証明書の選択について - 秀丸メール情報交換会議室 - スレッド32672, 2007/11/26

証明書の選択について

olivia さん　07/11/26 22:15

秀まるお様　便利に秀丸メールを使わせて頂いております。
質問なのですが、S/MIME使用時の電子署名(暗号化)の際に
有効な証明書が複数ある場合、証明書選択画面が出てきますが
デフォルト証明書を指定しておき、この選択画面を出さずに
署名することはできますでしょうか？
テンプレート文法のヘルプなど見てみたのですがわかりませんでした。
よろしくお願いいたします。

RE:32672 証明書の選択について

秀まるお2 さん　07/11/27 08:52

　デフォルトの証明書を指定するような機能は秀丸メールには無いです。

　電子署名に使いたい証明書が１つだけであって選択する必要が無いということ
であれば、証明書を置いておく証明書ストアを変更すればいいんじゃないかと思
います。

　コントロールパネル・インターネットオプション・コンテンツの「証明
書...」を押して、そこの「個人」に登録されている証明書を「ほかの人」の所
に移動してやればいいと思います。秀丸メールでは「個人」の方の証明書を優先
して使うようになっていたはずなので。

　それか、証明書の並び順が変更出来ればそれでデフォルトの証明書（先頭に出
てくる証明書）が変更できるのかもしれませんが…。

　ということでどうでしょ？

RE:32674 証明書の選択について

olivia さん　07/11/27 11:10

早速の回答ありがとうございます。
確かに証明書を1通の使用であれば、仰る方法もあるかもしれませんが
過去に受信した暗号化メールの復号化の為、期限切れの証明書も個人用
証明書ストアに入れておきたいのです。　（復号化されたメールを置き
換えてしまう機能を使えばいいという意見もあるかもしれませんが）
あと、ネットバンキングなどにログインする為のクライアント認証用の
証明書など別用途の証明書も複数ストアに入れておく必要があるため
証明書選択に表示されてきてしまいます。
1通の証明書だけをストアにいれてあったとしても、署名+暗号化の場合
2回の証明書選択を求められますので、デフォルト証明書の指定が
できればいいなと思った次第です。
このような使用をされているユーザが少ないと、優先順位は低いかも
しれませんが、是非機能をつけていただきたいです。
個人的ですが、この機能さえあれば、S/MIME対応MUAとして秀丸メールは
最高だと思います。　どうかVerアップの際、機能追加のご検討
ください。

RE:32675 証明書の選択について

ぱとさん　07/11/27 13:14

olivia さん

秀丸メールユーザーのぱとと申します。

>このような使用をされているユーザが少ないと、優先順位は低いかも
>しれませんが、是非機能をつけていただきたいです。

私も、S/MIME による、暗号化/署名を使っていますが、確かに、都度選択するのが、
面倒だと感じることがあります。秀丸メールで使うデフォルト証明書をあらかじめ
指定しておいて、自動的にそれが使われるようにできれば、便利だろうなと私も思
います。

----
ぱと

RE:32678 証明書の選択について

秀まるお2 さん　07/11/27 17:33

　１つ確認させて欲しいんですが、複数の証明書が候補として出てきたとしても、
実際に暗号化/電子署名に利用可能な証明書というのは１つだけなのでしょうか。
それとも複数出てくる証明書のどれでも暗号化/電子署名が出来るのでしょうか。

　前者だとしたら、暗号化/電子署名に使えない証明書をリストアップしないよ
うに秀丸メールを改良すればいいのかもしれません。

　後者だとしたら、普段秀丸メールで使いたいと思う証明書とは別の証明書を秀
丸メール上で使いたいと思うことは絶対に無いのでしょうか。

　デフォルトが指定出来ればいいという話と、証明書を選択するウィンドウ自体
を出ないようにするという話は別かと思いますけど。デフォルト指定というのは、
つまり、証明書の選択画面で最初から選択する証明書を指定するというか、前回
指定した証明書をすでに選択した状態で出すということになりますけど。

　デフォルト指定ということなら出来るかと思いますけど、問い合わせを出さな
いようにってことになると、じゃぁどの証明書を使うのかの指定はいつどうやっ
てやるのかなぁと思うんですけど。

　ちょっとこちらで気軽にテストできる話ではないので、すみませんがその辺の
「私はこういう仕様を期待している」ってことを細かく詰めて教えて欲しいです。

RE:32686 証明書の選択について

olivia さん　07/11/27 19:50

漠然としたお願いですみませんです。　<m(__)m>

主として署名又は暗号化に使う証明書は1つになります。
署名可能な証明書は複数有り場合によって
証明書を切替えているのですが、頻度としては低いです。
こちらは同一のメールアドレスですが、発行元CAが異なります。
また、署名用途ではなくクライアント認証用の証明書
については、署名にも使用できてしまっています。

現在証明書候補として表示されているのは、個人用ストアにある
証明書でサブジェクトに該当のメールアドレスが設定されているもの
のようです。
期限切れの証明書は下に表示されています。

希望は
・署名用、暗号化用の証明書のデフォルト選択があらかじめ全般設定で
　できる。　（OutlookExpressなどのイメージです。）
・デフォルト選択を有効にした場合、証明書選択の画面は出ない。
・デフォルト選択が無効な場合は、証明書一覧が表示され
　従来どおり署名時に証明書を選択する。
・期限切れ証明書は、証明書一覧に表示させない
となります。
イメージをお伝えできているでしょうか。

よろしくお願いいたします。

RE:32688 証明書の選択について

秀まるお2 さん　07/11/27 22:23

　Outlook Expressがお手本になるということであれば、それでテストしてみよ
うと思いますが…。もはや僕の所には期限切れになった証明書しか無いので、い
ろいろ小細工してテストしないとダメでして、少々面倒ではあります。

　ということで、気長にお待ちください。

　何か進捗があったらここの会議室に書き込みますけど、もしも何も進捗報告し
なかった場合は催促してくれてもかまいませんのでよろしくお願いします。

RE:32690 証明書の選択について

olivia さん　07/11/27 22:37

ありがとうございます！
待っておりますのでよろしくお願いいたします。

OEは証明書周りについてのみの例ですので、お気を悪くなさらないで
ください。

こちら
「I'd like to test drive a 60-day trial Digital ID for free.」
選択で60日間無償のpublic証明書が取得できるみたいです。
テストに役立てばいいのですが。
https://digitalid.verisign.com/client/class1MS.htm

RE:32686 証明書の選択について

ぱとさん　07/11/27 22:52

秀まるお2 さん

秀丸メールユーザーのぱとと申します。

確認してみました。

現在自分の証明書として有効なものは一つだけなのですが、それが、なぜか証明書
ストアの、「個人」と「ほかの人」に入っていました。「ほかの人」の方の証明書
を削除したところ、署名、暗号化等の際には、選択画面はでなくなりました。

なので、私については、これでOKです。

>　１つ確認させて欲しいんですが、複数の証明書が候補として出てきたとしても、
>実際に暗号化/電子署名に利用可能な証明書というのは１つだけなのでしょうか。
>それとも複数出てくる証明書のどれでも暗号化/電子署名が出来るのでしょうか。

証明書の更新の時期に、同じ自分のアドレスに対して、有効な複数の証明書を持っ
ていることはありえますが、普通は一つでしょうね。

>　前者だとしたら、暗号化/電子署名に使えない証明書をリストアップしないよ
>うに秀丸メールを改良すればいいのかもしれません。

確認ダイアログが出ていた時には、有効期限が過ぎた証明書も選択のリストに入っ
ていました。

>　後者だとしたら、普段秀丸メールで使いたいと思う証明書とは別の証明書を秀
>丸メール上で使いたいと思うことは絶対に無いのでしょうか。

どうなのでしょう？自分の証明書は、自分のアドレスに対応しているものですので、
普通は、同じアドレスに対して複数の別の証明書を使い分けるということはないの
ではないかと思います。(まったくないとは言い切れませんが)

>　ちょっとこちらで気軽にテストできる話ではないので、すみませんがその辺の
>「私はこういう仕様を期待している」ってことを細かく詰めて教えて欲しいです。

S/MIME の証明書ですが、ジャストシステムが、Shuriken や一太郎で使うためとい
うことで、ベリサインの個人用の証明書のライセンスを一年間 2,520円で売ってい
ます。私もこれを使っています。

https://www.justmyshop.com/app/servlet/c6

もちろん、検証のためだけなら、購入するのも勿体ないですけど、PDF などの暗号
化にも使えるので、一つ持っていると案外重宝すると思います

----
ぱと

RE:32692 証明書の選択について

olivia さん　07/11/28 00:23

ぱとさん
コメントありうがとうございます。

秀まるお　さん

確かに「ほかの人」に入っている証明書も参照して一覧に
表示されていますね。
「ほかの人」にストアされているものは、参照されるべきではない
と思うのですが。
正常にストアされていることが前提ですが、PublicKeyのみの
証明書が「ほかの人」に表示されるはずで、PrivateKeyがあれば
「個人」に表示されるはずです。

試しに「個人」に証明書無し、「ほかの人」に証明書1通の状態
を作り署名してみました。(署名できてはいけないはず)

署名時には下記のエラーがでました。

　S/MIMEでのエラー:CryptSignMessage faild
　エラーコード=0x80090016

暗号化、復号できる人　送り主も含める(F)を有効で
メール作成し、送信済みメールの復号時に下記のエラーがでました。

　S/MIMEでのエラー:復号に必要な証明書が見つかりませんでした。
　エラーコード=0x8009200C

PrivateKeyが無いので当然のエラーだと思います。
リクエスの追加ですが、
・「ほかの人」ストアは参照しない
をお願いいたします。

RE:32694 証明書の選択について

秀まるお2 さん　07/11/28 09:30

　ソースコードを調べたら、電子署名の時用の署名であっても「ほかの人」等の
証明書ストアを検索してしまってました。ということで、

　１．電子署名用の証明書ストアは「個人」の所からしか検索しないようにする。
　２．期限切れの証明書は電子署名用にリストアップしない。

　って修正をとりあえずやって、次のβ版を公開させていただきます。

RE:32695 証明書の選択について

秀まるお2 さん　07/11/28 13:54

　Outlook Expressを見習って、アカウント毎の設定で証明書を指定出来るよう
にしてみました。

　ということで試してみて欲しいです。

http://www.hidemaru.interlink.or.jp/software/bin/hmmail484b8_signed.exe

　秀丸エディタV7系とソースコード同期するように少しいじった所もあるので、
もしかしてレベルダウンしてる点があったらすみません。

RE:32702 証明書の選択について

olivia さん　07/11/28 19:46

対応ありがとうございます！
早速確認させていただきました。

署名については、証明書の選択がでなくなりましたが
暗号化と署名＋暗号化の時に証明書の選択が出てしまいます。
暗号化に使用する証明書についても、証明書の指定のもの
が使われるようにしていただけますでしょうか。

よろしくお願いいたします。

RE:32702 証明書の選択について

ぱとさん　07/11/28 21:19

秀まるお2 さん

秀丸メールユーザーのぱとと申します。

>　Outlook Expressを見習って、アカウント毎の設定で証明書を指定出来るよう
>にしてみました。

私も確認してみました。アカウントで指定できるということで、いい感じですね。

いろいろ試してみました。私は、自分の証明書は一つしか持っていません。

(1)証明書を持っているアドレスから、別のアドレスに送る。
暗号化は、相手の証明書がストアされていることが必要なので、この場合可能なの
は、電子署名だけです。この場合は、アカウントでの証明書の指定の有無にかかわ
らず、証明書選択ダイアログは出ません。

(2)証明書を持っていない自分のアドレスから、持っている自分のアドレスに送る。
この場合は、アカウントでの証明書の指定の有無にかかわらず、選択ダイアログが
出ます。先ほど、インターネットエクスプローラーからの設定で、いったん、削除
した、[ほかの人]に、自分の証明書が復活していました。これは、いずれかのタイ
ミングで、自動的に登録されるのでしょうね。

再度、[ほかの人]から、証明書を削除したら、アカウントでの設定の有無にかかわ
らず、証明書選択ダイアログはでませんでした。

(3)自分が暗号化用の証明書を持っている外部の人に、暗号化で送る。
この場合、アカウントの設定の有無にかかわらず、選択ダイアログは出ません。
また、自分のアドレスが、証明書を持っているアドレスかどうかと、それを使って
署名するかどうかも、影響しません。

というわけで、選択ダイアログが出るのは、私の環境では、(2)の特殊なケースのみ
ということになりました。

たぶん、証明書を持っている自分のアドレスで、自分にメールを送ったタイミング
で、そのアドレスの証明書が、[ほかの人]に登録されるのでしょうね。(仕組みから
いって、これは当然)で、それは自分のアドレスでもあるので、そのアドレスから、
そのアドレスにメールを送ろうとした場合には、[個人の証明書](自分のアドレス)
と、[ほかの人の証明書](本来は、メールを送る相手のアドレスに対応する証明書)
の両方が参照されることになって、選択ダイアログが出るということになるのだと
思います。

外部に送る時には、ダイアログは出ないでしょうから、現状の仕様で十分かなと私
は思います。

※ただ、自分自身の二つの別の環境間で、外部に漏れては困るデータなどを添付フ
ァイルで送るために、暗号化したメールを自分に送るというケースでは、選択ダイ
アログが出るということに原則的にはなるでしょうね。([ほかの人]から自分の証明
書を削除しても、また復活するので)

----
ぱと

RE:32702 証明書の選択について

ぱとさん　07/11/28 21:25

秀まるお2 さん

秀丸メールユーザーのぱとと申します。

ところで、S/MIME による暗号化、署名を秀丸メールで使うのは本当に簡単で良いで
す。

以前、PGP の環境も作ってみたことがありましたが、PGP の場合、環境を作るのも
結構大変だし、いろいろな情報登録を自分で行う必要もあるしということで、なん
だか難しいなと思いました。(OS の再インストールをしたり、パスワードがわから
なくなったりした場合などに、どうすればいいのかということも、よくわからずじ
まいでした。)

S/MIME の場合で、特に、VeriSign などから入手する証明書を使う場合は、Windows
の標準の機能でサポートされているので、本当に簡単でした。またそれを秀丸メー
ルで使うのもとっても簡単でした。仕組みと使い方を厳密に理解していなくても、
使えてしまうところがすばらしいと思います。

----
ぱと

RE:32707 証明書の選択について

秀まるお2 さん　07/11/29 09:15

　Outlook Expressをもう一度見てみたら、暗号化用の証明書も別途指定出来る
のでした。よく見てませんでした。

　とりあえずご要望としては「暗号化用のと電子署名用とで別々に指定したい」
ということでは無いので、今現在の電子署名用にデフォルト指定した証明書を暗
号化の時にも使うように直してみます。

RE:32709 証明書の選択について

秀まるお2 さん　07/11/29 11:08

　ってことでまた直しました。すみませんがまたテストお願いします。

http://www.hidemaru.interlink.or.jp/software/bin/hmmail484b9_signed.exe

RE:32710 証明書の選択について

olivia さん　07/11/29 21:02

お世話になります。

証明書の指定を有効にした場合、署名時も暗号化時も
証明書の選択画面が出なくなりました！

指定した証明書の有効期限が切れた場合は、証明書の選択画面が
表示されますので、証明書の更新変更を促すアラートになると
思いますので現行でよいと思います。

無効の場合、期限切れの証明書はまだ表示されてしまうので
こちらも引き続きお願いいたします。

RE:32712 証明書の選択について

秀まるお2 さん　07/11/29 22:41

> 無効の場合、期限切れの証明書はまだ表示されてしまうので
> こちらも引き続きお願いいたします。

　これですが、一応、期限切れの物は「×」付きで表示されてるので間違って選
択することも無いだろうし、まぁいいかなぁ的な感じですけど。

　というか、有効な証明書が１つしか無い場合は一覧は出ないです。

　有効な証明書が１つも無い場合は、どっちみち無効な証明書の一覧を表示して
あげる必要があります。（無効になってしまったということが分からないと困る
ので）

　有効な証明書が２つ以上ある場合でも、無効な証明書が一覧に出ないというの
はなんとなく不親切な気がします。というか、つまり、「有効な証明書が１つも
無い場合は無効な証明書が見えるけども、有効な証明書が２つある場合は無効な
証明書が見えなくなる」というのではなんとなく不統一な動作のような気がした
ので、あえて今の仕様のままにしました。

　しいてなんとかして欲しいということであれば、有効な証明書と無効な証明書
の間に区切り線を表示するとかくらいの対応になるかなぁと思いますけど、そも
そもが「有効な証明書が２つ以上ある」ってケース自体が特殊なので、そういう
超レアケースのために苦労しても仕方ないかなぁと思ったりします。そもそもの
目的は達成出来てると思うしってことで。

RE:32715 証明書の選択について

olivia さん　07/11/29 23:08

確かにおっしゃるとおりです。
こちらで使わせていただきます。

ダメ元で言ってみたんですが
こうも早急に対応していただけたことに感激しています。
他では考えられないですね。　
βとれるの楽しみにしています。

今後もよろしくお願いいたします。