SSL認証局の立ち上げ

いつもお世話になります

SSLの仕組み自体は分かっているつもりです、サーバに適用も経験済みです。
ふと疑問なのですが、仮に法人としてSSL認証機関を立ち上げたいと思った場合
そのようなシステムを作ってどこに登録すれば良いのでしょうか？
（公的CA（認証機関）を立ち上げたい、独自CAではない）

マレーシアのSSL認証局がセキュリティ不十分だった時に
Microsoft、Mozillaとも「Entrust」からの連絡を受けたとのことなので
http://www.itmedia.co.jp/enterprise/articles/111 …
Entrustに申請して、各ブラウザに反映してもらうような流れなのでしょうか？

例えばドメインを自前で登録する時は
バインドでネームサーバを作って、そのIPを各トップレベルドメインに登録します（jpだったら日本レジストリサービス）
そのようなSSL認証を統括している企業があるのか
もしくは、Microsoft、Mozilla等に直接申請するのでしょうか

詳しい方、ご教授頂けると嬉しいです！

No.3 ベストアンサー 回答者： kadusaya2 回答日時： 2012/07/06 00:54

まず、独自CAを立ち上げることは誰でも勝手にやっても良いと御認識されていると思います。

次に、政府や公共的なCAを立ち上げる場合ですが、日本では電子署名法でかなり厳密に規定されています。
http://law.e-gov.go.jp/htmldata/H12/H12HO102.html
電子署名法第4条で、「特定認証業務を行おうとする者は、主務大臣の認定を受けることができる。」とされています。（申請先は総務省）
タイムスタンプCAを構築されたい場合には、日本データ通信協会のタイムビジネス認定センターに認定を受けます。
http://www.dekyo.or.jp/tb/summary/index.html

最後に、商用CAの場合です。
通常、ルートCAはOSの深部に格納され、ブラウザはそれを読み出して使用します。
ブラウザが独自にルートCAを持つと、SSLクライアント認証やルートCAの更新に対応できないからです。
ですので、商用CAを立ち上げたらWindowsやMACにルート証明書を入れてもらうことになります。
Windowsの申請の詳細は↓です。
http://technet.microsoft.com/ja-jp/library/cc751 …

正直言って、採算が合わないくらいの大仕事ですよ。

この回答へのお礼

kadusaya2様

返信ありがとうございます！

それでは、ザックリとは以下のような流れになるのですね！
・総務省へ連絡する
・システムを作る
・OSを開発している会社に連絡する（MS,apple,google,ガラケー開発会社）

不可能ではなさそうなので
頑張って公開までこぎつけてみます！

お礼日時：2012/07/08 17:43

No.2 回答者： jjon-com 回答日時： 2012/07/05 23:32

> 問題が発覚したのは米Entrust傘下の認証局DigiCert Sdn. Bhdが発行した証明書。

だから

> Microsoft、MozillaともEntrustからの連絡を受けて、

となったわけで，すべての電子認証事業者を統括している組織はありません。

あなたがSSL認証事業を立ち上げ，自社のRootCA証明書を各社のWebブラウザへ既定でインストールしてほしいと望むのなら，Microsoft、Mozilla等に直接申請することになるでしょう。

この回答へのお礼

jjon-com様

返信ありがとうございます！

なるほどですね！
確かにそう書いてあります！

kadusaya2様いわく、申請はブラウザではなく
OSの会社に連絡するとのことでした！

お礼日時：2012/07/08 17:39

No.1 回答者： dscripty 回答日時： 2012/07/05 12:42

ベリサイン マネージドPKI

https://www.verisign.co.jp/mpki/

自前でインフラ用意しなくていいのは楽かも。
試用版もあるみたいだから試してみるといいよ？

この回答へのお礼

dscripty様

返信ありがとうございます！
OEMでそんなサービスがあるんですね！

資料請求してみます
でもお高そうですね

お礼日時：2012/07/08 17:38