FAQ
デジタル署名されたアドイン
ナレッジ番号:5255 | 登録日:2023/07/26 | 更新日:2024/11/21
内容
- デジタル署名されたアドイン
- デジタル署名と共にアドイン ファイルをインストールする
- ArcGIS Desktop アドイン セキュリティ ポリシーの管理
- アドイン ファイルにデジタル署名を適用する
- 技術資料
デジタル署名された アドイン
アドイン ファイルが公開され、ユーザーの間で共有されるケースではセキュリティを向上させるために ArcGIS デスクトップ アドインがデジタル署名されることがあります。デジタル署名されたアドイン ファイルでは、ファイルの発行元を確認し、署名が適用された後でオリジナルのファイル コンテンツが変更されていないことを確かめることができます。しかしながら、アドイン ファイルにデジタル署名が存在するからといって、アドインがプログラム エラーを含まないということを意味するものではありません。
アドイン ファイルが一旦デジタル署名されると、内容を変更したり削除したりするとアドインのタイプに関わらずデジタル署名が壊れてしまいます。アドイン ファイルの署名が壊れていると、アドイン マネージャーを使用してアドイン ファイルをインストールしたり、既存のアドイン ファイルを表示したりする際に、ユーザー インタフェースにおいて顕著に表れます。
すべてのデジタル署名は、署名の過程で標準 ITU X.509 デジタル 証明書にリンクされ、署名を適用するのに使用されます。信頼できる署名は、信頼できる証明機関によって発行されたデジタル証明書を使用して作成されたものです。Windows のオペレーティング システムは、信頼されたルート証明機関ストア内に、信頼された証明書のデータベースを保持しています。
このストア内に登録されている証明書は、(以下の図で示されている)MMC 証明書スナップイン(訳注:ファイル名を指定して実行 から“certmgr.msc”)を使用するか、インターネット エクスプローラー > ツール > インターネット オプション > コンテンツ の [証明書] ボタンから調べることができます。デジタル署名を利用したアドイン ファイルのインストール
アドイン ファイルは適切な既知のフォルダに単純にコピーするだけでインストールできますが、最初にファイルの発行元と内容を確認することなくそれを行うのは推奨されていません。Web ブラウザ内のアドイン ファイルへのリンク、E-mail の受信または Windsows エクスプローラーからダブル クリックすると、自動的に ESRI ArcGIS Add-In Installation Utility ダイアログ ボックスが開きます。
このダイアログ ボックスはアドイン情報を表示し、名前、日付、作成者、バージョン、アドインの説明を表示します。アドイン ファイルがデジタル署名されていると、署名情報も同様にこのダイアログ ボックスで表示されます。表示された情報のいずれかが十分でない場合、ユーザーはインストールのプロセスを中止でき、その場合アドイン ファイルはインストールされません。
アドイン ファイルは発行機関の組織内ポリシーに基づいて、ひとつ以上のデジタル署名で署名することができます。ESRI ArcGIS Add-In Installation Utility ダイアログ ボックスのデジタル署名エリア内で、署名者、日付のスタンプ、選択された署名の有効性、関連する証明書が信頼できる発行元からのものかどうかの情報と共に表示されます。選択された署名の証明書についての詳しい情報は [証明書の表示] ボタンをクリックすると表示されます。
安全なアドイン ファイルは、少なくともひとつの有効かつ信頼されているデジタル署名を有していなければなりません。無効な署名は、署名が適用されて以降、なんらかの方法でアドイン ファイルの中身が変更されていることを表しています。ArcGIS Desktop アドイン セキュリティ ポリシーの管理
アドイン マネージャ ダイアログ ボックスは各 ArcGIS Desktop アプリケーションのカスタマイズ メニューからアクセスでき、ユーザーのマシンに現在インストールされているすべてのアドイン ファイルを表示しています。
その他のアドイン ファイル情報と共に、デジタル署名の状態が以下の図で示されているエリアに表示されます。
署名の状態は以下のテーブルのように決められています。
状態
説明
なし(None)
選択されたアドイン ファイルはデジタル署名を何も含んでいない
信頼できない(Untrusted)
アドイン ファイルに適用されたデジタル署名は信頼された提供元からのものではない
無効(Invalid)
デジタル署名はアドイン ファイルが操作されたか、証明書の期限が切れたために無効となっている
認証済み(Authenticated)
ファイルは有効でかつ信頼された提供元からのデジタル署名がなされている
アドイン マネージャー ダイアログ ボックスのオプション タブからユーザーはアドイン ファイルのセキュリティをどのように扱うかに関して、確認したり変更したりすることができます。このオプションは最大のセキュリティから最低のセキュリティまでに及んでいて、以下の通りとなっています。
- Esri が提供しているアドインのみを読み込んで使用する。カスタム アドイン ファイルはアプリケーション内に読み込まず、実行もしない。
- 信頼できる証明機関によるデジタル署名がなされたアドイン ファイルのみ読み込んで使用する。
- デジタル署名の有無に関わらず、すべてのアドインを読み込む。
管理者権限のないユーザーは、管理者がシステムのセキュリティをマシンに定めた設定よりも低く変更することはできません。非管理者が利用できないオプションはこのタブでは利用不可になっています。
アドイン ファイルへのデジタル署名の適用
ESRISignAddIn ユーティリティは ArcObjects 開発者キット(SDK)で提供されており、ArcGIS Desktop アドインを署名する際に利用できます。このユーティリティを使用するには、公開暗号鍵とプライベート暗号鍵の両方を含む ITU X.509 証明書を得なければなりません。デジタル証明書は組織内の証明機関、あるいは VeriSign や Thawte のような公共証明機関によって発行されます。入力用アドイン ファイルが選択されると、アドイン ファイルは署名がなされて元のファイルが上書きされるか新しいファイル名で出力されます。このユーティリティはデジタル署名を閲覧したり、取り除いたりするときにも使用できます。
技術的な詳細
アドイン ファイルは圧縮されたアーカイブ(zip)ファイルでさまざまなファイルとサブフォルダーを含み、ECMA オープン パッケージ規則に従っています。デジタル署名のフォーマットは、WC3 XML デジタル署名標準 (XMLDsig)に従っています。詳細については、以下のリンクをご参照ください。
- Standard ECMA-376 Office Open XML File Formats
- W3C XML Signature Syntax and Processing
- ITU X.509 Certificates
この文書は、ArcObjects Help for .NET Developers 内のトピック Digitally signed add-ins を元に翻訳したものです。
メタデータ
種類
製品