- ベストアンサー
疑問点解説:PKIについての一部疑問点
- PKIについて謎解き!認証局と証明書の関係や取得方法について解説します。
- 認証局について誰が運営しているのか気になっていませんか?疑問を解消します。
- 証明書の信頼性は認証局の発行元確認が重要です。具体的な取得方法も解説します。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
>認証局は階層型の認証構造をしているのが一般的であることとの関係 >認証局を(一般に)誰が運営しているのか(特に、ルート証明機関) 認証局群は世界で統一されたただ一つの階層構造を成しているのではなく, 独立した認証事業者各社のルート認証局をそれぞれ頂点とした複数の階層構造を成しています。 一般人はクレジットカードをイメージするとよいのではないでしょうか。 クレジットカードには VISA, MasterCard, JCB など独立した多数のブランドがあり,それぞれが頂点となって系列・提携企業を傘下に有してクレジットカードを発行しています。世界で統一されたただ一つの信用(credit)保証機構が存在するわけではありません。 Microsoft Internet Explorerに最初からインストール済の,認証事業者各社のルート証明書を確認したければ,次のURLを参照。これは,信頼できるとMicrosoftが認めた認証事業者の一覧ということです。 http://okwave.jp/qa/q4071926.html の私の過去の回答ANo.1 >「認証局用のソフトウェアさえ購入すれば、だれでも証明書を発行できる」 書いてあるとおり,正しいです。 クレジットカードの新ブランドを立ち上げてクレジットカードを発行することは誰だって自由にできます。ただ,「このブランドなら信用できる」と店舗や利用者がそれを認めるかどうかは別の問題だというだけです。 あなたがfMRIブランドのルート認証局を立ち上げたいと思えば,そのためのソフトウェアはすべて無料で揃います。インターネット接続されたPCが1台あれば,ルート認証局は開設できます。ただ,IEにしろFirefoxにしろ,そんなルート認証局は初期状態では信用していないと言うだけです。その認証局を信用したい利用者は自己責任で,ルート証明書を自分のWebブラウザにインストールすればよいわけです。 >ここでいう証明書は、 >クライアントがデータのやりとりをしたいサーバが発行する、 >認証局によって暗号化されたサーバ証明書ではなく、 >当該暗号化を行っている認証局が発行する >暗号化のための公開鍵であると思われますが、 いいえ違います,サーバ証明書を指しています。 それから「認証局によって暗号化された」「暗号化を行っている認証局」という表現が登場しますが,認証局は暗号化処理をおこないません。また,証明書も暗号化されていません,証明書は認証局の秘密鍵によってデジタル署名されているだけです。 質問者が提示したURLの次のページは,次の文章で閉じられています。 私の回答を読んで疑問点があるようなら,きちんと目を通してみてください。 >ここまでくればさらに詳細にPKIを解説した記事を読むことも >難しくないはずだ。もしPKIについて詳しく知りたいならば、 >@ITのサイト内にある下記の記事を読むことをおすすめする。 http://www.atmarkit.co.jp/fsecurity/special/02fivemin/fivemin06.html
その他の回答 (2)
- kadusaya2
- ベストアンサー率48% (114/235)
> どう理解したらよいのでしょうか? 実際に操作してみるのが一番理解できると思います。 1.まず↓から「認証局用のソフトウェア」をダウンロードします。試験利用であれば無料です。 http://www.vector.co.jp/soft/winnt/util/se479199.html インストールはありません。解凍したらそのまま実行します。 2.同ソフトのメニューから、フォルダー→新規作成→ルート証明書でルート証明書を作成します。 この証明書が「階層型の認証構造」のトップになる証明書です。 3.ルート証明書をインストールします。 IEのメニューから、ツール→インターネットオプション→コンテンツ・タブ→証明書ボタン→信頼されたルート証明機関の中に、いま作った証明書があれば信頼関係が構築されています。 4.ルート証明書があれば、個人証明書やSSLサーバ証明書が作成できます。 ルート証明書も個人証明書もIEから自由に削除できますので、いろいろと試してみると良いでしょう。 5.終わったらフォルダごと削除して下さい。すべて消えて無くなります。 > リポジトリとの関係もわかりません。 現在、リポジトリから証明書を取得しているパソコンはありません。理解する必要もありません。 windowsであれば、windows updateの時にルート証明書が新規に追加されます。 それ以外は「パソコン購入時にインストール済みのルート証明書」が使用されます。 > どこかを経由して入手するものではないと思われるのですが、いかがでしょうか? winddowsの場合、IEでhttps通信を行うと 1.パソコンにインストール済みのルート証明機関が発行したサーバ証明書か確認します。 2.そうでない場合、windows updateのしくみを利用して、サーバ証明書を発行したルート証明機関のルート証明書を自動でインストールします。 3.サーバ証明書を発行したルート証明機関がmicrosoftが認証した証明機関で無い場合、“信頼できません”というメッセージが表示されます。 ここまでが一連の動作として実行されます。windows updateで入手されるワケです。 余談ですが、プライベート認証局(それぞれが独自に作った認証局)は “microsoftが認証した証明機関” では無いので、ルート証明書を手動で “信頼するルート証明機関” インストールしてもらう必要があります。 そのためには 「認証局運用規定(CP/CPS)」 を作成・公開して、それを厳密に運用する必要があります。 “認証局運用規定” で検索してみれば、自分で独自に認証局を構築している企業が見つかりますよ。
お礼
「リポジトリから証明書を取得しているパソコンはありません。理解する必要もありません。」とのご教示、 ありがとうございます。 認証局のイメージも深まりました。
- mitoneko
- ベストアンサー率58% (469/798)
残念ですが、リンクのURLが間違っているようです。ですので、原文に当たることが出来ません。かなり前後関係が微妙なところがあるような気がしてなりませんので、正確な回答は出来ません。 オレオレ証明書の認証局版(おれおれ認証局)に関わる話題のような気はするのですが・・・・
補足
すみません、 URLは、 http://www.atmarkit.co.jp/fsecurity/special/02fivemin/fivemin05.html です。 よろしくお願いします。
お礼
「認証局は暗号化処理をおこないません。また,証明書も暗号化されていません,証明書は認証局の秘密鍵によってデジタル署名されているだけ」である旨、 及び当該デジタル署名は当該認証局(又は上位局)の公開鍵によってその正当性が確認できる旨理解しました。 ありがとうございます。
補足
ご回答、ありがとうございます。 ご回答の > 「認証局によって暗号化された」「暗号化を行っている認証局」という表現が登場しますが, > 認証局は暗号化処理をおこないません。 > また,証明書も暗号化されていません,証明書は認証局の秘密鍵によってデジタル署名されているだけです。 について、 http://www.ibm.com/developerworks/jp/websphere/library/web/web_security/2.html にある記載を元にした認識でした。 具体的には、 > 電子証明書とは認証局が発行する暗号文書で、 > Webサーバーの公開鍵は認証局の秘密鍵で暗号化されています。 (中略) > まず、認証局で発行された電子証明書をWebサーバーに配置し、WebクライアントからSSL通信での要求があった場合に、この電子証明書を提示 > 通常、Webクライアントは受け取った電子証明書が有効であるかを検証するために、電子証明書に記載されている発行者(認証局)の名前からその認証局にアクセスして、認証局の公開鍵を取得 > そして、取得したこの公開鍵を使用して、電子証明書の中に埋め込まれているWebサーバーの公開鍵を復号化して取得 とあります。 これらを総合すると、 「電子証明書は、認証局によって発行される暗号文書であり、 当該暗号文書は、当該認証局が公開している公開鍵によって復号が可能で、 復号により、サーバーの公開鍵を含む認証局の電子証明書が得られる。」 ということになると思いました。 (ご指定のURL記事は、読み進めています。)