成装置の制御方法、及びプログラム
US9503449B1 (en) * 2015-05-12 2016-11-22 Payoda Inc. Application centric centralized certificate management system for managing certificates across data centers
US9871662B2 (en) * 2015-09-25 2018-01-16 Netflix, Inc. Systems and methods for digital certificate and encryption key management
JP7058930B2 (ja) * 2015-11-28 2022-04-25 キヤノン株式会社 情報処理装置、情報処理装置の制御方法、プログラム、及び記憶媒体

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005269558A (ja) 2004-03-22 2005-09-29 Canon Inc セキュリティ装置、その処理方法及びプログラム
US20150095995A1 (en) 2013-09-30 2015-04-02 Symantec Corporation Dynamic certificate generation on a certificate authority cloud
WO2016151824A1 (ja) 2015-03-25 2016-09-29 三菱電機株式会社 サーバ、証明書生成指示方法、及び、プログラム
US20160330164A1 (en) 2015-05-06 2016-11-10 NextPlane, Inc. System and Method of Federating a Cloud-Based Communications Service with a Unified Communications System
JP2018078626A (ja) 2017-12-26 2018-05-17 キヤノン株式会社 画像形成装置

Also Published As

Publication number Publication date
CN110620667B (zh) 2023-10-13
KR102520842B1 (ko) 2023-04-12
BR102019010920A2 (pt) 2019-12-17
CN110620667A (zh) 2019-12-27
US20190386835A1 (en) 2019-12-19
JP2019220934A (ja) 2019-12-26
KR20190143367A (ko) 2019-12-30

Similar Documents

Publication Publication Date Title
JP5329184B2 (ja) 公開鍵証明書の検証方法及び検証サーバ
JP4016998B2 (ja) 通信装置およびプログラム
JP4770423B2 (ja) ディジタル証明書に関する情報の管理方法、通信相手の認証方法、情報処理装置、mfp、およびコンピュータプログラム
JP4148246B2 (ja) 通信システム、証明書更新装置、証明書更新プログラム、通信装置及び代替更新プログラム
US20060271789A1 (en) Password change system
US7937749B2 (en) Method and system for managing network
US8850186B2 (en) Change in identification information causing request for new certificate issuance
JP4879524B2 (ja) 通信装置、通信システム及びプログラム
JP4640083B2 (ja) デバイス管理システム
JP7187209B2 (ja) 情報処理装置、その制御方法とそのプログラム
JP4758095B2 (ja) 証明書無効化装置、通信装置、証明書無効化システム、プログラム及び記録媒体
JP5476866B2 (ja) 通信装置、通信方法、通信用プログラムおよび通信システム
JP2006246272A (ja) 証明書取得システム
JP4915182B2 (ja) 情報の管理方法及び情報処理装置
US20090327708A1 (en) Certificate distribution using secure handshake
JP5509796B2 (ja) 通信システム、通信装置、通信制御方法および通信制御プログラム
JP4736722B2 (ja) 認証方法、情報処理装置、およびコンピュータプログラム
JP5218329B2 (ja) 通信処理装置、通信方法および通信処理プログラム
JP5729057B2 (ja) 通信装置、通信システムおよびプログラム
WO2023148807A1 (ja) 通信機器、通信システム、通信方法及びプログラム
JP5434956B2 (ja) 証明書無効化装置、証明書無効化システム、プログラム及び記録媒体
EP3965390A1 (en) Certificate management system and certificate management method
JP2015019267A (ja) 通信システム、情報機器、通信方法およびプログラム
JP2021082071A (ja) 情報処理装置とその制御方法、及びプログラム
JP2016116225A (ja) 通信システム、機器、通信方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210705

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220316

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221101

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221130

R151 Written notification of patent or utility model registration

Ref document number: 7187209

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151