にわかSEは大忙し!

LGPKIの自己署名証明書

カテゴリ : 
つぶやき
執筆 : 
八雲町 2017-11-1 18:20

ども。
自己管理の甘さから体調を崩してしまった担当ちゅんです。

そうも言ってられず、職員の業務用パソコン配備のための準備作業を急ピッチで進めています。今日の話題は、同じところでぶつかってしまうかもしれない同業者向けの記事となります。ご了承ください。

今、自治体のネットワーク環境はLGWANからインターネットが分離されて、情報漏えいなどに強いセキュアな環境となっています。しかし、今時のパソコンは「インターネットに接続されていることが当たり前」のようなところもあり、いわゆるオフライン環境だけで環境を構築していくには、それなりにテクニックを要します。

そんな中で今日ハマってしまったのは、httpsに接続するときの「電子証明書」。LGWAN上でアプリケーションが動作する「LGWAN-ASP」というものがあるのですが、これを利用するにあたっては、LGPKIアプリケーション認証局の最上位の認証局の自己署名証明書が必要となります。本来、この証明書はWindows Updateの機能を利用して自動的にインストールが実行されるものらしく、これまで業務用パソコンをセットアップしてきて一度も意識したことなどありませんでした。今回、オフラインで環境構築していて「あれ?おかしいぞ」と。

結局、あれこれ調べてみると、以下のようなサイトを発見。

LGPKIにおける自己署名証明書
https://www.lgpki.jp/CAInfo/install.htm

オフライン環境でセットアップを行わなければならない人向けに、ちゃんとインストール用証明書が提供されていました。今回はこれをインストールすることで無事にASPに接続できて一件落着となりました。逆に言えば、これをあらかじめインストールしておかないと、いくらLGWANからアクセスしていたとしても、「危険なサイト」と警告を受けてしまうことになりますので注意が必要です!
※ちなみに、WSUSでは証明書は提供されない?この辺がよくわからないところです。

なかなかマスターイメージが完成しませんが、少しずつでも確実に前進したいと思います。

スクリーンショット
知らなければ絶対に気が付けない類の業務でした

(投稿者:ちゅん)

トラックバック

トラックバックpingアドレス http://www.town.yakumo.lg.jp/modules/information_blog/tb.php/1923

コメントの投稿

コメント投稿に関するルール : コメントは全て承認が必要

コメント


投稿者 スレッド
ゲスト
投稿日時: 2017-11-1 22:53  更新日時: 2017-11-2 17:51
 Re: LGPKIの自己署名証明書
どうも、役人じゃないけど同業者です。
LGPKIのG4証明書にタイムスタンプのロール(っていうのかな)を管理者権限のないPCに配布するのに苦労しました。
単にレジストリを追加するだけですが、その箇所と長文のREG_BINARYをREGコマンド形式で食わせるのは大変でした。
なおG4証明書はWSUSでは確認できませんでした。非セキュリティのロールアップに抱き合わせされてるのかな...
返信

投稿者 スレッド
八雲町
投稿日時: 2017-11-2 17:53  更新日時: 2017-11-2 17:53
 Re: LGPKIの自己署名証明書
コメントありがとうございます。担当ちゅんです。

> 管理者権限のないPCに配布するのに苦労しました。

ご苦労、お察しいたします。
WSUSで落ちてこないとは知らず、一生懸命WUを行っていました。
インターネットさえあれば一瞬で終わるようなことも、手作業でやってみるとそのありがたさがよくわかりますよね。
返信


ブログ カレンダー
« « 2017 11月 » »
29 30 31 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 1 2
最新のエントリ
カテゴリ一覧
アーカイブ
最新のコメント

open

町へのご意見 open

便利なサービス open