コンピュータワークステーション、デジタル証明書管理方法及びリモートデバイス
【課題】リモートデバイス上のデジタル証明書の管理の便宜を図る。
【解決手段】リモートデバイスに関連付けられたデジタル証明書を管理するためのコンピュータワークステーション102は、プロセッサ116と、プロセッサ116とリモートデバイス104との間のデジタル通信を実現するための通信インタフェース118とを有する。プロセッサ116は、ワークステーションデジタル証明書管理(WKSDCM)ソフトウェアを実行する。そのWKSDCMソフトウェアは、リモートデバイス104に対し、デジタル証明書の管理に関連付けられたタスクを実行するよう要求すること、またはリモートデバイス104からの要求に応答してデジタル証明書の管理に関わるタスクを実行すること、のうちの少なくとも一方のために、リモートデバイス104と通信するAPIを構成する一連のプログラム可能な命令を含む。
【解決手段】リモートデバイスに関連付けられたデジタル証明書を管理するためのコンピュータワークステーション102は、プロセッサ116と、プロセッサ116とリモートデバイス104との間のデジタル通信を実現するための通信インタフェース118とを有する。プロセッサ116は、ワークステーションデジタル証明書管理(WKSDCM)ソフトウェアを実行する。そのWKSDCMソフトウェアは、リモートデバイス104に対し、デジタル証明書の管理に関連付けられたタスクを実行するよう要求すること、またはリモートデバイス104からの要求に応答してデジタル証明書の管理に関わるタスクを実行すること、のうちの少なくとも一方のために、リモートデバイス104と通信するAPIを構成する一連のプログラム可能な命令を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、特にリモートデバイス上のデジタル証明書を管理するためのシステムと方法に関する。
【背景技術】
【0002】
本願の開示は一般に、プリンタ等、リモートデバイス上のデジタル証明書を管理するためにコンピュータ制御ワークステーションを使用することに関する。デジタル証明書は、SSL等の安全なインタフェースプロトコルを使って、リモートデバイスとのセキュリティ保護されたデータの送受信を行うために使用される。
【0003】
デジタル証明書には公開鍵と秘密鍵が使用される。コンピュータデバイスの公開鍵は他のコンピュータデバイスでも利用できるが、その秘密鍵は各デバイスにしか利用できない。第一のコンピュータデバイスが第二のコンピュータデバイスにセキュリティ保護されたデータを送信する場合、第一のデバイスは第二のデバイスの公開鍵を使ってそのデータを暗号化するが、このデータを復号するには第二のデバイスの秘密鍵を使わなければならず、この秘密鍵には第二のデバイスしかアクセスできない。さらに、デバイスの秘密鍵は、文書のセキュリティを保護するためのデジタル署名を生成するのに使用できる。さらに安全性を高めるために、第一のデバイスに、認証局が署名することによって認証されたデジタル証明書が提供されることもある。デバイスに関連付けられたデジタル証明書には、そのデバイスに関連付けられた秘密鍵と公開鍵が使用される。デジタル証明書を伴うデータを受信するデバイスは、そのデジタル証明書とともに提供された公開鍵を使ってそのデータを復号する。
【発明の開示】
【発明が解決しようとする課題】
【0004】
現在、リモートデバイスは、さまざまな方法でデジタル証明書を使って構成できる。一つの方法では、各リモートデバイスのデジタル証明書を作成して、手作業でリモートデバイスに保存し、たとえば、システム管理者がリモートデバイスから必要なデータを手作業で受信、入力する。別の方法では、コンピュータ制御ワークステーションがリモートデバイスと通信し、各デバイスに関連付けられたデジタル証明書を管理するネットワークで用いるためのスクリプト等の専有的ソフトウェアを生成する。このようなソフトウェアは特に、コンピュータ制御ワークステーションによって使用されるオペレーティングシステムで使用するために、またワークステーションおよび/またはリモートデバイスにより使用される特定のアプリケーションおよびワークステーションおよび/またはリモートデバイスによって使用される特定のコンピュータ言語のために開発される。デジタル証明書を管理するために開発されたソフトウェアは、異なるオペレーティングシステム、異なるアプリケーションまたは異なるコンピュータ言語を使用するシステムでは機能しない可能性がある。
【0005】
現在使用されているまた別の方法は、公開鍵インフラストラクチャ(RKI)であり、これは本願において、コンピュータ制御ワークステーションを通じてリモートデバイス上の証明書を管理するために開発されたソフトウェアを使用する方法を指す。しかしながら、このソフトウェアは実装がきわめて困難であり、業界ではあまり使用されていない。
【課題を解決するための手段】
【0006】
先行技術における欠点を克服するために、本願の開示の一つの態様によればコンピュータ制御ワークステーションを使ってリモートデバイス上のデジタル証明書を管理するための、比較的簡単に使用できるシステムと方法であって、汎用的であり、ワークステーションが使用する特定のオペレーティングシステムまたはワークステーションおよび/またはリモートデバイスが使用するコンピュータ言語またはアプリケーションによって左右されないシステムと方法が提供される。
【0007】
本願の開示は、リモートデバイスに関連付けられたデジタル証明書を管理するためのコンピュータワークステーションに関する。このワークステーションは、プロセッサと、プロセッサとリモートデバイスの間のデジタル通信を可能にする通信インタフェースとを含む。ワークステーションはさらにワークステーションデジタル証明書管理(WKSDCM)ソフトウェアモジュールを含み、このモジュールには、リモートデバイスにデジタル証明書の管理に関わるタスクを実行するよう要求することおよびデジタル証明書の管理に関わるタスクの実行を求めるリモートデバイスからの要求に応答することの少なくとも一方のためのウェブサービスアプリケーションプログラミングインタフェース(API)を構成する、プロセッサ上で実行可能な一連のプログラム可能な命令が含まれる。
【0008】
本願の開示はまた、リモートデバイスに関連付けられたデジタル証明書を管理する方法にも関する。この方法は、ウェブサービスAPIを提供するステップと、ウェブサービスAPIとリモートデバイスの間でデジタル的に通信するステップを含む。通信するステップは、リモートデバイスに対してデジタル証明書の管理に関わるタスクを実行するよう要求するステップと、デジタル証明書の管理に関わるタスクの実行を求めるリモートデバイスからの要求に応答するステップのうちの一方を含む。
【0009】
本願の開示はまた、プロセッサと、プロセッサとワークステーションの間のデジタル通信を実現するためのプロセッサと通信インタフェースとを有するリモートデバイスにも関する。このリモートデバイスはさらにリモートデバイスデジタル証明書管理(RDDCM)ソフトウェアモジュールを含み、このモジュールには、デジタル証明書の管理に関わるタスクの実行を求めるワークステーションからのデータを伴う要求を受け取ることおよびデジタル証明書の管理に関わるタスクを実行するようワークステーションに要求することのうちの少なくとも一方のためのウェブサービスAPIを形成するプロセッサ上で実行可能な一連のプログラム可能な命令が含まれる。RDDCMはさらに、そのデータを使って要求されたタスクを実行する。
【0010】
本願の開示はさらに、リモートデバイスに関連付けられたデジタル証明書を管理する方法にも関する。この方法は、ウェブサービスAPIを提供するステップと、ウェブサービスAPIとワークステーションとの間でデジタル的に通信するステップを含む。通信するステップは、デジタル証明書管理に関わるタスクを実行するようリモートデバイスに要求するワークステーションからのデータを伴う要求を受け取るステップと、ワークステーションにデジタル証明書の管理に関わるタスクを実行するよう要求するステップのうちの少なくとも一方を含む。この方法はさらに、データを使って要求されたタスクを実行するステップを含む。
【0011】
最後に、本願の開示は、証明書管理システムを使ってデジタル証明書を管理する方法に関する。この方法は、WKSDCMモジュールを記憶するステップと、WKSDCMモジュールをワークステーションに送信するステップを含む。WKSDCMモジュールは、証明書管理システムのリモートデバイスに関連付けられたデジタル証明書を管理するための証明書管理システムのワークステーションのプロセッサ上で実行可能な一連のプログラム可能な命令を含み、管理には、デジタル証明書の管理に関わるタスクを実行するようリモートデバイスに要求することが含まれる。一連のプログラム可能な命令は、ウェブサービスAPIを構成する。
【0012】
本願において開示されたデジタル証明書管理システムのその他の特徴は、本願で開示するデジタル証明書管理システムの例を示す付属の図面を参照しながら以下の詳細な説明を読むことによって明らかになるであろう。
【発明を実施するための最良の形態】
【0013】
[実施例1]
図において同様の参照番号は同一の、または対応する要素を示しており、これらの図を参照しながら、本願の開示によるデジタル証明書管理システムと方法について以下に詳しく説明する。まず図1を参照すると、本願の開示による一例であるデジタル証明書管理システム100が描かれており、デジタル証明書管理システム100として総括的に示されている。デジタル証明書管理システム100は、ワークステーション102と、ネットワーク106を通じてワークステーション102にネットワーク接続された複数のリモートデバイス104を含む。ネットワーク106はネットワークマネージャ107を含んでいてもよく、これはネットワーク106上でのデータの流れを管理するためのネットワークサーバ、データベース、セキュリティマネージャ、コンフィギュレーションサーバ等を備える。ワークステーション102はさらに、インターネット等のネットワーク112を通じて証明書管理ウェブサーバ108および第三者の認証局(CA)110と通信している。
【0014】
ワークステーション102はX.509デジタル証明書等のデジタル証明書を管理しており、リモードデバイス104はこれらの証明書を使用して、たとえば自己署名証明書の作成、証明書署名要求(CSR)の作成、リモートデバイスへの署名済み証明書のアップロード、利用可能な証明書のリストアップ、特定の証明書の取得、CSRの取得、ルート証明書の追加、特定のルート証明書の取得、利用可能なルート証明書のリストアップ、ルート証明書の削除等を行う。
【0015】
ワークステーション102とリモートデバイス104はどちらもルート証明書を保存することがある。ルート証明書は、CA110または他の信頼できるサイトによって提供される。ルート証明書は、CA110が署名した証明書を認証するために、デジタル証明書管理システム100によって使用される証明書を認証するのに使用される。通信中に、ワークステーション102とリモートデバイス104の一方が他のデバイスのルート証明書を使った証明を要求するかもしれない。このような通信は、リモートデバイス104によって開始されるかもしれない。ルート証明書は、ルート証明書の証明の要求を受けた当事者によって保存されているデジタル証明書を認証し、その証明書が安全であることを認証するために使用される。
【0016】
ワークステーション102は、少なくとも1つのプロセッサと、ネットワーク106およびネットワーク112を通じた通信に必要なハードウェアとソフトウェアを含む通信インタフェース118を備える。ワークステーション102はさらに、リモートデバイス104に関連付けられたデジタル証明書を管理するためにプロセッサ116によって実行可能なワークステーションデジタル証明書管理(WKSDCM)ソフトウェアモジュール120を含む。WKSDCMモジュールは、ウェブサーバ定義言語(WSDL)で書かれたアプリケーションプログラミングインタフェース(API)であり、これはプラットフォームのアーキテクチャ、プラットフォームのオペレーティングシステム、あるいはアプリケーション用等のプラットフォームが使用するプログラミング言語の点で特定のプラットフォームに限定されないユニバーサルな言語である。したがって、ワークステーション102は特定のアーキテクチャを持つこと、特定のオペレーティングシステムを使用すること、あるいは特定のプログラミング言語で実現されたアプリケーションを使用することに限定されない。
【0017】
ウェブサービスはWSDL、Universal Description, Discovery and Integration(UDDI)およびSimple Object Access Protocol(SOAP)を使用する。WSDLは、ウェブサービスを定義し、それにアクセスする方法を記述するExtensible Markup Lantuage(XML)に基づく。WSDLの記述により、ひとつのエージェントのソフトウェアシステムは、World Wide Web等のネットワークを介して、SOAPプロトコルを使って他のエージェントと直接通信することができる。2つのエージェントはそれぞれのSOAPをリンクさせてもよい。ただし、セキュリティ対策が正しく管理されることを条件とする。エージェントは、UDDI等のディレクトリを通じてアクセス可能な他のエージェントの正式な記述にアクセスすることによって、未知のエージェント(たとえば、未知とは各々のSOAPインタフェースがリンクされていないことを意味する)と通信することもある。エージェントは、World Wide Web上の一連のファイル交換ルールであるHypertext Transfer Protocol(HTTP)や、HTTPのセキュリティ保護バージョンであるHTTPS(Secure Sockets Layer(SSL)上のHTTP)を使って通信できる。
【0018】
SOAPはウェブプロトコルを使ってエージェント間の通信を行い、情報の送受信方法を指定する。ウェブプロトコルはインストールされ、あらゆる主要なオペレーティングシステムプラットフォームによって使用される。したがって、HTTP,XMLおよびSOAPを使い、異なるオペレーティングシステムを使用しているエージェント間であっても相互に通信できる。SSLまたはその後継版でありSSLをもとにしたTransport Layer Security(TLS)は、インターネット上のメッセージ送信のセキュリティを管理するために一般的に使用されているプロトコルであり、インターネットのHypertext Transfer Protocol(HTTP)とTransport Control Protocol(TCP)レイヤの間にあるプログラムレイヤを使用する。上記の用語の「ソケット」という部分は、ネットワーク内のクライアントとサーバプログラムの間、あるいは同じコンピュータ内のプログラムレイヤ間でのデータ送受信のソケット処理方式を指す。
【0019】
ワークステーション102は、たとえば、パーソナルコンピュータ、マイクロコンピュータ、メインフレームコンピュータあるいは携帯型情報端末(PDA)、携帯電話等のハンドヘルドコンピューティングデバイスなどでもよい。プロセッサ116は、少なくともひとつの揮発性および/または不揮発性メモリにアクセス可能なマイクロプロセッサでもよい。通信インタフェース118は、ネットワーク106およびネットワーク112を通じてワークステーション102と、リモートデバイス104、証明書管理ウェブサーバ108および第三者の認証局110との間の通信を行うために構成されたハードウェアおよび/またはソフトウェアコンポーネントたとえば、通信ポート、入出力(I/O)アダプタ等を含む。通信インタフェース118は、有線または無線通信で実現してもよい。
【0020】
ネットワーク106とネットワーク112は、相互に排他的または共有のソフトウェアおよび/またはハードウェアコンポーネントとしてもよい。図の例において、ネットワーク112はインターネットであり、ネットワーク106は広域ネットワーク(WAN)またはローカルエリアネットワーク(LAN)等のイントラネットである。ネットワークマネージャ107は、コンフィギュレーションサーバ、セキュリティマネージャ等の少なくとも1つのサーバと、データ記憶コンポーネントを備えていてもよい。
【0021】
必要なセキュリティ上の権限を有するシステム管理者(SA)は、ワークステーション102を動作させ、WKSDCMモジュール120をアクティベートする。SAはさらに、市販のソフトウェアを使ってユーザインタフェース122を開発する。ユーザインタフェース122は、ユーザからのデータ(ユーザが入力するデータ)を収集し、このデータをWKSDCMモジュール120に供給するために使用される。ユーザインタフェース122は、ユーザにWKSDCMモジュール120の必要とするデータを入力するよう指示し、データを収集し、入力されたデータをデジタル証明書の管理のためにWKSDCMモジュール120に供給するグラフィカルユーザインタフェース(GUI)を提供してもよい。
【0022】
図2は、一例としてのリモートデバイス104をさらに詳しく示した図である。リモートデバイスは、少なくとも1つのプロセッサ202、通信インタフェース204、リモートデバイスデジタル証明書管理(RDDCM)ソフトウェアモジュール206および記憶デバイス208を備える。リモートデバイス104は、別のワークステーション、プリンタデバイス、民生用電子機器等としてもよい。この例において、リモートデバイス104はプリンタデバイスである。本願で使用する「プリンタデバイス」という用語は、何らかの目的のためにマーキング出力機能を果たすデジタルコピー機、電子写真印刷システム、インクジェット印刷システム、リプログラフィ印刷システム、製本機、ファクシミリ機、多機能機、テクスタイルマーキングマシン等のあらゆる装置やシステムを包含する。
【0023】
プロセッサ202は、記憶デバイス208を含む少なくとも1つの揮発性および/または不揮発性メモリにアクセスできるマイクロプロセッサ等としてもよい。通信インタフェース204は、ネットワーク106とネットワーク112を通じてワークステーション102とリモートデバイス104、証明書管理ウェブサーバ108および第三者認証局110を通信するように構成されたハードウェアおよび/またはソフトウェアコンポーネント、例えば、通信ポート、入出力(I/O)アダプタその他を備える。通信インタフェース204は、有線または無線通信で実現してもよい。
【0024】
RDDCMモジュール206は、WKSDCMモジュール102がリモートデバイス104のデジタル証明書を管理する際、たとえば記憶デバイス208に保存された秘密鍵220、公開鍵222、デジタル証明書224および/またはルート証明書226へのアクセスおよび/またはその管理等を行う際に必要となるワークステーション102のWKSDCMモジュール120と通信する。この例において、RDDCMモジュール206は、製造時にインストールされるか、ソフトウェアアップデートによってインストールされる。
【0025】
証明書管理ウェブサーバ108は、少なくとも1つのプロセッサ124、通信インタフェース126、ウェブインタフェース128、ウェブサーバデジタル証明書管理配信ソフトウェア(WBSDCMD)モジュール130と記憶デバイス132を有する。プロセッサ124は、少なくとも1つの揮発性および/または不揮発性メモリにアクセスできるマイクロプロセッサ等でよい。通信インタフェース126は、ハードウェアおよび/またはソフトウェアコンポーネント、例えば、証明書管理ウェブサーバ108とネットワーク112との間の通信を行うように構成された通信ポート、入出力(I/O)アダプタその他を備える。通信インタフェース126は、有線または無線通信で実現してもよい。
【0026】
ウェブインタフェース128は、クライアントの要求を受け取り、要求された製品をクライアントに提供するための、クライアントとのインタフェースを提供する。この例において、クライアントの要求はワークステーション102によって生成される。ウェブインタフェース128はクライアントの要求に関するデータを収集し、その中でたとえば支払情報や要求された製品を収集する。WBSDCMDモジュール130は、プロセッサ124により実行可能な一連のプログラム可能な命令を含む。WBSDCMDモジュール130は要求を処理し、記憶デバイス132から要求された製品を呼び出し、要求された製品をウェブインタフェース128に供給する。記憶デバイス132は、WKSDCMモジュール120を含む製品を記憶する。ウェブインタフェース128は、たとえばアップロード動作等によって製品をクライアントに提供する。この例において、ワークステーション102はWKSDCMモジュール120を購入するよう要求し、この購入を行い、証明書管理ウェブサーバ108からWKSDCMモジュール120をダウンロードし、これをインストールする。
【0027】
WKSDCMソフトウェアモジュール120、RDDCMソフトウェアモジュール206及びWBSDCMDソフトウェアモジュール130は、証明書管理ウェブサーバ108により伝播信号としてダウンロードするか、あるいはCD等のリムーバブル記憶媒体に記憶する等の方法で提供される。証明書管理ウェブサーバ108による上記のようなソフトウェアモジュールの提供は、有料で行われることがある。個々のソフトウェアモジュール、たとえばWKSDCMモジュール120、RDDCMモジュール206及びWBSDCMDモジュール130は、関連するプロセッサ、たとえばそれぞれプロセッサ116,202,124によって実行される一連のプログラム可能な命令を含む。この一連のプログラム可能な命令は、本願で開示する機能を果たし、この開示にしたがって技術的効果を得るために、上記のようにRAM、ハードドライブ、CD、スマートカード、3.5”ディスケット等のコンピュータ読取可能媒体上に記憶するか、あるいは伝播信号を通じて送信し、それぞれ関連するプロセッサ116,202,124によって実行されるようにすることができる。
【0028】
次に、自己署名証明書、CSRまたはルート証明書等の証明書を作成することを求める要求を管理するための動作ステップを説明する。ユーザインタフェース122を使い、SAは要求を入力する。ユーザインタフェース122を通じて、WKSDCMモジュール120はSAに対し、要求の本質(nature)とその要求を処理するために必要で、作成する証明書の中に含める可能性のあるデータを入力するよう指示する。このデータとしては、たとえば証明書の作成を許可する管理パスワード、自己署名証明書が有効な日付および/または期間、国コード、どのリモートデバイス104について自己署名証明書が要求されているか、およびSAに関する国コード、州、番地、組織の名称、電子メールアドレス等の識別データ等がある。さらに、要求は、要求の発行先となる具体的なリモートデバイス104を特定する。
【0029】
WKSDCMモジュール120は、SAにより入力されたデータを含む要求を、特定されたリモートデバイス104のRDDCMモジュール206に送信する。要求が自己署名証明書の生成を求める要求であれば、RDDCMモジュール206は記憶された秘密鍵と公開鍵にアクセスし、要求とともに提供されたデータと秘密鍵および/または公開鍵を使って自己署名証明書を生成し、これを記憶デバイス208に記憶する。次に、RDDCMモジュール206はWKSDCMモジュール120に証明書作成の成功を知らせ、WKSDCMモジュール120はユーザインタフェース122を通じてこれをSAに通知する。
【0030】
自己署名デジタル証明書の代わりに、リモートデバイス104は、CA等、信頼できる第三者により署名された署名入りデジタル識別証明書を使用してもよい。証明書への署名を求める要求を伴う証明書であるCSRは、WKSDCMモジュール120から、他者が使用するためにデジタル証明書に署名する権限を有するCA等の信頼できる第三者に送られる。CAには、たとえば無料CA、団体や政府に関連付けられるCA、あるいは有料でサービスを提供する商業的CAがある。CAは署名済みのデジタル識別証明書をWKSDCモジュール120に返送する。
【0031】
リモートデバイス104のRDDCMモジュール206は、WKSDCMモジュール120からCSR作成要求を受け取ると、その要求に含められたデータと秘密鍵および/または公開鍵を使ってCSRを作成する。作成後、RDDCMモジュール206は作成されたCSRをWKSDCMモジュール120に送る。好ましくは、RDDCMモジュール206はCSRをローカルの記憶デバイス208に記憶する。よく知られたタイプのCSRの場合、CSRは公開鍵を含み、CAの秘密鍵により署名される。CSRの作成がリモートデバイス104において失敗すると、RDDCMモジュール206はエラーメッセージをWKSDCMモジュール120に返信し、ユーザインタフェース122を通じてCSRの作成状態がSAに通知される。CSRの作成が成功すると、WKSDCM120はネットワーク112を通じてCSRをCA110に送信する。CA110へのCSRの送信は、SAが一切介入しなくても、WKSDCMモジュール120がRDDCMモジュール206からCSRを受信すると自動的に行われる。
【0032】
CAは証明書に署名し、署名済みのデジタル識別証明書をWKSDCMモジュール120に送信する。WKSDCMモジュール120は、署名済みの証明書を適当なリモートデバイスにアップロードし、その一環として署名済みの証明書を管理パスワードとともにリモートデバイス104のRDDCMモジュール206に供給する。RDDCMモジュール206は、署名済みの証明書をインストールし、その一環として記憶デバイス208に記憶する。
【0033】
WKSDCMモジュール120からRDDCMモジュール206への署名済み証明書の提供は、SAが介入なくてもCAから書名済み証明書を受信すると自動的に行われ、署名済み証明書を提供するステップは、署名済み証明書がインストール可能な状態になったことをRDDCMモジュール206に通知するステップが含まれる。さらに、RDDCMモジュール206による署名済み証明書のインストーもまた、SAが介入しなくても、署名済み証明書がインストール可能な状態になったことをWKSDCMモジュール120から通知されると自動的に実行される。署名済みの証明書が無事にインストールされると、RDDCMモジュール206はWKSDCMモジュール120にインストールの成功を知らせ、成功しなければ、WKSDCMモジュール120にエラーメッセージを送信し、これがユーザインタフェース122を通じてSAに通知する。
【0034】
WKSDCMモジュール120はまた、ネットワーク112を通じてルート証明書の要求をCA110に送信することもできる。CAは署名済みルート証明書をWKSDCMモジュール120に提供し、この証明書は、そのCAが信頼できるCAであれば、信頼できるルート証明書とも呼ばれる。WKSDCMモジュール120は、適当なリモートデバイス104にルート証明書をアップロードし、その一環として、管理パスワードと一緒にルート証明書をリモートデバイス104のRDDCMモジュール206に供給する。RDDCMモジュール206はルート証明書をインストールし、その一環として、これを記憶デバイス208に記憶する。WKSDCMモジュール120はまた、それ自身または他の信頼できるサイトから得られたルート証明書をリモートデバイス104のRDDCMモジュール206にアップロードする。
【0035】
上記のほか、WKSDCMモジュール120は、RDDCMモジュール206に対し、過去に作成された特定の自己署名デジタル証明書、第三者による署名済みのデジタル証明書、CSRまたはルート証明書をWKSDCMモジュール120に提供するよう求める要求を生成してもよい。RDDCMモジュール206はこれに応答し、要求された証明書または要求された種類の証明書のリストを記憶デバイス208から呼び出し、これをWKSDCMモジュール120に送信する。
【0036】
さらに、RDDCMモジュール206は、通信を開始し、WKSDCMモジュール120に対し、デジタル証明書の管理に関するタスクを実行するよう要求することができる。通信は、たとえば、リモートデバイス104が電子メールを生成したとき、またはスキャンされた文書を含むファイル等の文書を送信したときに開始される。たとえば、RDDCMモジュール206はWKSDCMモジュール120にルート証明書を使って別の証明書を証明するように要求することができる。
【図面の簡単な説明】
【0037】
【図1】本願の開示にしたがって証明書管理ウェブサーバおよび第三者の認証局とデジタル通信を行う証明書管理システムのブロック図である。
【図2】図1に示す証明書管理システムのリモートデバイスのブロック図である。
【符号の説明】
【0038】
100 デジタル証明書管理システム、102 ワークステーション、104 リモートデバイス、106,112 ネットワーク、107 ネットワークマネージャ、108 ウェブサーバ、110 認証局、116,124,202 プロセッサ、118,126,204 通信インタフェース、120 ワークステーションデジタル証明書管理ソフトウェアモジュール、122 ユーザインタフェース、128 ウェブインタフェース、130 ウェブサーバデジタル証明書管理配信ソフトウェアモジュール、206 リモートデバイスデジタル証明書管理ソフトウェアモジュール、208,132 記憶デバイス、220 秘密鍵、222 公開鍵、224 デジタル証明書、226 ルート証明書。
【技術分野】
【0001】
本願は、特にリモートデバイス上のデジタル証明書を管理するためのシステムと方法に関する。
【背景技術】
【0002】
本願の開示は一般に、プリンタ等、リモートデバイス上のデジタル証明書を管理するためにコンピュータ制御ワークステーションを使用することに関する。デジタル証明書は、SSL等の安全なインタフェースプロトコルを使って、リモートデバイスとのセキュリティ保護されたデータの送受信を行うために使用される。
【0003】
デジタル証明書には公開鍵と秘密鍵が使用される。コンピュータデバイスの公開鍵は他のコンピュータデバイスでも利用できるが、その秘密鍵は各デバイスにしか利用できない。第一のコンピュータデバイスが第二のコンピュータデバイスにセキュリティ保護されたデータを送信する場合、第一のデバイスは第二のデバイスの公開鍵を使ってそのデータを暗号化するが、このデータを復号するには第二のデバイスの秘密鍵を使わなければならず、この秘密鍵には第二のデバイスしかアクセスできない。さらに、デバイスの秘密鍵は、文書のセキュリティを保護するためのデジタル署名を生成するのに使用できる。さらに安全性を高めるために、第一のデバイスに、認証局が署名することによって認証されたデジタル証明書が提供されることもある。デバイスに関連付けられたデジタル証明書には、そのデバイスに関連付けられた秘密鍵と公開鍵が使用される。デジタル証明書を伴うデータを受信するデバイスは、そのデジタル証明書とともに提供された公開鍵を使ってそのデータを復号する。
【発明の開示】
【発明が解決しようとする課題】
【0004】
現在、リモートデバイスは、さまざまな方法でデジタル証明書を使って構成できる。一つの方法では、各リモートデバイスのデジタル証明書を作成して、手作業でリモートデバイスに保存し、たとえば、システム管理者がリモートデバイスから必要なデータを手作業で受信、入力する。別の方法では、コンピュータ制御ワークステーションがリモートデバイスと通信し、各デバイスに関連付けられたデジタル証明書を管理するネットワークで用いるためのスクリプト等の専有的ソフトウェアを生成する。このようなソフトウェアは特に、コンピュータ制御ワークステーションによって使用されるオペレーティングシステムで使用するために、またワークステーションおよび/またはリモートデバイスにより使用される特定のアプリケーションおよびワークステーションおよび/またはリモートデバイスによって使用される特定のコンピュータ言語のために開発される。デジタル証明書を管理するために開発されたソフトウェアは、異なるオペレーティングシステム、異なるアプリケーションまたは異なるコンピュータ言語を使用するシステムでは機能しない可能性がある。
【0005】
現在使用されているまた別の方法は、公開鍵インフラストラクチャ(RKI)であり、これは本願において、コンピュータ制御ワークステーションを通じてリモートデバイス上の証明書を管理するために開発されたソフトウェアを使用する方法を指す。しかしながら、このソフトウェアは実装がきわめて困難であり、業界ではあまり使用されていない。
【課題を解決するための手段】
【0006】
先行技術における欠点を克服するために、本願の開示の一つの態様によればコンピュータ制御ワークステーションを使ってリモートデバイス上のデジタル証明書を管理するための、比較的簡単に使用できるシステムと方法であって、汎用的であり、ワークステーションが使用する特定のオペレーティングシステムまたはワークステーションおよび/またはリモートデバイスが使用するコンピュータ言語またはアプリケーションによって左右されないシステムと方法が提供される。
【0007】
本願の開示は、リモートデバイスに関連付けられたデジタル証明書を管理するためのコンピュータワークステーションに関する。このワークステーションは、プロセッサと、プロセッサとリモートデバイスの間のデジタル通信を可能にする通信インタフェースとを含む。ワークステーションはさらにワークステーションデジタル証明書管理(WKSDCM)ソフトウェアモジュールを含み、このモジュールには、リモートデバイスにデジタル証明書の管理に関わるタスクを実行するよう要求することおよびデジタル証明書の管理に関わるタスクの実行を求めるリモートデバイスからの要求に応答することの少なくとも一方のためのウェブサービスアプリケーションプログラミングインタフェース(API)を構成する、プロセッサ上で実行可能な一連のプログラム可能な命令が含まれる。
【0008】
本願の開示はまた、リモートデバイスに関連付けられたデジタル証明書を管理する方法にも関する。この方法は、ウェブサービスAPIを提供するステップと、ウェブサービスAPIとリモートデバイスの間でデジタル的に通信するステップを含む。通信するステップは、リモートデバイスに対してデジタル証明書の管理に関わるタスクを実行するよう要求するステップと、デジタル証明書の管理に関わるタスクの実行を求めるリモートデバイスからの要求に応答するステップのうちの一方を含む。
【0009】
本願の開示はまた、プロセッサと、プロセッサとワークステーションの間のデジタル通信を実現するためのプロセッサと通信インタフェースとを有するリモートデバイスにも関する。このリモートデバイスはさらにリモートデバイスデジタル証明書管理(RDDCM)ソフトウェアモジュールを含み、このモジュールには、デジタル証明書の管理に関わるタスクの実行を求めるワークステーションからのデータを伴う要求を受け取ることおよびデジタル証明書の管理に関わるタスクを実行するようワークステーションに要求することのうちの少なくとも一方のためのウェブサービスAPIを形成するプロセッサ上で実行可能な一連のプログラム可能な命令が含まれる。RDDCMはさらに、そのデータを使って要求されたタスクを実行する。
【0010】
本願の開示はさらに、リモートデバイスに関連付けられたデジタル証明書を管理する方法にも関する。この方法は、ウェブサービスAPIを提供するステップと、ウェブサービスAPIとワークステーションとの間でデジタル的に通信するステップを含む。通信するステップは、デジタル証明書管理に関わるタスクを実行するようリモートデバイスに要求するワークステーションからのデータを伴う要求を受け取るステップと、ワークステーションにデジタル証明書の管理に関わるタスクを実行するよう要求するステップのうちの少なくとも一方を含む。この方法はさらに、データを使って要求されたタスクを実行するステップを含む。
【0011】
最後に、本願の開示は、証明書管理システムを使ってデジタル証明書を管理する方法に関する。この方法は、WKSDCMモジュールを記憶するステップと、WKSDCMモジュールをワークステーションに送信するステップを含む。WKSDCMモジュールは、証明書管理システムのリモートデバイスに関連付けられたデジタル証明書を管理するための証明書管理システムのワークステーションのプロセッサ上で実行可能な一連のプログラム可能な命令を含み、管理には、デジタル証明書の管理に関わるタスクを実行するようリモートデバイスに要求することが含まれる。一連のプログラム可能な命令は、ウェブサービスAPIを構成する。
【0012】
本願において開示されたデジタル証明書管理システムのその他の特徴は、本願で開示するデジタル証明書管理システムの例を示す付属の図面を参照しながら以下の詳細な説明を読むことによって明らかになるであろう。
【発明を実施するための最良の形態】
【0013】
[実施例1]
図において同様の参照番号は同一の、または対応する要素を示しており、これらの図を参照しながら、本願の開示によるデジタル証明書管理システムと方法について以下に詳しく説明する。まず図1を参照すると、本願の開示による一例であるデジタル証明書管理システム100が描かれており、デジタル証明書管理システム100として総括的に示されている。デジタル証明書管理システム100は、ワークステーション102と、ネットワーク106を通じてワークステーション102にネットワーク接続された複数のリモートデバイス104を含む。ネットワーク106はネットワークマネージャ107を含んでいてもよく、これはネットワーク106上でのデータの流れを管理するためのネットワークサーバ、データベース、セキュリティマネージャ、コンフィギュレーションサーバ等を備える。ワークステーション102はさらに、インターネット等のネットワーク112を通じて証明書管理ウェブサーバ108および第三者の認証局(CA)110と通信している。
【0014】
ワークステーション102はX.509デジタル証明書等のデジタル証明書を管理しており、リモードデバイス104はこれらの証明書を使用して、たとえば自己署名証明書の作成、証明書署名要求(CSR)の作成、リモートデバイスへの署名済み証明書のアップロード、利用可能な証明書のリストアップ、特定の証明書の取得、CSRの取得、ルート証明書の追加、特定のルート証明書の取得、利用可能なルート証明書のリストアップ、ルート証明書の削除等を行う。
【0015】
ワークステーション102とリモートデバイス104はどちらもルート証明書を保存することがある。ルート証明書は、CA110または他の信頼できるサイトによって提供される。ルート証明書は、CA110が署名した証明書を認証するために、デジタル証明書管理システム100によって使用される証明書を認証するのに使用される。通信中に、ワークステーション102とリモートデバイス104の一方が他のデバイスのルート証明書を使った証明を要求するかもしれない。このような通信は、リモートデバイス104によって開始されるかもしれない。ルート証明書は、ルート証明書の証明の要求を受けた当事者によって保存されているデジタル証明書を認証し、その証明書が安全であることを認証するために使用される。
【0016】
ワークステーション102は、少なくとも1つのプロセッサと、ネットワーク106およびネットワーク112を通じた通信に必要なハードウェアとソフトウェアを含む通信インタフェース118を備える。ワークステーション102はさらに、リモートデバイス104に関連付けられたデジタル証明書を管理するためにプロセッサ116によって実行可能なワークステーションデジタル証明書管理(WKSDCM)ソフトウェアモジュール120を含む。WKSDCMモジュールは、ウェブサーバ定義言語(WSDL)で書かれたアプリケーションプログラミングインタフェース(API)であり、これはプラットフォームのアーキテクチャ、プラットフォームのオペレーティングシステム、あるいはアプリケーション用等のプラットフォームが使用するプログラミング言語の点で特定のプラットフォームに限定されないユニバーサルな言語である。したがって、ワークステーション102は特定のアーキテクチャを持つこと、特定のオペレーティングシステムを使用すること、あるいは特定のプログラミング言語で実現されたアプリケーションを使用することに限定されない。
【0017】
ウェブサービスはWSDL、Universal Description, Discovery and Integration(UDDI)およびSimple Object Access Protocol(SOAP)を使用する。WSDLは、ウェブサービスを定義し、それにアクセスする方法を記述するExtensible Markup Lantuage(XML)に基づく。WSDLの記述により、ひとつのエージェントのソフトウェアシステムは、World Wide Web等のネットワークを介して、SOAPプロトコルを使って他のエージェントと直接通信することができる。2つのエージェントはそれぞれのSOAPをリンクさせてもよい。ただし、セキュリティ対策が正しく管理されることを条件とする。エージェントは、UDDI等のディレクトリを通じてアクセス可能な他のエージェントの正式な記述にアクセスすることによって、未知のエージェント(たとえば、未知とは各々のSOAPインタフェースがリンクされていないことを意味する)と通信することもある。エージェントは、World Wide Web上の一連のファイル交換ルールであるHypertext Transfer Protocol(HTTP)や、HTTPのセキュリティ保護バージョンであるHTTPS(Secure Sockets Layer(SSL)上のHTTP)を使って通信できる。
【0018】
SOAPはウェブプロトコルを使ってエージェント間の通信を行い、情報の送受信方法を指定する。ウェブプロトコルはインストールされ、あらゆる主要なオペレーティングシステムプラットフォームによって使用される。したがって、HTTP,XMLおよびSOAPを使い、異なるオペレーティングシステムを使用しているエージェント間であっても相互に通信できる。SSLまたはその後継版でありSSLをもとにしたTransport Layer Security(TLS)は、インターネット上のメッセージ送信のセキュリティを管理するために一般的に使用されているプロトコルであり、インターネットのHypertext Transfer Protocol(HTTP)とTransport Control Protocol(TCP)レイヤの間にあるプログラムレイヤを使用する。上記の用語の「ソケット」という部分は、ネットワーク内のクライアントとサーバプログラムの間、あるいは同じコンピュータ内のプログラムレイヤ間でのデータ送受信のソケット処理方式を指す。
【0019】
ワークステーション102は、たとえば、パーソナルコンピュータ、マイクロコンピュータ、メインフレームコンピュータあるいは携帯型情報端末(PDA)、携帯電話等のハンドヘルドコンピューティングデバイスなどでもよい。プロセッサ116は、少なくともひとつの揮発性および/または不揮発性メモリにアクセス可能なマイクロプロセッサでもよい。通信インタフェース118は、ネットワーク106およびネットワーク112を通じてワークステーション102と、リモートデバイス104、証明書管理ウェブサーバ108および第三者の認証局110との間の通信を行うために構成されたハードウェアおよび/またはソフトウェアコンポーネントたとえば、通信ポート、入出力(I/O)アダプタ等を含む。通信インタフェース118は、有線または無線通信で実現してもよい。
【0020】
ネットワーク106とネットワーク112は、相互に排他的または共有のソフトウェアおよび/またはハードウェアコンポーネントとしてもよい。図の例において、ネットワーク112はインターネットであり、ネットワーク106は広域ネットワーク(WAN)またはローカルエリアネットワーク(LAN)等のイントラネットである。ネットワークマネージャ107は、コンフィギュレーションサーバ、セキュリティマネージャ等の少なくとも1つのサーバと、データ記憶コンポーネントを備えていてもよい。
【0021】
必要なセキュリティ上の権限を有するシステム管理者(SA)は、ワークステーション102を動作させ、WKSDCMモジュール120をアクティベートする。SAはさらに、市販のソフトウェアを使ってユーザインタフェース122を開発する。ユーザインタフェース122は、ユーザからのデータ(ユーザが入力するデータ)を収集し、このデータをWKSDCMモジュール120に供給するために使用される。ユーザインタフェース122は、ユーザにWKSDCMモジュール120の必要とするデータを入力するよう指示し、データを収集し、入力されたデータをデジタル証明書の管理のためにWKSDCMモジュール120に供給するグラフィカルユーザインタフェース(GUI)を提供してもよい。
【0022】
図2は、一例としてのリモートデバイス104をさらに詳しく示した図である。リモートデバイスは、少なくとも1つのプロセッサ202、通信インタフェース204、リモートデバイスデジタル証明書管理(RDDCM)ソフトウェアモジュール206および記憶デバイス208を備える。リモートデバイス104は、別のワークステーション、プリンタデバイス、民生用電子機器等としてもよい。この例において、リモートデバイス104はプリンタデバイスである。本願で使用する「プリンタデバイス」という用語は、何らかの目的のためにマーキング出力機能を果たすデジタルコピー機、電子写真印刷システム、インクジェット印刷システム、リプログラフィ印刷システム、製本機、ファクシミリ機、多機能機、テクスタイルマーキングマシン等のあらゆる装置やシステムを包含する。
【0023】
プロセッサ202は、記憶デバイス208を含む少なくとも1つの揮発性および/または不揮発性メモリにアクセスできるマイクロプロセッサ等としてもよい。通信インタフェース204は、ネットワーク106とネットワーク112を通じてワークステーション102とリモートデバイス104、証明書管理ウェブサーバ108および第三者認証局110を通信するように構成されたハードウェアおよび/またはソフトウェアコンポーネント、例えば、通信ポート、入出力(I/O)アダプタその他を備える。通信インタフェース204は、有線または無線通信で実現してもよい。
【0024】
RDDCMモジュール206は、WKSDCMモジュール102がリモートデバイス104のデジタル証明書を管理する際、たとえば記憶デバイス208に保存された秘密鍵220、公開鍵222、デジタル証明書224および/またはルート証明書226へのアクセスおよび/またはその管理等を行う際に必要となるワークステーション102のWKSDCMモジュール120と通信する。この例において、RDDCMモジュール206は、製造時にインストールされるか、ソフトウェアアップデートによってインストールされる。
【0025】
証明書管理ウェブサーバ108は、少なくとも1つのプロセッサ124、通信インタフェース126、ウェブインタフェース128、ウェブサーバデジタル証明書管理配信ソフトウェア(WBSDCMD)モジュール130と記憶デバイス132を有する。プロセッサ124は、少なくとも1つの揮発性および/または不揮発性メモリにアクセスできるマイクロプロセッサ等でよい。通信インタフェース126は、ハードウェアおよび/またはソフトウェアコンポーネント、例えば、証明書管理ウェブサーバ108とネットワーク112との間の通信を行うように構成された通信ポート、入出力(I/O)アダプタその他を備える。通信インタフェース126は、有線または無線通信で実現してもよい。
【0026】
ウェブインタフェース128は、クライアントの要求を受け取り、要求された製品をクライアントに提供するための、クライアントとのインタフェースを提供する。この例において、クライアントの要求はワークステーション102によって生成される。ウェブインタフェース128はクライアントの要求に関するデータを収集し、その中でたとえば支払情報や要求された製品を収集する。WBSDCMDモジュール130は、プロセッサ124により実行可能な一連のプログラム可能な命令を含む。WBSDCMDモジュール130は要求を処理し、記憶デバイス132から要求された製品を呼び出し、要求された製品をウェブインタフェース128に供給する。記憶デバイス132は、WKSDCMモジュール120を含む製品を記憶する。ウェブインタフェース128は、たとえばアップロード動作等によって製品をクライアントに提供する。この例において、ワークステーション102はWKSDCMモジュール120を購入するよう要求し、この購入を行い、証明書管理ウェブサーバ108からWKSDCMモジュール120をダウンロードし、これをインストールする。
【0027】
WKSDCMソフトウェアモジュール120、RDDCMソフトウェアモジュール206及びWBSDCMDソフトウェアモジュール130は、証明書管理ウェブサーバ108により伝播信号としてダウンロードするか、あるいはCD等のリムーバブル記憶媒体に記憶する等の方法で提供される。証明書管理ウェブサーバ108による上記のようなソフトウェアモジュールの提供は、有料で行われることがある。個々のソフトウェアモジュール、たとえばWKSDCMモジュール120、RDDCMモジュール206及びWBSDCMDモジュール130は、関連するプロセッサ、たとえばそれぞれプロセッサ116,202,124によって実行される一連のプログラム可能な命令を含む。この一連のプログラム可能な命令は、本願で開示する機能を果たし、この開示にしたがって技術的効果を得るために、上記のようにRAM、ハードドライブ、CD、スマートカード、3.5”ディスケット等のコンピュータ読取可能媒体上に記憶するか、あるいは伝播信号を通じて送信し、それぞれ関連するプロセッサ116,202,124によって実行されるようにすることができる。
【0028】
次に、自己署名証明書、CSRまたはルート証明書等の証明書を作成することを求める要求を管理するための動作ステップを説明する。ユーザインタフェース122を使い、SAは要求を入力する。ユーザインタフェース122を通じて、WKSDCMモジュール120はSAに対し、要求の本質(nature)とその要求を処理するために必要で、作成する証明書の中に含める可能性のあるデータを入力するよう指示する。このデータとしては、たとえば証明書の作成を許可する管理パスワード、自己署名証明書が有効な日付および/または期間、国コード、どのリモートデバイス104について自己署名証明書が要求されているか、およびSAに関する国コード、州、番地、組織の名称、電子メールアドレス等の識別データ等がある。さらに、要求は、要求の発行先となる具体的なリモートデバイス104を特定する。
【0029】
WKSDCMモジュール120は、SAにより入力されたデータを含む要求を、特定されたリモートデバイス104のRDDCMモジュール206に送信する。要求が自己署名証明書の生成を求める要求であれば、RDDCMモジュール206は記憶された秘密鍵と公開鍵にアクセスし、要求とともに提供されたデータと秘密鍵および/または公開鍵を使って自己署名証明書を生成し、これを記憶デバイス208に記憶する。次に、RDDCMモジュール206はWKSDCMモジュール120に証明書作成の成功を知らせ、WKSDCMモジュール120はユーザインタフェース122を通じてこれをSAに通知する。
【0030】
自己署名デジタル証明書の代わりに、リモートデバイス104は、CA等、信頼できる第三者により署名された署名入りデジタル識別証明書を使用してもよい。証明書への署名を求める要求を伴う証明書であるCSRは、WKSDCMモジュール120から、他者が使用するためにデジタル証明書に署名する権限を有するCA等の信頼できる第三者に送られる。CAには、たとえば無料CA、団体や政府に関連付けられるCA、あるいは有料でサービスを提供する商業的CAがある。CAは署名済みのデジタル識別証明書をWKSDCモジュール120に返送する。
【0031】
リモートデバイス104のRDDCMモジュール206は、WKSDCMモジュール120からCSR作成要求を受け取ると、その要求に含められたデータと秘密鍵および/または公開鍵を使ってCSRを作成する。作成後、RDDCMモジュール206は作成されたCSRをWKSDCMモジュール120に送る。好ましくは、RDDCMモジュール206はCSRをローカルの記憶デバイス208に記憶する。よく知られたタイプのCSRの場合、CSRは公開鍵を含み、CAの秘密鍵により署名される。CSRの作成がリモートデバイス104において失敗すると、RDDCMモジュール206はエラーメッセージをWKSDCMモジュール120に返信し、ユーザインタフェース122を通じてCSRの作成状態がSAに通知される。CSRの作成が成功すると、WKSDCM120はネットワーク112を通じてCSRをCA110に送信する。CA110へのCSRの送信は、SAが一切介入しなくても、WKSDCMモジュール120がRDDCMモジュール206からCSRを受信すると自動的に行われる。
【0032】
CAは証明書に署名し、署名済みのデジタル識別証明書をWKSDCMモジュール120に送信する。WKSDCMモジュール120は、署名済みの証明書を適当なリモートデバイスにアップロードし、その一環として署名済みの証明書を管理パスワードとともにリモートデバイス104のRDDCMモジュール206に供給する。RDDCMモジュール206は、署名済みの証明書をインストールし、その一環として記憶デバイス208に記憶する。
【0033】
WKSDCMモジュール120からRDDCMモジュール206への署名済み証明書の提供は、SAが介入なくてもCAから書名済み証明書を受信すると自動的に行われ、署名済み証明書を提供するステップは、署名済み証明書がインストール可能な状態になったことをRDDCMモジュール206に通知するステップが含まれる。さらに、RDDCMモジュール206による署名済み証明書のインストーもまた、SAが介入しなくても、署名済み証明書がインストール可能な状態になったことをWKSDCMモジュール120から通知されると自動的に実行される。署名済みの証明書が無事にインストールされると、RDDCMモジュール206はWKSDCMモジュール120にインストールの成功を知らせ、成功しなければ、WKSDCMモジュール120にエラーメッセージを送信し、これがユーザインタフェース122を通じてSAに通知する。
【0034】
WKSDCMモジュール120はまた、ネットワーク112を通じてルート証明書の要求をCA110に送信することもできる。CAは署名済みルート証明書をWKSDCMモジュール120に提供し、この証明書は、そのCAが信頼できるCAであれば、信頼できるルート証明書とも呼ばれる。WKSDCMモジュール120は、適当なリモートデバイス104にルート証明書をアップロードし、その一環として、管理パスワードと一緒にルート証明書をリモートデバイス104のRDDCMモジュール206に供給する。RDDCMモジュール206はルート証明書をインストールし、その一環として、これを記憶デバイス208に記憶する。WKSDCMモジュール120はまた、それ自身または他の信頼できるサイトから得られたルート証明書をリモートデバイス104のRDDCMモジュール206にアップロードする。
【0035】
上記のほか、WKSDCMモジュール120は、RDDCMモジュール206に対し、過去に作成された特定の自己署名デジタル証明書、第三者による署名済みのデジタル証明書、CSRまたはルート証明書をWKSDCMモジュール120に提供するよう求める要求を生成してもよい。RDDCMモジュール206はこれに応答し、要求された証明書または要求された種類の証明書のリストを記憶デバイス208から呼び出し、これをWKSDCMモジュール120に送信する。
【0036】
さらに、RDDCMモジュール206は、通信を開始し、WKSDCMモジュール120に対し、デジタル証明書の管理に関するタスクを実行するよう要求することができる。通信は、たとえば、リモートデバイス104が電子メールを生成したとき、またはスキャンされた文書を含むファイル等の文書を送信したときに開始される。たとえば、RDDCMモジュール206はWKSDCMモジュール120にルート証明書を使って別の証明書を証明するように要求することができる。
【図面の簡単な説明】
【0037】
【図1】本願の開示にしたがって証明書管理ウェブサーバおよび第三者の認証局とデジタル通信を行う証明書管理システムのブロック図である。
【図2】図1に示す証明書管理システムのリモートデバイスのブロック図である。
【符号の説明】
【0038】
100 デジタル証明書管理システム、102 ワークステーション、104 リモートデバイス、106,112 ネットワーク、107 ネットワークマネージャ、108 ウェブサーバ、110 認証局、116,124,202 プロセッサ、118,126,204 通信インタフェース、120 ワークステーションデジタル証明書管理ソフトウェアモジュール、122 ユーザインタフェース、128 ウェブインタフェース、130 ウェブサーバデジタル証明書管理配信ソフトウェアモジュール、206 リモートデバイスデジタル証明書管理ソフトウェアモジュール、208,132 記憶デバイス、220 秘密鍵、222 公開鍵、224 デジタル証明書、226 ルート証明書。
【特許請求の範囲】
【請求項1】
リモートデバイスに関連付けられたデジタル証明書を管理するためのコンピュータワークステーションであって、
プロセッサと、
前記プロセッサとリモートデバイスとの間のデジタル通信を実現するための通信インタフェースと、
を有し、
前記プロセッサは、ワークステーションデジタル証明書管理(WKSDCM)ソフトウェアを実行し、
前記ソフトウェアは、前記リモートデバイスに対し、デジタル証明書の管理に関連付けられたタスクを実行するよう要求すること、または前記リモートデバイスからの要求に応答してデジタル証明書の管理に関わるタスクを実行すること、のうちの少なくとも一方のために、前記リモートデバイスと通信するウェブサービスアプリケーションプログラミングインタフェース(API)を構成する一連のプログラム可能な命令を含むことを特徴とするコンピュータワークステーション。
【請求項2】
リモートデバイスに関連付けられたデジタル証明書を管理する方法であって、
ウェブサービスアプリケーションプログラミングインタフェース(API)を提供するステップと、
前記ウェブサービスAPIとリモートデバイスの間でデジタル通信を行うステップと、
を含み、
前記デジタル通信を行うステップは、前記リモートデバイスに対し、デジタル証明書の管理に関わるタスクを実行するよう要求するステップと、デジタル証明書の管理に関わるタスクを実行するために、前記リモートデバイスからの要求に応答するステップと、のうちの少なくとも一方を含むことを特徴とするデジタル証明書管理方法。
【請求項3】
請求項2に記載の方法であって、
前記要求するステップは、前記リモートデバイスにデータを供給するステップを含み、
前記データは前記要求を検証する管理パスワードと、前記リモートデバイスと前記ワークステーションのうちの少なくとも一方を識別するための識別データと、前記タスクを通じて作成されたエンティティが有効である期間を示す期間データを含むデータグループから選択されることを特徴とする方法。
【請求項4】
リモートデバイスであって、
プロセッサと、
前記プロセッサとワークステーションとの間のデジタル通信を行うための通信インタフェースと、
を有し、
前記プロセッサは、ウェブサービスアプリケーションプログラミングインタフェース(API)を構成する一連のプログラム可能命令を含むリモートデバイスデジタル証明書管理(RDDCM)ソフトウェアを実行し、
前記APIは、
前記ワークステーションからのデータとともに、デジタル証明書の管理に関わるタスクの実行を求める要求を受け取ること、または前記ワークステーションに対しデジタル証明書の管理に関わるタスクを実行するよう要求すること、の少なくとも一方のために前記ワークステーションと通信し、
前記データを使って前記要求されたタスクを実行する
ことを特徴とするリモートデバイス。
【請求項1】
リモートデバイスに関連付けられたデジタル証明書を管理するためのコンピュータワークステーションであって、
プロセッサと、
前記プロセッサとリモートデバイスとの間のデジタル通信を実現するための通信インタフェースと、
を有し、
前記プロセッサは、ワークステーションデジタル証明書管理(WKSDCM)ソフトウェアを実行し、
前記ソフトウェアは、前記リモートデバイスに対し、デジタル証明書の管理に関連付けられたタスクを実行するよう要求すること、または前記リモートデバイスからの要求に応答してデジタル証明書の管理に関わるタスクを実行すること、のうちの少なくとも一方のために、前記リモートデバイスと通信するウェブサービスアプリケーションプログラミングインタフェース(API)を構成する一連のプログラム可能な命令を含むことを特徴とするコンピュータワークステーション。
【請求項2】
リモートデバイスに関連付けられたデジタル証明書を管理する方法であって、
ウェブサービスアプリケーションプログラミングインタフェース(API)を提供するステップと、
前記ウェブサービスAPIとリモートデバイスの間でデジタル通信を行うステップと、
を含み、
前記デジタル通信を行うステップは、前記リモートデバイスに対し、デジタル証明書の管理に関わるタスクを実行するよう要求するステップと、デジタル証明書の管理に関わるタスクを実行するために、前記リモートデバイスからの要求に応答するステップと、のうちの少なくとも一方を含むことを特徴とするデジタル証明書管理方法。
【請求項3】
請求項2に記載の方法であって、
前記要求するステップは、前記リモートデバイスにデータを供給するステップを含み、
前記データは前記要求を検証する管理パスワードと、前記リモートデバイスと前記ワークステーションのうちの少なくとも一方を識別するための識別データと、前記タスクを通じて作成されたエンティティが有効である期間を示す期間データを含むデータグループから選択されることを特徴とする方法。
【請求項4】
リモートデバイスであって、
プロセッサと、
前記プロセッサとワークステーションとの間のデジタル通信を行うための通信インタフェースと、
を有し、
前記プロセッサは、ウェブサービスアプリケーションプログラミングインタフェース(API)を構成する一連のプログラム可能命令を含むリモートデバイスデジタル証明書管理(RDDCM)ソフトウェアを実行し、
前記APIは、
前記ワークステーションからのデータとともに、デジタル証明書の管理に関わるタスクの実行を求める要求を受け取ること、または前記ワークステーションに対しデジタル証明書の管理に関わるタスクを実行するよう要求すること、の少なくとも一方のために前記ワークステーションと通信し、
前記データを使って前記要求されたタスクを実行する
ことを特徴とするリモートデバイス。
【図1】
【図2】
【図2】
【公開番号】特開2008−262564(P2008−262564A)
【公開日】平成20年10月30日(2008.10.30)
【国際特許分類】
【出願番号】特願2008−103038(P2008−103038)
【出願日】平成20年4月11日(2008.4.11)
【出願人】(596170170)ゼロックス コーポレイション (1,961)
【氏名又は名称原語表記】XEROX CORPORATION
【Fターム(参考)】
【公開日】平成20年10月30日(2008.10.30)
【国際特許分類】
【出願日】平成20年4月11日(2008.4.11)
【出願人】(596170170)ゼロックス コーポレイション (1,961)
【氏名又は名称原語表記】XEROX CORPORATION
【Fターム(参考)】
[ Back to top ]