Top/デジタル証明書

デジタル証明書

2023-07-06 (木) 20:00:37

デジタル証明書 とは

呼称

  • 電子証明書
  • 公開鍵証明書

概要

  • 個人や組織に関する電子式の身分証明書
  • 個人や組織が保有する公開鍵の正当性を第三者機関である認証局(CA)が証明する
  • ITU-T勧告のX.509に規格として定義されている。

デジタル証明書の発行

  • WebTrust認証を受けた認証局(CA)が発行する。
  • Webサーバで使うデジタル証明書を発行するためには、申請者はCSRを生成してCAに申請する必要がある。

デジタル証明書の検証

  • 証明書の利用にあたって必要な検証
    • 証明書のデジタル署名の確認
    • 証明書の有効期限の確認
    • 失効情報の確認
      • CRL(ドメイン失効リスト)の確認
      • OCSPの確認
    • ルート認証局、ルート証明書の確認
    • 証明書のレベル
    • アクセス先の確認

デジタル証明書の規格

デジタル証明書の構成要素(含まれる情報)

  • 証明書記載情報(必須)
    #項目項目
    1フォーマットのバージョン    version 
    2シリアル番号                    serialNumber 
    3デジタル署名のアルゴリズムsignature.algorithmIdentifier 
    4発行者(CA)の名前issuer 
    5証明書の有効期間(開始日時/終了日時)validity 
    6被発行者(証明対象)の名前     subject 
    7公開鍵の情報(公開鍵のアルゴリズム/公開鍵自体)subjectPublicKeyInfo 
  • 証明書記載情報(オプション)
    8発行者(CA)のユニークIDissuerUniqueID
    9被発行者(証明対象)のユニークIDsubjectUniqueID
    10拡張領域
  • 拡張領域
    • 属性証明書:AC(Attribute Certificate)
    • 属性証明書失効リスト:ACRL(Attribute Certificate Revocation List)
  • 鍵の利用目的(keyUsage)
  • 証明書ポリシー(certificatePolicies)
  • 廃棄リスト配布ポイント(cRLDistributionPoints
  • サブジェクト代替名(certificateSubjectAlternativeName)

CN

  • Common Name
  • subjectフィールドを構成する属性(必須項目)
  • サーバ証明書の場合はFQDN
  • 1つしか指定することができない(ワイルドカードを使えば複数を対象とすることが可能)

SAN

  • Subject Alternative Name
  • SANs
  • サブジェクト代替名
  • サーバ証明書SubjectAltNameフィールド
  • 複数の指定をすることができる(マルチドメイン証明書)
  • subjectフィールドのCNの参照は非推奨
  • 最近のWebブラウザはSANの記述がない場合のみ、CNを参照する。

デジタル証明書の種類(用途別の呼称)

自己署名証明書

  • デジタル証明書の所有者自身の秘密鍵を使って署名して作成したデジタル証明書
  • ルートCAの公開鍵は自己署名証明書として配布される

失効リスト

  • CRL(Certificate Revocation List)
  • 公開鍵の漏洩や誤発行があった場合で、有効期限内に証明書を失効させるための、証明書のシリアル番号を記載したリスト。

関連サイト

関連用語