サーバー証明書
最終更新:
chipstar_light 2015年05月31日(日) 15:52:37履歴
サーバー証明書 
信相手のサーバーが信頼できるかどうかを確認するしくみとして、「サーバー証明書」がある
サーバー証明書は,サーバーの管理者が,「認証局」と呼ばれる組織に申請して発行してもらう
サーバー証明書には,サーバー運営者の組織名,認証局の組織名,証明書の有効期限,サーバーの公開鍵などの情報が書き込まれている
サーバー証明書は,サーバーの管理者が,「認証局」と呼ばれる組織に申請して発行してもらう
サーバー証明書には,サーバー運営者の組織名,認証局の組織名,証明書の有効期限,サーバーの公開鍵などの情報が書き込まれている
認証局
証明書を発行する期間
主にVeriSignなどの第三者機関
主にVeriSignなどの第三者機関
署名
サーバー証明書には認証局の署名が付いている。
署名とは,証明書の内容をハッシュした値を,認証局の秘密鍵で暗号化したデータである。
署名とは,証明書の内容をハッシュした値を,認証局の秘密鍵で暗号化したデータである。
公開鍵、秘密鍵
秘密鍵で暗号化したデータは、公開鍵でしか復号化できない。
この特性をいかし、認証局にて秘密鍵で署名を暗号化しておく
クライアントは、ローカルに持つ証明書に付属する公開鍵で複号化した署名と、
受信したサーバー証明書に付属する公開鍵で複合化した署名を比べ、
一致すると証明書は認証局が発行したものであることがわかる。
この特性をいかし、認証局にて秘密鍵で署名を暗号化しておく
クライアントは、ローカルに持つ証明書に付属する公開鍵で複号化した署名と、
受信したサーバー証明書に付属する公開鍵で複合化した署名を比べ、
一致すると証明書は認証局が発行したものであることがわかる。
証明書をつかった認証処理
証明書に署名を施した認証局がそもそも信頼できるのかを確認する行為
サーバー証明書と一緒に,署名を施した認証局の証明書もクライアントに送られてきている
クライアントは,あらかじめインストールされている証明書と,サーバーから受信した認証局の証明書が一致するかを確認し,
一致したら受信した証明書は信頼できると判断する。
※認証局は別の認証局から署名を受けている可能性があるので、証明書は複数おくられてきており、
全ての証明書のルートとなる証明書をルート証明書という
サーバー証明書と一緒に,署名を施した認証局の証明書もクライアントに送られてきている
クライアントは,あらかじめインストールされている証明書と,サーバーから受信した認証局の証明書が一致するかを確認し,
一致したら受信した証明書は信頼できると判断する。
※認証局は別の認証局から署名を受けている可能性があるので、証明書は複数おくられてきており、
全ての証明書のルートとなる証明書をルート証明書という
SSLサーバー証明書の選び方
- 証明書・認証方式の種類
- ドメイン認証(クイック)
- 暗号化通信のみ。社内サービス向け。
- 企業認証
- 暗号化通信+サイト存在証明。外部サービス向け。
- EV認証
- 暗号化通信+サイト存在証明+署名者確認。重要な外部サービス向け。
- ドメイン認証(クイック)
- SSLの解説と選び方まとめ
- AWSに適切なSSL証明書の購入を考える
参考サイト
相手が信頼できることを確かめる「サーバー証明書」とは?
http://itpro.nikkeibp.co.jp/article/COLUMN/2007101...
http://itpro.nikkeibp.co.jp/article/COLUMN/2007101...
コメントをかく