メイン コンテンツをスキップする

暗号化証明書

暗号化キーは証明書を使用することで適切に管理できます。エンジン サービスを実行しているユーザーについては、証明書を証明書ストアに保存する必要があります。[User accounts] (ユーザー アカウント) をご確認ください。

暗号化キー

暗号化ソリューションで使用されるキーの種類は 2 つあります。

  • データの暗号化キー
  • キーの暗号化キー

データの暗号化キー

データの暗号化キー (DEK) は、データの AES 暗号化に使用する自動生成キーです。暗号化するオブジェクトごとに新しいキーが生成されます。

キーの暗号化キー

キーの暗号化キー (KEK) は、データの暗号化キーのセキュアな非対称暗号化に使用する秘密鍵と公開鍵のペアです。公開鍵はデータの暗号化に使用され、秘密鍵は公開鍵で暗号化されたデータの復号に使用されます。

注: 対応しているのは、RSA アルゴリズムを使用したキーのみです。

キーの暗号化に使用されるキーは、Qlik Management Console (QMC) の [Service cluster] (サービス クラスター) リソース内の [Data encryption] (データの暗号化) セクションで指定されています。サービス クラスター をご確認ください。

指定されたキーは、Microsoft 社の Cryptography Next Generation (CNG) キー格納プロバイダーに保存されています。また、Windows の証明書ストアに保存されている証明書に含まれています。

使用するキーの暗号化キーを特定する

キーは証明書を使用することで適切に管理できます。Qlik associative engine は、QMC の暗号化キーのサムプリントを定義することで構成されます。証明書の [Thumbprint] (サムプリント) フィールドの値をコピーして、QMC の [Encryption key] (暗号化キー) フィールドに貼り付けます。

次の手順を実行します。

  1. [Certificate Manager] (証明書の管理) ツール (certmgr.msc) を開きます。
  2. 証明書を確認します。
  3. 証明書を右クリックして [Open] (開く) を選択します。
  4. [Details] (詳細) タブで [Thumbprint] (サムプリント) フィールドの値をコピーします。
  5. QMC 内で [Service cluster] (サービス クラスター) > [Data encryption] (データの暗号化) > [Encryption key] (暗号化キー) の順に開き、コピーした値を貼り付け、サービス クラスター を確認します。
注: エンジン サービスを実行しているユーザーについては、証明書を証明書ストアに保存する必要があります。

暗号化証明書の管理

証明書の管理向けのツールは多く存在しますが、本資料では Windows PowerShell を使った証明書の作成および配布に焦点を当てて説明します。

他のツールを使用する場合は、次の要件を満たす必要があります。

  • RSA キーが使用されている
  • CNG キー格納プロバイダーにキーが保存されている
  • エンジン サービスを実行しているユーザーの場合、証明書が証明書ストアに保存されている

証明書の作成

暗号化の証明書を作成することができます。

Microsoft PowerShell で次のコマンドを入力します。

PS C:\Users\johndoe.ACME> New-SelfSignedCertificate -Subject <Certifcate name> -KeyAlgorithm RSA -KeyLength <Key length, e.g.4096> -Provider "Microsoft Software Key Storage Provider" -KeyExportPolicy ExportableEncrypted -CertStoreLocation "cert:\CurrentUser\My"

証明書のエクスポート

証明書を PFX ファイルでエクスポートすることができます。

Microsoft PowerShell で次のコマンドを入力します。

PS C:\Users\johndoe.ACME> $mypwd = ConvertTo-SecureString -String "<Password>" -Force -AsPlainText PS C:\Users\johndoe.ACME> Export-PfxCertificate -cert cert:\currentuser\My\<certificate thumbprint> -FilePath <FileName>.pfx -Password $mypwd

証明書のインポート

証明書を他のマシンなどにインポートすることができます。

Microsoft PowerShell で次のコマンドを入力します。

PS C:\Users\johndoe.ACME> $mypwd = ConvertTo-SecureString -String "<Password>" -Force -AsPlainText PS C:\Users\johndoe.ACME> Import-PfxCertificate -CertStoreLocation cert:\currentuser\My -FilePath <FileName>.pfx [-Exportable] -Password $mypwd