制限されたネットワーク内でプライベート認証局(CA)を作成して、SSLを導入しようと考えています。
そこで疑問に思っていることがあるのですが、「中間CA」がよく利用されていますが、「中間CA」の必要性とは一体何なのでしょうか。
階層を設けることで「なりすまし」の防止対策、セキュリティ向上を狙っているのでしょうか。
認証局が階層設定しているから必要とかではなく、なぜそのような階層構造を行っているのか理由を知りたいです。
ベリサインなどのパブリック認証局では3階層、4階層(クロス)となっており、中間CA証明書が必要になっています。それはCAの階層構造が3階層、4階層となっており、中間CAが存在するため中間CA証明書が必要なのは理解できます。中間CAを実装しなくても、「CA証明書⇔サーバ証明書」と2階層でもSSL接続は可能ですよね。
また、パブリック認証局、プライベート認証局ともに「中間CA」の利用概念は同じなのでしょうか。
パブリック認証局は外部の不特定多数の人向けなので、意図的にそうゆう構造を用いているとか
の理由などは存在するのでしょうか。
ご存じの方がおられましたら、教えていただきたいです。
よろしくお願いいたします。
No.2ベストアンサー
- 回答日時:
確かにサーバ証明書を発行するだけでしたら二階層で十分です。
規模が小さければそれで問題ありません。
しかし、大規模に証明書を発行するにはイロイロと不都合があります。
中間CAで代表的なのはWindows PKIです。
基本的にルートCAはオフラインで構築されるので、ルートCAから発行される証明書は常に人手を介します。
しかしそれでは、Active Directoryのメリットが減ってしまいます。
なので、ルートCAは中間CAの証明書を作成するのみとし、中間CAがAD管理下のアカウントやサーバに対して証明書を発行する体系をとります。
この場合、ルートCAはオフラインのままですが、中間CAからはオンラインで自動的に証明書を発行することができ、かつ、ある程度の安全性を保ったままにする事ができます。
パブリック認証局の場合、組織が異なることが多いです。
親会社がルートCAを持ち、子会社が中間CAでサーバ証明書を発行することもありますし、まるっきり別会社がパブリック認証局から中間CA用の証明書を発行してもらって、中間CAを自社運営する例もあります。
一般的には知られていませんが、ベリサインやセコムなどでも中間CA用の証明書発行サービスをやっています。
いずれにしても、階層が深くなると認証の判断が複雑になります。
信頼チェーンの構築、ルートCAのCRLと中間CAのCRL、それぞれの有効期限、Pathや拡張領域の整合性などをすべて検証しなければならないからです。
例えば、ルートCA → 中間CA1 → 中間CA2 → サーバ証明書、となっているとします。
中間CA1のCRLが何らかの理由で取得できなければ、ルートCAや中間CA2のCRLに問題が無かったとしても、サーバ証明書は無効であると判断しなければなりません。
※ 中間CA1のCRLに中間CA2が載っていれば、中間CA2とそこから発行されたすべての証明書が無効になるからです。
検証の間違いが起きることを考慮して、それでも必要性がある場合に限って、中間CAを構築します。
認証局の運用規定により色々と理由はあるでしょうが、安易に中間CAにすることはありません。
以上、ご参考までに。
>kadusaya2さん
ご回答、ありがとうございます。
ご返事が遅くなり、申し訳ござません。
私の質問は間違ったニュアンスで表現をしていたのに、とても分かりやすいご説明をありがとうございます。
だいたいの仕組みを理解できた気がします。
理解すればするほど、問題が多々浮上してき構成や運用に悩みます。
引き続き調査していきます。
また理解に苦しんだ時は質問するかもしれませんが、今後ともよろしくお願いいたします。
No.1
- 回答日時:
>と2階層でもSSL接続は可能ですよね
そもそも、その辺の発想が違っていると思いますよ。
>、「中間CA」の必要性とは一体何なのでしょうか。
これとか、
>中間CA証明書が必要になっています
これとか、PKIとか、認証局には、無効リストの取得しかアクセスに行きません。証明書にも全階層を含めるか、そうでないか選択できますし、もともと鍵で復号化するには、正当であるかどうかチェックするだけです。それが信頼できるかどうか、ルート証明が使われるだけです。
PKIの歴史や、おいたち、なりたちを学習すれば、なぜ階層があるかもわかるはずです。まあ実際の官庁や、役所の所在や部署をみれば、おのずとわかるはずなんだが・・・。車の免許とか国家(警察庁???)が発行するわけだが、警察庁とか国土交通省とかもらに行った方は存在しないはずです。
>lupin-333333さん
ご回答、ありがとうございます。
>証明書にも全階層を含めるか、そうでないか選択できますし、
これは知りませんでした。
以下のサイトではルート認証局を外部からの攻撃から防ぐために中間認証局が設けられているを記載されていました。その点に関してはセキュリティ面もやはり含まれているんですよね。
http://www.jcert.co.jp/support/faq_detail06.html
色々まだ理解しきれていない面はありますが、もう少し調べてみます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Googleドライブをクイックアク...
-
富士山麓にオウム鳴く?
-
ルート50の解き方
-
横浜駅から200KmのJR駅は
-
自分の家(地域)の郵便物配達...
-
同一フォルダ内で、エクセルを...
-
SDカードに取り込んだ音楽の...
-
√96の解き方
-
通勤経路をわざわざ遠いところ...
-
googlemapで最寄駅を調べる方法
-
一方通行や右左折禁止のわかる...
-
首都高を使わずに千葉方面へ行...
-
通所手当:定期購入のタイミン...
-
TDRまでの高速ルート、横浜町田...
-
google mapでのルート検索を良...
-
ワードで式を書く時に、ルート...
-
名古屋から神戸へ。車で安くい...
-
新しく家を建てた時、ナビに住...
-
ナビ上の地図に◻︎(黄色)この...
-
昨日まで使えていたSDカードが...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
富士山麓にオウム鳴く?
-
ルート50の解き方
-
Googleドライブをクイックアク...
-
関西(大阪)から尾瀬に電車、...
-
横浜駅から200KmのJR駅は
-
you are an idiot!のアクセス方...
-
SDカードに取り込んだ音楽の...
-
√96の解き方
-
√6のようなルートを少数に直す...
-
グーグルマップの用語について
-
京都から名古屋: 一般道での走...
-
Cドライブ直下に、ファイル等を...
-
通勤経路をわざわざ遠いところ...
-
一方通行や右左折禁止のわかる...
-
ナビ上の地図に◻︎(黄色)この...
-
googlemapで最寄駅を調べる方法
-
東京→伊東への車での行き方は?
-
首都高を使わずに千葉方面へ行...
-
昼休みに来る人ってどういう神...
-
エクセルでルートの上の棒を長...
おすすめ情報