デジタル証明書
2023-07-06 (木) 20:00:37
デジタル証明書 とは †
呼称 †
- 電子証明書
- 公開鍵証明書
概要 †
デジタル証明書の発行 †
- WebTrust認証を受けた認証局(CA)が発行する。
- Webサーバで使うデジタル証明書を発行するためには、申請者はCSRを生成してCAに申請する必要がある。
デジタル証明書の検証 †
- 証明書の利用にあたって必要な検証
デジタル証明書の規格 †
デジタル証明書の構成要素(含まれる情報) †
- 証明書記載情報(必須)
# 項目 項目 1 フォーマットのバージョン version 2 シリアル番号 serialNumber 3 デジタル署名のアルゴリズム signature.algorithmIdentifier 4 発行者(CA)の名前 issuer 5 証明書の有効期間(開始日時/終了日時) validity 6 被発行者(証明対象)の名前 subject 7 公開鍵の情報(公開鍵のアルゴリズム/公開鍵自体) subjectPublicKeyInfo
- 証明書記載情報(オプション)
8 発行者(CA)のユニークID issuerUniqueID 9 被発行者(証明対象)のユニークID subjectUniqueID 10 拡張領域
- 拡張領域
- 属性証明書:AC(Attribute Certificate)
- 属性証明書失効リスト:ACRL(Attribute Certificate Revocation List)
- 鍵の利用目的(keyUsage)
- 証明書ポリシー(certificatePolicies)
- 廃棄リスト配布ポイント(cRLDistributionPoints)
- サブジェクト代替名(certificateSubjectAlternativeName)
- CAのデジタル署名
CN †
SAN †
- Subject Alternative Name
- SANs
- サブジェクト代替名
- サーバ証明書のSubjectAltNameフィールド
- 複数の指定をすることができる(マルチドメイン証明書)
- subjectフィールドのCNの参照は非推奨
- 最近のWebブラウザはSANの記述がない場合のみ、CNを参照する。
デジタル証明書の種類(用途別の呼称) †
自己署名証明書 †
- デジタル証明書の所有者自身の秘密鍵を使って署名して作成したデジタル証明書
- ルートCAの公開鍵は自己署名証明書として配布される
失効リスト †
- CRL(Certificate Revocation List)
- 公開鍵の漏洩や誤発行があった場合で、有効期限内に証明書を失効させるための、証明書のシリアル番号を記載したリスト。
関連サイト †
- Common Name(コモンネーム) - JPRS
https://jprs.jp/glossary/index.php?ID=0269
- SAN(サン、Subject Alternative Name) - JPRS
https://jprs.jp/glossary/index.php?ID=0268
- SANs(サンズ、Subject Alternative Names) - JPRS
https://jprs.jp/glossary/index.php?ID=0247