痔になりやすい生活習慣とは?

現在個人的に、PKI(公開鍵基盤)を勉強中です。
PKI(公開鍵基盤)のテキストを読むと、だいたいCA(Certificate Authority)は階層構造になっていて、ユーザが、取引先の電子証明書(公開鍵証明書)の正当性を近くのCAに照会に行くと、取引先の電子証明書の正当性をチェックして返答すると同時に、CAが自らの正当性を証明するために、(CAがなりすましでないことを証明するために)、順次、上位のCAに照会をかけ、最後にルートCAにたどり着くと、ルートCAは自らの秘密鍵で自己署名を行って、その自己署名で、CAになりすましがないことを最終的に担保すると書いてあります。

そのような長いトランザクションを、取引先の電子証明書の正当性をチェックする都度行っていると、時間がかかりすぎて実用に耐えないような気がします。

もしかして、実際のCAは階層構造ではなく、ほとんど我々は、ルートCAに直接照会をかけているのでしょうか。

このQ&Aに関連する最新のQ&A

A 回答 (1件)

まず、「証明書発行の流れ」と「証明書の正当性を検証する」を混同されています。



● 証明書発行の流れ
ルートCAは自らの秘密鍵で自己署名を行い、自己証明書(ルート証明書)を発行します。
中間認証局はCSRを作成し、それをルートCAにルートCAの秘密鍵で署名してもらい、中間認証局証明書として受け取ります。
取引先はCSRを作成し、それを中間認証局に中間認証局の秘密鍵で署名してもらい、個人証明書またはSSLサーバ証明書として受け取ります。
⇒ 秘密鍵で署名するのはそれぞれの証明書発行の時だけです。

● 証明書の正当性を検証する
ユーザが取引先の電子証明書の正当性を検証するには、パソコンの中に入っている証明書で信頼チェーンが構築されるか確認します。

-WindowsでSSLサーバ証明書の場合-

Internet Explorer のメニューから、ツール → インターネットオプション → コンテンツ・タブ → 証明書ボタン → 信頼されたルート証明機関 を開いてください。
ここに入っているのが、“なりすまし”では無いと判断されたルートCAの証明書です。

ユーザが取引先のSSLサーバにアクセスすると、取引先のSSLサーバ証明書を受け取ります。
このとき、そのSSLサーバ証明書が上記の信頼されたルート証明機関から直接発行されていれば、その時点でそのSSLサーバ証明書は正当であると判断されます。

ただし、同じく Internet Explorer のメニューから、ツール → インターネットオプション → 詳細設定タブ → セキュリティ・グループ → サーバの証明書失効を確認する にチェックが入っている場合は、CAの証明書の中にある「CRL配付ポイント」から失効リストを読み取り、そのSSLサーバ証明書が失効していないことを確認します。

SSLサーバ証明書が中間認証局から発行されている場合、上記の手順ではルートCAの証明書にはたどり着けません。ですので、中間証明書とルートCAの証明書を(Apacheであれば)SSLCACertificateFile に設定しないといけません。SSLCACertificateFile の中身はSSLサーバ証明書と共にユーザに送られます。

以上が実際の電子証明書の正当性確認です。
ご覧になられているテキストとは、まるで異なると思われるのでは。
とりあえず、理論は理論、実際は実際、別々に理解された方が良いですよ。
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!


人気Q&Aランキング