　ＰＫＩについて、

Question

ＰＫＩについて、
http://www.atmarkit.co.jp/fsecurity/special/02fi …
の記載で、これまでの理解と一見異なると思われる事項があります。

まず
「認証局用のソフトウェアさえ購入すれば、だれでも証明書を発行できる」とありますが、
認証局は階層型の認証構造をしているのが一般的であることとの関係は、
どう理解したらよいのでしょうか？
そもそも、認証局を（一般に）誰が運営しているのか（特に、ルート証明機関）ということも気になります。
リポジトリとの関係もわかりません。。

また、「（証明書は、）信頼できる認証局が発行したことさえ確認できれば
　　　（正確には期限などの確認も必要だが）、入手経路がどうであれ、その証明書は信頼できる」とあります。
ここでいう証明書は、クライアントがデータのやりとりをしたいサーバが発行する、
認証局によって暗号化されたサーバ証明書ではなく、
当該暗号化を行っている認証局が発行する暗号化のための公開鍵であると思われますが、
その場合、当該公開鍵（３行前の「ここでいう証明書」）の発行元は、認証局から発行される（又は発行されたものをローカルに保存してある）わけで、
どこかを経由して入手するものではないと思われるのですが、いかがでしょうか？

よろしくお願いします。

jjon-com · Accepted Answer

>認証局は階層型の認証構造をしているのが一般的であることとの関係
>認証局を（一般に）誰が運営しているのか（特に、ルート証明機関）

認証局群は世界で統一されたただ一つの階層構造を成しているのではなく，
独立した認証事業者各社のルート認証局をそれぞれ頂点とした複数の階層構造を成しています。

一般人はクレジットカードをイメージするとよいのではないでしょうか。
クレジットカードには VISA, MasterCard, JCB など独立した多数のブランドがあり，それぞれが頂点となって系列・提携企業を傘下に有してクレジットカードを発行しています。世界で統一されたただ一つの信用(credit)保証機構が存在するわけではありません。

Microsoft Internet Explorerに最初からインストール済の，認証事業者各社のルート証明書を確認したければ，次のURLを参照。これは，信頼できるとMicrosoftが認めた認証事業者の一覧ということです。
http://okwave.jp/qa/q4071926.html の私の過去の回答ANo.1

>「認証局用のソフトウェアさえ購入すれば、だれでも証明書を発行できる」

書いてあるとおり，正しいです。
クレジットカードの新ブランドを立ち上げてクレジットカードを発行することは誰だって自由にできます。ただ，「このブランドなら信用できる」と店舗や利用者がそれを認めるかどうかは別の問題だというだけです。

あなたがfMRIブランドのルート認証局を立ち上げたいと思えば，そのためのソフトウェアはすべて無料で揃います。インターネット接続されたPCが１台あれば，ルート認証局は開設できます。ただ，IEにしろFirefoxにしろ，そんなルート認証局は初期状態では信用していないと言うだけです。その認証局を信用したい利用者は自己責任で，ルート証明書を自分のWebブラウザにインストールすればよいわけです。

>ここでいう証明書は、
>クライアントがデータのやりとりをしたいサーバが発行する、
>認証局によって暗号化されたサーバ証明書ではなく、
>当該暗号化を行っている認証局が発行する
>暗号化のための公開鍵であると思われますが、

いいえ違います，サーバ証明書を指しています。
それから「認証局によって暗号化された」「暗号化を行っている認証局」という表現が登場しますが，認証局は暗号化処理をおこないません。また，証明書も暗号化されていません，証明書は認証局の秘密鍵によってデジタル署名されているだけです。

質問者が提示したURLの次のページは，次の文章で閉じられています。
私の回答を読んで疑問点があるようなら，きちんと目を通してみてください。

>ここまでくればさらに詳細にPKIを解説した記事を読むことも
>難しくないはずだ。もしPKIについて詳しく知りたいならば、
>＠ITのサイト内にある下記の記事を読むことをおすすめする。
http://www.atmarkit.co.jp/fsecurity/special/02fivemin/fivemin06.html

kadusaya2 · Answer

> どう理解したらよいのでしょうか？

実際に操作してみるのが一番理解できると思います。

1.まず↓から「認証局用のソフトウェア」をダウンロードします。試験利用であれば無料です。
   http://www.vector.co.jp/soft/winnt/util/se479199.html
   インストールはありません。解凍したらそのまま実行します。

2.同ソフトのメニューから、フォルダー→新規作成→ルート証明書でルート証明書を作成します。
   この証明書が「階層型の認証構造」のトップになる証明書です。

3.ルート証明書をインストールします。
   IEのメニューから、ツール→インターネットオプション→コンテンツ・タブ→証明書ボタン→信頼されたルート証明機関の中に、いま作った証明書があれば信頼関係が構築されています。

4.ルート証明書があれば、個人証明書やSSLサーバ証明書が作成できます。
   ルート証明書も個人証明書もIEから自由に削除できますので、いろいろと試してみると良いでしょう。

5.終わったらフォルダごと削除して下さい。すべて消えて無くなります。

> リポジトリとの関係もわかりません。

現在、リポジトリから証明書を取得しているパソコンはありません。理解する必要もありません。
windowsであれば、windows updateの時にルート証明書が新規に追加されます。
それ以外は「パソコン購入時にインストール済みのルート証明書」が使用されます。

> どこかを経由して入手するものではないと思われるのですが、いかがでしょうか？

winddowsの場合、IEでhttps通信を行うと

1.パソコンにインストール済みのルート証明機関が発行したサーバ証明書か確認します。

2.そうでない場合、windows updateのしくみを利用して、サーバ証明書を発行したルート証明機関のルート証明書を自動でインストールします。

3.サーバ証明書を発行したルート証明機関がmicrosoftが認証した証明機関で無い場合、“信頼できません”というメッセージが表示されます。

ここまでが一連の動作として実行されます。windows updateで入手されるワケです。

余談ですが、プライベート認証局（それぞれが独自に作った認証局）は “microsoftが認証した証明機関” では無いので、ルート証明書を手動で “信頼するルート証明機関” インストールしてもらう必要があります。
そのためには 「認証局運用規定（CP/CPS）」 を作成・公開して、それを厳密に運用する必要があります。
“認証局運用規定” で検索してみれば、自分で独自に認証局を構築している企業が見つかりますよ。

mitoneko · Answer

残念ですが、リンクのＵＲＬが間違っているようです。ですので、原文に当たることが出来ません。かなり前後関係が微妙なところがあるような気がしてなりませんので、正確な回答は出来ません。

オレオレ証明書の認証局版（おれおれ認証局）に関わる話題のような気はするのですが・・・・

ＰＫＩについて、

>認証局は階層型の認証構造をしているのが一般的であることとの関係

この回答への補足

> どう理解したらよいのでしょうか？

残念ですが、リンクのＵＲＬが間違っているようです。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

　ＰＫＩについて、

　残念ですが、リンクのＵＲＬが間違っているようです。