pkfcx4 総合説明書 Private Key ForCe eXporter version 4 概要 本ソフトは、Windows インターネットバンキング等で使われる電子証明書が「秘密鍵エクスポート不可」に なっているため、これの完全バックアップ(秘密鍵付きバックアップ)が取れないとき、 これを強制的にエクスポート可能にして完全バックアップを取ることができます。 また、証明書(正確には秘密鍵)生成時に、意図せず「(秘密鍵に対する)プロテクト」を設定をしてしまい、証 明書(正確には秘密鍵)が取扱われるたびに、下図のような OS の警告画面が出るようになり、非常に処理が煩わ しくなっているときに、これを完全に解除(プロテクト無しに)することができます。 一般的なプロテクト設定の場合「OK」を押せばいいだけですが パスワードまで設定してしまっていた場合は、毎回これの入力 が求められるようになります WindowsAPI では鍵生成時にこれに設定した「エクスポート不可」や「プロテクト」の属性は以降、変更や 解除はできない仕様、建前になっていますので、本ソフトでは独自の処理でこれを実現します。 「pkfcx Ver4」では、従来からの方法を変更したため、「エクスポート不可」や「プロテクト」の属性を変更し ようとするときに、例え「プロテクト」が設定されていたとしても OS の警告画面は出ません。その処理はいわ ば OS の外で行われます(不正確な表現ですが)。 従来の CSP(Cryptographic Service Provider)に加え、「pkfcx Ver4」より CNG(Crypto Next Genaration) にも対応しました。よって、自ら作成した CNG 鍵を基に(テスト的に)証明書を作成することもできます。 上図は CNG が取扱える ECC(楕円曲線暗号)アルゴリズムを使った鍵で証明書を作成した例です。 もちろん、従来の CSP 鍵だけでなく、CNG 鍵の「エクスポート不可」や「プロテクト」の属性も変更できます。 動作確認環境 Windows 環境でのみ動作します。以下の OS 環境であればそれ以上の動作要件はありません。 対応プラットフォーム x86(IA-32)と x64 (その他のプラットフォームには対応していません) x86 環境 Windows7 Windows7-SP1 Windows8 Windows8.1 x64 環境 Windows8 Windows2012 Windows8.1 Windows10 これ以外の OS 環境では動きません。x64 環境で x86 版は(WOW64 で)動作しますが推奨されません。 画面解像度 1280×800 ドット以上 本ソフトは、管理者権限を持ったアカウントで実行する必要があります。 同梱ファイル pkfcx4本体(実行ファイル) pkfcx4_32.exe (x86用) pkfcx4_64.exe (x64用) pkfcx4_version.txt (変更履歴) 説明書 pkfcx4_readme.pdf (本説明書) pkfcx4_pkfcx/pkfcr/else.pdf (pkfcx/pkfcr/else 各系説明書) インストール インストール作業は不要です。実行ファイルを直接起動してください。実行ファイルが存在するディレクトリ直 下に一定のディレクトリを切りますので、デスクトップ等からの実行は推奨されません。 バージョンアップ時には、本ソフトを起動後、一旦「完全終了」ボタンで終了してから再起動してください。 アンインストール 本ソフトは起動するとシステムのいくつかのレジストリを使用する他、テンポラリフォルダでいくつかのファイ ルを生成します。しかし「完全終了」ボタンを押して終了することでこれらを削除し導入前の環境に戻せます。 すなわちアンインストール作業は不要です。 「完全終了」ボタンによる終了は、原則本ソフトによるシステムへの残存物を全て削除しますが、 本ソフトが試用制限を設けている関係上、試用関係情報のみ例外としてシステムに残存させてもらっています。 尚、本ソフトの使用レジストリは以下で画面位置等を記録しています。 HKEY_LOCAL_MACHINE\SOFTWARE\pkfcx4 HKEY_LOCAL_MACHINE\SOFTWARE\pkfcx4_regist シェアウェア・試用について 本ソフトは起動回数「10 回まで」、インストール後「7 日間」試用することができる「シェアウェア」です。 その間で、お使いの環境での動作確認を行っていただき、継続使用する場合はご購入ください。 但し「秘密鍵エクスポート可能化機能」「秘密鍵プロテクト解除機能」以外は無償で継続使用できます。 金額・支払方法について ソフト本体価格(消費税別)5,600 円です。支払方法は原則「ベクタシェアレジ」のみとなります。 ベクタシェアレジがなんらかの事情で利用できない方は下記メールアドレスへ連絡ください。 個別に折返し、銀行振込による方法をご連絡します。 連絡先 作者への連絡先は下記のとおりです。 ハンドル 丸太 メールアドレス [email protected] 対応暗号プロバイダ 本ソフトは以下の CSP と CNG に対応しています。 CSP(Cryptographic Service Provider) Microsoft Base Cryptographic Provider v1.0 Microsoft Strong Cryptographic Provider Microsoft Enhanced Cryptographic Provider v1.0 Microsoft RSA Schannel Cryptographic Provider Microsoft RSA Signature Cryptographic Provider Microsoft Enhanced RSA and AES Cryptographic Provider Microsoft Base DSS Cryptographic Provider Microsoft Base DSS and Diffie-Hellman Cryptographic Provider Microsoft DH Schannel Cryptographic Provider Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider Microsoft Base Smart Card Crypto Provider (Microsoft Base Smart Card Crypto Provider では秘密鍵強制エクスポートはできません。) CNG(Crypto Next Genaration) Microsoft Software Key Storage Provider その他注意事項 ① ドライブを暗号化するソフトで「システムドライブ」全体を暗号化してある場合「pkfcx4」は試用回数及び 期間の計測を誤り、初回起動時いきなり試用回数または期限超過になる場合があります。そのような環境で は「試用」できないことをご了承ください。 ② システムに、物理ハードディスクが最低 1 台接続されている必要があります。具体的には Windows システ ム上に「¥¥.¥PhysicalDrive0」のシンボリックリンクが存在している必要があります。 ③ 本ソフトは、管理者権限を持ったアカウントで実行する必要があるため、管理者権限をもたないユーザーア カウントの証明書や CSP 鍵コンテナや CNG 鍵ペアをストレートには処理できません。 管理者権限を持たないユーザーの証明書や鍵コンテナを処理する場合は、一旦その対象ユーザーに管理者権 限を与えてそのアカウントで本ソフトを起動して処理するか、 「pkfcr」系で処理(後述)する必要があります。 ④ 本ソフトは、その設定情報をレジストリ HKEY_LOCAL_MACHINE に保存するため、その設定情報はユー ザー個別でなくマシン共通となります。 簡単「電子証明書」バックアップ方法 ここでは仮に Windows8.1 x64 環境の例で説明します (他の環境では多少の違いがありますが同様です)。 ターゲット証明書の選択 本ソフトを起動すると以下の画面になります。 ツリービュー内の「現在のユーザー」ノードの展開スイッチ(三角のしるし)をクリックして展開してください。 システムローケーション「現在のユーザー」内のシステムストアが列挙されますので、 「個人」のノードをクリックしてそのシステムストアを展開してください。 以上のようにそのシステム(論理)ストア内の物理ストアが展開されます。 ここでは「レジストリ」が出てきますのでそれを展開します。 このように「証明書」が列挙されます。例として「test1」~「test4」という名前の証明書が見えています。 ここでターゲットとなるネットバンキング用の電子証明書を選択してもらうことになりますが、以降、説明のた め「test1」~「test4」がターゲットとなる証明書と仮定して話を進めます。 ターゲットとなる証明書がわからない場合、通例その名前に関連する文字(金融機関名等)が入っていますのでそ れを頼りに見つけてください。 この説明では「現在のユーザー」「個人」にターゲット証明書があると仮定していますが、かならずしもそこにター ゲットがあるとは限りませんので、みつからない場合は別の場所も探してください。 「test1」という証明書は、一般的なネットバンキング用電子証明書と同様に「秘密鍵エクスポート不可」にな っています。これは以下のような情報(下図画面中央カーソル位置)から判別できます。 またツリービューノード上の「test1」の左の小さいアイコンに小さい赤い「×」マークがありますが、これも そのことを示しています。 各小アイコンの意味は以下のとおりです。 「CSP 鍵」の証明書で、その鍵は「エクスポート可能」でありかつ「プロテクト」無し。 「CNG 鍵」の証明書で、その鍵は「エクスポート可能」でありかつ「プロテクト」無し。 その鍵は「エクスポート不可」になっている。(左が CSP 鍵で右が CNG 鍵) その鍵には「プロテクト」が設定されている。(左が CSP 鍵で右が CNG 鍵) この「プロテクト」には、秘密鍵取扱い時に 「単に警告画面が出る」だけの場合(USER_PROTECT)と、 事前に自己が設定した「パスワードの入力が求められる」もの(PROTECTION_HIGH)がある。 エクスポート可能化 次に、秘密鍵エクスポート不可状態を解除してエクスポート可能化します。 まずは証明書「test1」のノード上でマウスを「右クリック」してコンテキストメニューを出してください。 「秘密鍵エクスポート 可能/不能化」メニュー項目内の「両鍵 可能化」を選択しクリックしてください。 先ほど、エクスポート「不可」となっていたところが「可能」に変わり、(下図画面中央カーソル位置) 「test1」の左のアイコンの赤い「×」マークも消えました。 これで「秘密鍵付きでエクスポート」すなわち「完全バックアップ」が取れるようになりました。 尚、ここで以下のように再度コンテキストメニューを出し「不能化」をクリックすると、 また元の「エクスポート不可」な状態に戻ります。 「test2」証明書は「エクスポート不可」の CNG 鍵の証明書です。これも同様な手順で「エクスポート可能」に 変更できます。 プロテクト解除 次に、秘密鍵のプロテクト解除の説明をします。 「test3」証明書は「エクスポート不可」で「プロテクト」に設定された CSP 鍵の証明書です。これも同様な手 順で「エクスポート可能化」と「プロテクト解除」ができます。まずは「プロテクト解除」してみます。 下図のようにコンテキストメニュー「秘密鍵 DPAPI プロテクト 解除/設定」を出し「両鍵 解除」を押します。 下図のようにアイコンにあった四角い赤枠が取れて「秘密鍵プロテクト」が解除されました。 この証明書(の秘密鍵)は「エクスポート不可」ですので、これも上記の手順で解除します。 「test4」証明書は「エクスポート不可」で「プロテクト(PROTECTION_HIGH)」に設定された CSP 鍵の証明 書です。これも同様な手順で「プロテクト解除」します。 但し、この例では「PROTECTION_HIGH」すなわち「パスワードプロテクト」されています。 そこで本ソフトが(事前にユーザーが秘密鍵に設定した)「パスワード」の入力を求めてきます。 適宜に(この例の場合「12345」)パスワードを入力して「OK」で進みます。 その CSP 鍵コンテナに「鍵交換鍵」「署名鍵」の二つがあった場合、パスワードは(原理的に)2 回訊ねられます。 尚、このパスワードの入力を求めるダイアログは、(秘密鍵に)「パスワードプロテクト」が掛かった証明書を「プロ テクト解除」せずに「エクスポート可能化」しようとした場合にも現れます。その場合には、自己が秘密鍵に設定し たパスワードを入力してください。 パスワードが正しい場合、「プロテクト解除」が成功し、下図のようにアイコンの赤枠が消えます。 尚これも前件同様「エクスポート不可」になっていますので、それも上述手順で解除します。 バックアップ(エクスポート) 次に、「証明書のエクスポート」すなわち「バックアップ」を行います。「test1」証明書を、エクスポート可 能な状態にしてから(別段「プロテクト」については解除されないままでもかまいません)、コンテキストメニュ ーを出し、以下のように「エクスポート」をクリックしてください。 このように、OS の証明書のエクスポートウィザードが開始しますので「次へ」をクリックしてください。 (尚、ここからの一連の画像は Windows7 環境のものです。) 仮に「秘密鍵エクスポート不可」の状態ですと以下のような画面が出ますが、 ここでは既に「エクスポート可」に変更してありますのでこの画面は出ません。 このような画面になります。「はい」の方を選択し「次へ」ボタンで進んでください。 以下のように選択し「次へ」ボタンで進んでください。 適宜に「パスワード」設定し「次へ」ボタンで進んでください。 尚、ここで設定する「パスワード」は、前述の「秘密鍵のプロテクトのパスワード」とは概念が違います。 ここでのパスワードは、ここでエクスポートしたファイルを、後でインポートするときに必要となるものです。 エクスポートしたファイルは、ここで設定されたパスワードをもとに暗号化され、 インポート時にこのパスワードをキーに復号化されるものです。 適宜に「エクスポートするファイル名」を設定し「次へ」ボタンで進んでください。 「完了」ボタンで進んでください。 このような画面(左図)が出たならば「OK」で進んでください。これは「プロテクト」がある場合にこうなりま す。 右図が出れば「エクスポート」は完了です。 エクスポート(速攻)について 下図のように「エクスポート(速攻)」という機能があります。 これを実行した場合、選択した証明書が、ウィザード無しにサイレントで本ソフトの実行ディレクトリ直下の 「cert」ディレクトリに適宜な名前で直ちにエクスポート保存されます。保存ファイルは「pfx」型になります。 尚、ツリーで選択されているものが証明書でなく、物理ストア(この例では上層の「レジストリ」)の場合、その 中にある全ての証明書が選択されたことになり、その全てがエクスポートされます。 このことは前述の、通常の「エクスポート」にも当てはまります。 但し「エクスポート(速攻)」で物理ストアを選択しエクスポートしようとしたときに、その証明書の中に一つで も(秘密鍵)エクスポート不可のものがあると、この機能は失敗します。 簡単「電子証明書」リストア方法 ここでは先にバックアップした証明書のリストア方法を説明します。 リストア場所の選択 本ソフトを起動します。 バックアップの時と同様にツリーノードを展開し、証明書をリストアする物理ストアを選択します。 選択した物理ストア上でコンテキストメニューを出し「インポート」を選択クリックしてください。 インポート 下図のように OS の証明書のインポートウィザードが開始するので「次へ」で進みます。 (尚、ここからの一連の画像は Windows7 環境のものです。) インポートするファイルの選択に入ります。「参照」ボタンを押してファイル選択します。 ここでは仮にインポートするファイル名を先ほどバックアップした「D:\pkfcx\Exec\test.pfx」とします。 右下ファイル種別選択コンボボックスで「PersonalInformationExchange」を選択します。 先ほどのバックアップファイルが表示されるのでこれを選択します。 「次へ」で進みます。 エクスポート時に設定した「パスワード」を入力し、適宜オプションを設定して「次へ」進みます。 「秘密キーの保護を強力にする」これを設定すると鍵取扱局面で確認ダイアログが表示されるようになります。 これが「秘密鍵のプロテクト」になります。 「このキーをエクスポート可能にする」これを設定しないと「エクスポート不可」になります。 とはいえ本ソフトで後でこの「不可」は解除できます。 「すべての拡張プロパティを含める」一般的に設定してください。 このような画面になるので「次へ」進みます。 「完了」で進みます。 もしこのような画面が表示されたら「OK」で進んでください。 この画面は、先ほどの「秘密キーの保護を強力にする」を設定した場合に出るもので、「プロテクト」を具体的 に設定するためのものです。このまま「OK」を押すと、通常の「プロテクト」状態になり、秘密鍵取扱い局面 で OS の警告が出るだけですが、上図「セキュリティレベルの設定」に入り、レベルを「高」に設定すると、別 途「パスワード」の入力が求められ、以降、秘密鍵取扱い局面で、必ず OS の警告が出るのはもとより、そこで この「パスワード」を入力することが求められるようになります。 これで「インポート」は完了です。 ネットバンキング証明書の場合、この処理を別のパソコンで行うことでそのパソコンでもバンキング処理が可能 になります。当然のことですが、証明書をバックアップしたファイルは、その別のパソコンで USB メモリ等を経 由して読めるようにしておく必要があります。 購 入 登 録 (認 証 )方 法 試用制限解除の購入登録(認証)方法を説明します。 「登録」ボタンを押してください。 このような画面が表示されます。 赤いマークが出ていますがこれは試用回数超過で未認証を示します。 試用回数未満で未認証のときは黄色、 認証状態では緑色になります。 登録申請したときの「メールアドレス」と取得した「登録コード」を(コピペで)入力して 「登録実行」ボタンを押してください。 登録コード内で右クリックすると 「ペースト」等の機能リストが表示されるのでそれを使って入力してください。 正しい登録コードを入力し「登録」ボタンを押すと「認証完了」します。 以下のようになれば「登録完了」です。「終了」で登録シーケンスを終了します。 起動回数のカウントは本ソフトを何回起動したかどうかで、証明書のエクスポートアクション数とは無関係です。 試用中はなるべく起動した本ソフトを終了せずに、連続して証明書が正しくエクスポートできるか検証してくだ さい。
© Copyright 2024 ExpyDoc