PKIについて、
http://www.atmarkit.co.jp/fsecurity/special/02fi …
の記載で、これまでの理解と一見異なると思われる事項があります。
まず
「認証局用のソフトウェアさえ購入すれば、だれでも証明書を発行できる」とありますが、
認証局は階層型の認証構造をしているのが一般的であることとの関係は、
どう理解したらよいのでしょうか?
そもそも、認証局を(一般に)誰が運営しているのか(特に、ルート証明機関)ということも気になります。
リポジトリとの関係もわかりません。。
また、「(証明書は、)信頼できる認証局が発行したことさえ確認できれば
(正確には期限などの確認も必要だが)、入手経路がどうであれ、その証明書は信頼できる」とあります。
ここでいう証明書は、クライアントがデータのやりとりをしたいサーバが発行する、
認証局によって暗号化されたサーバ証明書ではなく、
当該暗号化を行っている認証局が発行する暗号化のための公開鍵であると思われますが、
その場合、当該公開鍵(3行前の「ここでいう証明書」)の発行元は、認証局から発行される(又は発行されたものをローカルに保存してある)わけで、
どこかを経由して入手するものではないと思われるのですが、いかがでしょうか?
よろしくお願いします。
No.2ベストアンサー
- 回答日時:
>認証局は階層型の認証構造をしているのが一般的であることとの関係
>認証局を(一般に)誰が運営しているのか(特に、ルート証明機関)
認証局群は世界で統一されたただ一つの階層構造を成しているのではなく,
独立した認証事業者各社のルート認証局をそれぞれ頂点とした複数の階層構造を成しています。
一般人はクレジットカードをイメージするとよいのではないでしょうか。
クレジットカードには VISA, MasterCard, JCB など独立した多数のブランドがあり,それぞれが頂点となって系列・提携企業を傘下に有してクレジットカードを発行しています。世界で統一されたただ一つの信用(credit)保証機構が存在するわけではありません。
Microsoft Internet Explorerに最初からインストール済の,認証事業者各社のルート証明書を確認したければ,次のURLを参照。これは,信頼できるとMicrosoftが認めた認証事業者の一覧ということです。
http://okwave.jp/qa/q4071926.html の私の過去の回答ANo.1
>「認証局用のソフトウェアさえ購入すれば、だれでも証明書を発行できる」
書いてあるとおり,正しいです。
クレジットカードの新ブランドを立ち上げてクレジットカードを発行することは誰だって自由にできます。ただ,「このブランドなら信用できる」と店舗や利用者がそれを認めるかどうかは別の問題だというだけです。
あなたがfMRIブランドのルート認証局を立ち上げたいと思えば,そのためのソフトウェアはすべて無料で揃います。インターネット接続されたPCが1台あれば,ルート認証局は開設できます。ただ,IEにしろFirefoxにしろ,そんなルート認証局は初期状態では信用していないと言うだけです。その認証局を信用したい利用者は自己責任で,ルート証明書を自分のWebブラウザにインストールすればよいわけです。
>ここでいう証明書は、
>クライアントがデータのやりとりをしたいサーバが発行する、
>認証局によって暗号化されたサーバ証明書ではなく、
>当該暗号化を行っている認証局が発行する
>暗号化のための公開鍵であると思われますが、
いいえ違います,サーバ証明書を指しています。
それから「認証局によって暗号化された」「暗号化を行っている認証局」という表現が登場しますが,認証局は暗号化処理をおこないません。また,証明書も暗号化されていません,証明書は認証局の秘密鍵によってデジタル署名されているだけです。
質問者が提示したURLの次のページは,次の文章で閉じられています。
私の回答を読んで疑問点があるようなら,きちんと目を通してみてください。
>ここまでくればさらに詳細にPKIを解説した記事を読むことも
>難しくないはずだ。もしPKIについて詳しく知りたいならば、
>@ITのサイト内にある下記の記事を読むことをおすすめする。
http://www.atmarkit.co.jp/fsecurity/special/02fi …
この回答への補足
ご回答、ありがとうございます。
ご回答の
> 「認証局によって暗号化された」「暗号化を行っている認証局」という表現が登場しますが,
> 認証局は暗号化処理をおこないません。
> また,証明書も暗号化されていません,証明書は認証局の秘密鍵によってデジタル署名されているだけです。
について、
http://www.ibm.com/developerworks/jp/websphere/l …
にある記載を元にした認識でした。
具体的には、
> 電子証明書とは認証局が発行する暗号文書で、
> Webサーバーの公開鍵は認証局の秘密鍵で暗号化されています。
(中略)
> まず、認証局で発行された電子証明書をWebサーバーに配置し、WebクライアントからSSL通信での要求があった場合に、この電子証明書を提示
> 通常、Webクライアントは受け取った電子証明書が有効であるかを検証するために、電子証明書に記載されている発行者(認証局)の名前からその認証局にアクセスして、認証局の公開鍵を取得
> そして、取得したこの公開鍵を使用して、電子証明書の中に埋め込まれているWebサーバーの公開鍵を復号化して取得
とあります。
これらを総合すると、
「電子証明書は、認証局によって発行される暗号文書であり、
当該暗号文書は、当該認証局が公開している公開鍵によって復号が可能で、
復号により、サーバーの公開鍵を含む認証局の電子証明書が得られる。」
ということになると思いました。
(ご指定のURL記事は、読み進めています。)
「認証局は暗号化処理をおこないません。また,証明書も暗号化されていません,証明書は認証局の秘密鍵によってデジタル署名されているだけ」である旨、
及び当該デジタル署名は当該認証局(又は上位局)の公開鍵によってその正当性が確認できる旨理解しました。
ありがとうございます。
No.3
- 回答日時:
> どう理解したらよいのでしょうか?
実際に操作してみるのが一番理解できると思います。
1.まず↓から「認証局用のソフトウェア」をダウンロードします。試験利用であれば無料です。
http://www.vector.co.jp/soft/winnt/util/se479199 …
インストールはありません。解凍したらそのまま実行します。
2.同ソフトのメニューから、フォルダー→新規作成→ルート証明書でルート証明書を作成します。
この証明書が「階層型の認証構造」のトップになる証明書です。
3.ルート証明書をインストールします。
IEのメニューから、ツール→インターネットオプション→コンテンツ・タブ→証明書ボタン→信頼されたルート証明機関の中に、いま作った証明書があれば信頼関係が構築されています。
4.ルート証明書があれば、個人証明書やSSLサーバ証明書が作成できます。
ルート証明書も個人証明書もIEから自由に削除できますので、いろいろと試してみると良いでしょう。
5.終わったらフォルダごと削除して下さい。すべて消えて無くなります。
> リポジトリとの関係もわかりません。
現在、リポジトリから証明書を取得しているパソコンはありません。理解する必要もありません。
windowsであれば、windows updateの時にルート証明書が新規に追加されます。
それ以外は「パソコン購入時にインストール済みのルート証明書」が使用されます。
> どこかを経由して入手するものではないと思われるのですが、いかがでしょうか?
winddowsの場合、IEでhttps通信を行うと
1.パソコンにインストール済みのルート証明機関が発行したサーバ証明書か確認します。
2.そうでない場合、windows updateのしくみを利用して、サーバ証明書を発行したルート証明機関のルート証明書を自動でインストールします。
3.サーバ証明書を発行したルート証明機関がmicrosoftが認証した証明機関で無い場合、“信頼できません”というメッセージが表示されます。
ここまでが一連の動作として実行されます。windows updateで入手されるワケです。
余談ですが、プライベート認証局(それぞれが独自に作った認証局)は “microsoftが認証した証明機関” では無いので、ルート証明書を手動で “信頼するルート証明機関” インストールしてもらう必要があります。
そのためには 「認証局運用規定(CP/CPS)」 を作成・公開して、それを厳密に運用する必要があります。
“認証局運用規定” で検索してみれば、自分で独自に認証局を構築している企業が見つかりますよ。
「リポジトリから証明書を取得しているパソコンはありません。理解する必要もありません。」とのご教示、
ありがとうございます。
認証局のイメージも深まりました。
No.1
- 回答日時:
残念ですが、リンクのURLが間違っているようです。
ですので、原文に当たることが出来ません。かなり前後関係が微妙なところがあるような気がしてなりませんので、正確な回答は出来ません。オレオレ証明書の認証局版(おれおれ認証局)に関わる話題のような気はするのですが・・・・
この回答への補足
すみません、
URLは、
http://www.atmarkit.co.jp/fsecurity/special/02fi …
です。
よろしくお願いします。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(悩み相談・人生相談) 携帯ショップで自動車免許証の裏にマンション名を書くよう言われました 4 2022/12/21 17:52
- 日本語 必要とする場合 5 2023/08/14 18:56
- 戸籍・住民票・身分証明書 保険証と免許が入った財布をなくしたら、どうなりますか? 1 2022/10/13 16:02
- Amazon 迷惑メール? 6 2023/04/29 15:56
- 戸籍・住民票・身分証明書 中学生以上から身分証の提示を求められる理由 3 2022/05/03 22:47
- その他(教育・科学・学問) 英文校正についての質問 1 2022/06/14 14:58
- 家賃・住宅ローン 金消契約の予約時に必要な完済証明を出した後 1 2022/07/07 14:39
- その他(法律) 事業所の義務 6 2023/04/15 03:18
- 戸籍・住民票・身分証明書 マイナンバーカードの更新について教えてくださいな マイナンバーカード更新の時期が来たので携帯で済ませ 2 2023/07/31 01:47
- その他(行政) e-govで必要な電子証明書について 1 2022/08/20 22:56
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
無料アダルトサイトの動画が、...
-
証明書による無線LAN認証(802.1...
-
クライアント証明書(Windows S...
-
セキュリティの警告について教...
-
インターネットを閲覧してると...
-
仮換地証明書と敷地地番該当証...
-
セキュリティ証明書は、信頼す...
-
Excel2007のVBA デジタル署名...
-
ブラウザで秘密鍵をエクスポート
-
知恵袋に似たサイトはどこですか?
-
【SBI証券】パソコン使うたびデ...
-
サイトにアクセスしただけで個...
-
中学生でもまねきねこの会員に...
-
ガールズちゃんねるの個人認証...
-
OPPO Reno7aはNFC typeBに対応...
-
おすすめのグロサイトを教えて...
-
社内USBメモリ禁止 - 他に何を...
-
SMS認証メール認証
-
FC2はどんなサイト何ですかよろ...
-
Excel2013 WEBSERVICE で #VAL...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
無料アダルトサイトの動画が、...
-
証明書による無線LAN認証(802.1...
-
サーバー証明書をインストール...
-
セキュリティの警告について教...
-
LGPKI(地方公共団体における組...
-
Excel2007のVBA デジタル署名...
-
ブラウザで秘密鍵をエクスポート
-
CRLのサイズ
-
個人と個人の間のS/MIME
-
インターネットを閲覧してると...
-
セキュリティ証明書は、信頼す...
-
社内イントラでの暗号化通信
-
双方向SSL時にクライアント証明...
-
サーバ証明書のコモンネームに...
-
aguse.jpの調査結果の見方。
-
セキュリティ証明書のハッシュ...
-
PKIについて、
-
認証局を使わない場合のSSLにつ...
-
セキュリティの事で質問します...
-
「A certificate of no record ...
おすすめ情報