SSL証明書について

ＳＳＬ証明書について調べていますが、
コンピュータ証明書とサーバ証明書の違いがよくわかりません。
どちらもＳＳＬを使用することが可能な証明書というのは、
わかるのですが、どう違うのでしょうか。

初心者ですいません。
宜しくお願いします。

No.5 回答者： jjon-com 回答日時： 2011/02/22 10:51

肝心なことを忘れていました。

>「コンピュータ証明書」 という種類は存在しません。
>たぶん証明書を詳しく知らない方が、
>SSLサーバ証明書を言い換えただけでしょう。（＝同じもの）

というのがANo.3ですから，
質問者が参照なさっている資料に登場する「コンピュータ証明書」という用語をすべて「SSLサーバ証明書」に置き換えて意味が通るのであれば，ANo.3が正しいのでしょう。

そうではなく，クライアント認証用途の証明書と捉えることで意味が通るのであれば，ANo.1なり狭義のANo.2なりの理解が適切なのでしょう。

サーバ認証／クライアント認証ともに該当する文脈で広く用いられているようですと，広義のANo.2ということになるでしょう。

No.4 回答者： jjon-com 回答日時： 2011/02/22 10:12

>SSLサーバ証明書と呼んではいますが、

>実際にはURLを証明しているのであって、
>サーバを証明しているのではありません。
>
>証明書に記載する項目は規定されています。
>その中に「コンピュータ」を記載する項目はありません。
>SSLサーバも氏名にURLを入れて“流用している”だけです。
>ですので、コンピュータを証明する証明書というものは存在しません。

この点は理解しているつもりです。
ANo.2では【コンピュータを識別する名称】に対する証明書だと回答しました。

あと細かい点ですが，
私はCNをすなおに共通名(Common Name)という日本語で捉えており，
氏名(full name, legal name)に限定した属性ではないと理解しているので，
本来と違う用途に流用しているという感覚はありません。


>「コンピュータ証明書」 という種類は存在しません。
>たぶん証明書を詳しく知らない方が、
>SSLサーバ証明書を言い換えただけでしょう。（＝同じもの）

コンピュータ証明書(computer certificate)という用語は，日英のMicrosoft TechNetライブラリで普通に用いられています。その意味はSSLサーバ証明書の言い換えではなく，ANo.2で回答したとおり。

私は今後も，商品ジャンルだからそういうものがあるワケではない，（X.509の用語ではないから？）そういう種類は存在しない，というような原理主義的な考え方ではなく，商品名・サービス名であってもその用語が流通しているなら既存の概念に対応させて説明することができるという立場から回答していきます。

No.3 回答者： kadusaya2 回答日時： 2011/02/21 23:50

「コンピュータ証明書」 という種類は存在しません。

たぶん証明書を詳しく知らない方が、SSLサーバ証明書を言い換えただけでしょう。（＝同じもの）
ちなみにSSLサーバ証明書というのも商品ジャンルであって、そういう証明書があるワケではありません。

百聞は一見にしかず、いずれかのSSLサイトにアクセスしてみてください。
鍵マークをクリックして、“証明書の表示”をクリックします。
“詳細”タブの中にある“サブジェクト”を選択するといくつかの項目が表示されます。
C：国名
O：組織名
CN：氏名（またはURL）
E：メールアドレス
などです。
証明書とは、ここに記載されているものが間違い無いよ、ということを証明したものです。

本来ならCNには氏名（固有名称）が入りますが、ここにURLを入れるとSSLサーバ証明書となります。
SSLサーバ証明書と呼んではいますが、実際にはURLを証明しているのであって、サーバを証明しているのではありません。（ちょっと意味が違う）

証明書に記載する項目は規定されています。
その中に「コンピュータ」を記載する項目はありません。SSLサーバも氏名にURLを入れて“流用している”だけです。
ですので、コンピュータを証明する証明書というものは存在しません。それを使用するプログラムもありません。

あと、SSL通信は証明書を流用しているだけであって、SSL通信のために証明書があるワケではないということも理解しておいてください。
実際問題として、SSLサーバ証明書のURLが異なっていたとしても、個人名が入っていたとしても、秘密鍵と公開鍵があればSSL通信には使えます。

いろいろなサイトや本で 自称「専門家」が解説していますが、証明書を本当に理解している人はほとんどいません。

No.2 回答者： jjon-com 回答日時： 2011/02/21 10:04

>クライアントにインストールする証明書（ANo.1）

といってしまうと，(a)クライアントPCを識別する名称に対して発行された証明書（すなわちコンピュータ証明書），(b)クライアントPCの利用者を識別する名称に対して発行された証明書（すなわちユーザー証明書），(c)クライアントPCにインストールされた認証局証明書（ルートCA証明書や中間CA証明書），のすべてが該当します。

ということで私からの回答です。
コンピュータ証明書とは，コンピュータを識別する名称に対する証明書です。
狭義では(a)ですが，広義ではサーバ証明書も(a)も(c)もコンピュータ証明書と呼べると思います。

「このWebサーバは偽物ではない，というお墨付きを認証事業者に保証してもらうもの」がサーバ証明書で，
「このWebサーバは不特定多数からのアクセスを許可するのではなく，会社が所有しているこれらのPCからのみアクセスを許可したい」（クライアントコンピュータの認証をしたい）という場合に用いられるのが，狭義の(a)コンピュータ証明書です。

No.1 回答者： stokesia 回答日時： 2011/02/20 07:14

読んで字のごとく。

前者はクライアントにインストールする証明書。
後者はサーバ側でもっている証明書。