制限されたネットワーク内でプライベート認証局(CA)を作成して、SSLを導入しようと考えています。
そこで疑問に思っていることがあるのですが、「中間CA」がよく利用されていますが、「中間CA」の必要性とは一体何なのでしょうか。
階層を設けることで「なりすまし」の防止対策、セキュリティ向上を狙っているのでしょうか。
認証局が階層設定しているから必要とかではなく、なぜそのような階層構造を行っているのか理由を知りたいです。
ベリサインなどのパブリック認証局では3階層、4階層(クロス)となっており、中間CA証明書が必要になっています。それはCAの階層構造が3階層、4階層となっており、中間CAが存在するため中間CA証明書が必要なのは理解できます。中間CAを実装しなくても、「CA証明書⇔サーバ証明書」と2階層でもSSL接続は可能ですよね。
また、パブリック認証局、プライベート認証局ともに「中間CA」の利用概念は同じなのでしょうか。
パブリック認証局は外部の不特定多数の人向けなので、意図的にそうゆう構造を用いているとか
の理由などは存在するのでしょうか。
ご存じの方がおられましたら、教えていただきたいです。
よろしくお願いいたします。
No.2ベストアンサー
- 回答日時:
確かにサーバ証明書を発行するだけでしたら二階層で十分です。
規模が小さければそれで問題ありません。
しかし、大規模に証明書を発行するにはイロイロと不都合があります。
中間CAで代表的なのはWindows PKIです。
基本的にルートCAはオフラインで構築されるので、ルートCAから発行される証明書は常に人手を介します。
しかしそれでは、Active Directoryのメリットが減ってしまいます。
なので、ルートCAは中間CAの証明書を作成するのみとし、中間CAがAD管理下のアカウントやサーバに対して証明書を発行する体系をとります。
この場合、ルートCAはオフラインのままですが、中間CAからはオンラインで自動的に証明書を発行することができ、かつ、ある程度の安全性を保ったままにする事ができます。
パブリック認証局の場合、組織が異なることが多いです。
親会社がルートCAを持ち、子会社が中間CAでサーバ証明書を発行することもありますし、まるっきり別会社がパブリック認証局から中間CA用の証明書を発行してもらって、中間CAを自社運営する例もあります。
一般的には知られていませんが、ベリサインやセコムなどでも中間CA用の証明書発行サービスをやっています。
いずれにしても、階層が深くなると認証の判断が複雑になります。
信頼チェーンの構築、ルートCAのCRLと中間CAのCRL、それぞれの有効期限、Pathや拡張領域の整合性などをすべて検証しなければならないからです。
例えば、ルートCA → 中間CA1 → 中間CA2 → サーバ証明書、となっているとします。
中間CA1のCRLが何らかの理由で取得できなければ、ルートCAや中間CA2のCRLに問題が無かったとしても、サーバ証明書は無効であると判断しなければなりません。
※ 中間CA1のCRLに中間CA2が載っていれば、中間CA2とそこから発行されたすべての証明書が無効になるからです。
検証の間違いが起きることを考慮して、それでも必要性がある場合に限って、中間CAを構築します。
認証局の運用規定により色々と理由はあるでしょうが、安易に中間CAにすることはありません。
以上、ご参考までに。
>kadusaya2さん
ご回答、ありがとうございます。
ご返事が遅くなり、申し訳ござません。
私の質問は間違ったニュアンスで表現をしていたのに、とても分かりやすいご説明をありがとうございます。
だいたいの仕組みを理解できた気がします。
理解すればするほど、問題が多々浮上してき構成や運用に悩みます。
引き続き調査していきます。
また理解に苦しんだ時は質問するかもしれませんが、今後ともよろしくお願いいたします。
No.1
- 回答日時:
>と2階層でもSSL接続は可能ですよね
そもそも、その辺の発想が違っていると思いますよ。
>、「中間CA」の必要性とは一体何なのでしょうか。
これとか、
>中間CA証明書が必要になっています
これとか、PKIとか、認証局には、無効リストの取得しかアクセスに行きません。証明書にも全階層を含めるか、そうでないか選択できますし、もともと鍵で復号化するには、正当であるかどうかチェックするだけです。それが信頼できるかどうか、ルート証明が使われるだけです。
PKIの歴史や、おいたち、なりたちを学習すれば、なぜ階層があるかもわかるはずです。まあ実際の官庁や、役所の所在や部署をみれば、おのずとわかるはずなんだが・・・。車の免許とか国家(警察庁???)が発行するわけだが、警察庁とか国土交通省とかもらに行った方は存在しないはずです。
>lupin-333333さん
ご回答、ありがとうございます。
>証明書にも全階層を含めるか、そうでないか選択できますし、
これは知りませんでした。
以下のサイトではルート認証局を外部からの攻撃から防ぐために中間認証局が設けられているを記載されていました。その点に関してはセキュリティ面もやはり含まれているんですよね。
http://www.jcert.co.jp/support/faq_detail06.html
色々まだ理解しきれていない面はありますが、もう少し調べてみます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 飛行機・空港 女性客室乗務員(CA)にまで厳しいアルコール基準を設ける必要性 6 2022/09/03 21:11
- 数学 0 a b a b 0 A= b 0 c B= b 0 c c a 0 0 c a を使って | a 2 2023/06/08 08:48
- 法学 【法律家、弁護士に質問です】7月13日に性的姿態撮影罪(撮影罪) が施行されましたが 4 2023/07/24 22:55
- 相続税・贈与税 不動産の相続についてですが 2 2023/05/04 11:33
- その他(パソコン・スマホ・電化製品) 人間の長期記憶に関するモデルについて。 下記の内容をもとに、一番下の質問の具体例が思いつく方いたら具 1 2023/06/30 18:21
- 分譲マンション オートロック内に宅配ボックス 3 2023/05/16 10:17
- 数学 文字式の「お作法」として 2ab+2bc+「2ca」 と最後、acではなくcaとするようですが それ 2 2023/01/14 18:04
- 数学 どっちと思いますか 4 2022/10/10 11:16
- 数学 『4色問題⓵』 9 2022/10/24 06:54
- その他(社会科学) 階級制度が必要だと本気で思っています。 12 2023/06/26 02:14
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
富士山麓にオウム鳴く?
-
Googleドライブをクイックアク...
-
関西(大阪)から尾瀬に電車、...
-
昼休みに来る人ってどういう神...
-
横浜駅から200KmのJR駅は
-
googlemapで最寄駅を調べる方法
-
SDカードに取り込んだ音楽の...
-
通勤経路をわざわざ遠いところ...
-
ワードで式を書く時に、ルート...
-
京都から名古屋: 一般道での走...
-
グーグルマップの用語について
-
Googleマップのルートを手動で...
-
車で大阪から高知への最短コー...
-
ルート50の解き方
-
ノートパソコンにHDDアクセスラ...
-
nslookup時のDNSサーバのタイム...
-
Cドライブ直下に、ファイル等を...
-
定期券で途中で降りたらお金取...
-
一方通行や右左折禁止のわかる...
-
√6のようなルートを少数に直す...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
富士山麓にオウム鳴く?
-
Googleドライブをクイックアク...
-
関西(大阪)から尾瀬に電車、...
-
√96の解き方
-
SDカードに取り込んだ音楽の...
-
通勤経路をわざわざ遠いところ...
-
自宅から最寄りの駅までの地図...
-
横浜駅から200KmのJR駅は
-
一方通行や右左折禁止のわかる...
-
google mapでのルート検索を良...
-
昼休みに来る人ってどういう神...
-
√6のようなルートを少数に直す...
-
2023.4.18東京から松本.安房峠...
-
ルート50の解き方
-
Googleマップのルートを手動で...
-
googlemapで最寄駅を調べる方法
-
nslookup時のDNSサーバのタイム...
-
京都から名古屋: 一般道での走...
-
定期券で途中で降りたらお金取...
-
番地までは分かっているがマン...
おすすめ情報