内容
デジタル証明書について整理してみた。
本記事内では、デジタル証明書はSSL証明書として記載してます。
公開鍵
秘密鍵
- 公開鍵とペアになる。
- 公開鍵で暗号化されたデータを復号できる。
- 他人に公開せず、本人だけが保持することで、公開鍵で暗号化されたデータは本人以外が復号できないようにする。
デジタル証明書
証明書発行要求(CSR)
- CSR(Certificate Signing Request)。
- CSR作成時に、秘密鍵と公開鍵を生成する。
- CSRには公開鍵が含まれる。
- CSRを認証局に依頼することで、デジタル証明書を生成してもらう。
認証局(CA)
- CA(CERTIFICATE AUTHORITIES)
- CSRを元に本人であることを証明する機関。
- 認証局もデジタル証明書をもち、別の上位の認証局にデジタル署名してもらうことで、認証局自体の身元を保証する。
- 別の認証局にデジタル署名してもらう認証局は中間認証局。
- 最上位の認証局は、ルート認証局。
- ルート認証局は、自分で自分をデジタル署名する。
デジタル証明書の配置
- 秘密鍵とデジタル証明書を本人(サーバー)へ配置する。
- ルート認証局の証明書(ルート証明書)、中間認証局の証明書(中間証明書)は、サーバーへアクセスするクライアントPCへインストールする必要がある。クライアントPCで、サーバーのデジタル証明書を検証する際、認証局の検証も必要になるため。
- なお、初期状態でOSにインストールされているルート証明書もある。