プロが教える店舗&オフィスのセキュリティ対策術

SSL接続 中間CAの必要性

解決済

  • 質問者:spd-5
  • 質問日時:
  • 回答数:2

制限されたネットワーク内でプライベート認証局(CA)を作成して、SSLを導入しようと考えています。
そこで疑問に思っていることがあるのですが、「中間CA」がよく利用されていますが、「中間CA」の必要性とは一体何なのでしょうか。


階層を設けることで「なりすまし」の防止対策、セキュリティ向上を狙っているのでしょうか。
認証局が階層設定しているから必要とかではなく、なぜそのような階層構造を行っているのか理由を知りたいです。


ベリサインなどのパブリック認証局では3階層、4階層(クロス)となっており、中間CA証明書が必要になっています。それはCAの階層構造が3階層、4階層となっており、中間CAが存在するため中間CA証明書が必要なのは理解できます。中間CAを実装しなくても、「CA証明書⇔サーバ証明書」と2階層でもSSL接続は可能ですよね。


また、パブリック認証局、プライベート認証局ともに「中間CA」の利用概念は同じなのでしょうか。
パブリック認証局は外部の不特定多数の人向けなので、意図的にそうゆう構造を用いているとか
の理由などは存在するのでしょうか。


ご存じの方がおられましたら、教えていただきたいです。
よろしくお願いいたします。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

A 回答 (2件)

No.2ベストアンサー

  • 回答者: kadusaya2
  • 回答日時:

確かにサーバ証明書を発行するだけでしたら二階層で十分です。


規模が小さければそれで問題ありません。
しかし、大規模に証明書を発行するにはイロイロと不都合があります。

中間CAで代表的なのはWindows PKIです。
基本的にルートCAはオフラインで構築されるので、ルートCAから発行される証明書は常に人手を介します。
しかしそれでは、Active Directoryのメリットが減ってしまいます。
なので、ルートCAは中間CAの証明書を作成するのみとし、中間CAがAD管理下のアカウントやサーバに対して証明書を発行する体系をとります。
この場合、ルートCAはオフラインのままですが、中間CAからはオンラインで自動的に証明書を発行することができ、かつ、ある程度の安全性を保ったままにする事ができます。

パブリック認証局の場合、組織が異なることが多いです。
親会社がルートCAを持ち、子会社が中間CAでサーバ証明書を発行することもありますし、まるっきり別会社がパブリック認証局から中間CA用の証明書を発行してもらって、中間CAを自社運営する例もあります。
一般的には知られていませんが、ベリサインやセコムなどでも中間CA用の証明書発行サービスをやっています。

いずれにしても、階層が深くなると認証の判断が複雑になります。
信頼チェーンの構築、ルートCAのCRLと中間CAのCRL、それぞれの有効期限、Pathや拡張領域の整合性などをすべて検証しなければならないからです。
例えば、ルートCA → 中間CA1 → 中間CA2 → サーバ証明書、となっているとします。
中間CA1のCRLが何らかの理由で取得できなければ、ルートCAや中間CA2のCRLに問題が無かったとしても、サーバ証明書は無効であると判断しなければなりません。
※ 中間CA1のCRLに中間CA2が載っていれば、中間CA2とそこから発行されたすべての証明書が無効になるからです。

検証の間違いが起きることを考慮して、それでも必要性がある場合に限って、中間CAを構築します。
認証局の運用規定により色々と理由はあるでしょうが、安易に中間CAにすることはありません。

以上、ご参考までに。
    • good
    • 1
通報する
この回答へのお礼

>kadusaya2さん

ご回答、ありがとうございます。
ご返事が遅くなり、申し訳ござません。

私の質問は間違ったニュアンスで表現をしていたのに、とても分かりやすいご説明をありがとうございます。
だいたいの仕組みを理解できた気がします。

理解すればするほど、問題が多々浮上してき構成や運用に悩みます。
引き続き調査していきます。

また理解に苦しんだ時は質問するかもしれませんが、今後ともよろしくお願いいたします。

通報する
お礼日時:2012/02/06 10:21

No.1

>と2階層でもSSL接続は可能ですよね



そもそも、その辺の発想が違っていると思いますよ。

>、「中間CA」の必要性とは一体何なのでしょうか。

これとか、

>中間CA証明書が必要になっています

これとか、PKIとか、認証局には、無効リストの取得しかアクセスに行きません。証明書にも全階層を含めるか、そうでないか選択できますし、もともと鍵で復号化するには、正当であるかどうかチェックするだけです。それが信頼できるかどうか、ルート証明が使われるだけです。

PKIの歴史や、おいたち、なりたちを学習すれば、なぜ階層があるかもわかるはずです。まあ実際の官庁や、役所の所在や部署をみれば、おのずとわかるはずなんだが・・・。車の免許とか国家(警察庁???)が発行するわけだが、警察庁とか国土交通省とかもらに行った方は存在しないはずです。
    • good
    • 1
通報する
この回答へのお礼

>lupin-333333さん

ご回答、ありがとうございます。

>証明書にも全階層を含めるか、そうでないか選択できますし、

これは知りませんでした。


以下のサイトではルート認証局を外部からの攻撃から防ぐために中間認証局が設けられているを記載されていました。その点に関してはセキュリティ面もやはり含まれているんですよね。
http://www.jcert.co.jp/support/faq_detail06.html

色々まだ理解しきれていない面はありますが、もう少し調べてみます。

通報する
お礼日時:2012/02/03 14:47

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

Q質問する(無料)

ページトップページトップ

Q質問する(無料)

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

おすすめ情報