よくある質問・用語集

サーバ構築のデージーネットTOP > OSS情報 > よくある質問・用語集 > 用語集 > 認証局とは

  • もっと調べる
  • どうやって使う?

認証局とは

認証局とは、電子証明書の発行や失効などの管理を行う機構です。CA(Certificate Authority)と表現されることもあります。

認証局の発行する電子証明書は、公開鍵暗号方式を使って作られています。証明書の利用者は、決められたフォーマット(PKCS#10)で、認証局に自身の識別情報と公開鍵を送ります。これをCSR(Certificate Signing Request)と呼びます。日本語では、証明書署名リクエストです。認証局は、CSRに認証局の秘密鍵で電子署名し、証明書を作成します。そのため、証明書は認証局の公開鍵を使って正しいものかどうかを検証することができます。

認証局:電子証明書の発行

また、証明書の失効も、認証局の非常に重要な役割の一つです。認証局は、証明書失効リスト(CRL)を管理しています。利用者が証明書の正当性を確認するときに、認証局からCRLを入手して、失効していないかを確認することができます。

認証局:証明書失効リストの管理

認証局の信頼性

認証局は、発行する証明書の信頼性を担保する必要があります。そのため、CSRに嘘の情報が含まれていないかを検査する必要があります。企業向けの電子証明書の発行の場合には、企業の存在確認や登記簿謄本などによる情報の確認までが行われることもあります。

パブリック認証局とプライベート認証局

認証局には、パブリック認証局とプライベート認証局があります。

パブリック認証局

パブリック認証局は、幅広い利用者に対して審査を行って証明書を発行する認証局です。パブリック認証局が発行した証明書をパブリック証明書といいます。パブリック証明書は厳しい審査をクリアした第三者の機構が発行しているため、信頼性が高いというメリットがあります。

ルート認証局とルート証明書

パブリック証明書の信頼性の大元になるのは、ルート認証局が発行するルート証明書です。ルート証明書は、ルート認証局が自分自身のために発行します。ルート認証局は、WebTrust for CAという厳正な監査基準によって審査を受けた機関だけが担うことができます。代表的なWebブラウザやメールクライアントなどには、ルート証明書があらかじめ同梱されています。

中間認証局と中間証明書

ルート認証局が世界中で必要とされる証明書の発行をすべて行うのは無理があります。現在、認証局は3つのレベルになっています。ルート認証局の次のレベルは中間認証局です。中間認証局は、証明書の発行や管理の業務を行う下位認証局を管理する役割を担っています。中間認証局の証明書は、ルート認証局に署名されます。これを中間証明書と呼びます。そして、下位認証局の証明書は、中間認証局に証明されています。そして、利用者に発行される証明書は、下位認証局によって署名されています。このように信頼の連鎖を作成することで、証明書の信頼が担保されています。

パブリック証明書の用途

パブリック証明書は主にWEBサーバなど、組織外に公開しているサーバの証明書として活用します。もちろん、組織内でのみ利用する証明書としてパブリック証明書を利用することは可能ですが、多くの場合パブリック証明書の発行にはコストが発生します。例えば社員1000人分の証明書を発行するとなると大きなコストとなってしまいます。そのため、組織内部では、次に解説するプライベート認証局が発行するプライベート証明書が使われます。

認証局:階層構造

プライベート認証局

プライベート認証局は、事業会社などが独自の運用基準を設けて構築するものです。プライベート認証局が発行する証明書は、組織内でのみ利用する証明書でプライベート証明書といいます。パブリック証明書とは異なり、プライベート証明書の発行にはコストがかかりません。そのため、プライベート証明書を活用することで、証明書のコストを減らすことが可能になります。しかし、プライベート証明書には配布や設定が煩雑であるという面があります。ただ、組織内での利用に関しては、設定を自由に変更することができるプライベート証明書を利用した方が有益な場合があります。

プライベート認証局のソフトウェア

プライベート認証局を構築するには、専用のソフトウェアが必要です。SSL/TLSのデファクトスタンダードであるopensslには、プライベート認証局を構築するための最低限の機能が備わっています。そのため、数人程度の小規模な認証局であれば、opensslだけで構築することができます。しかし、opensslでの証明書の管理は、非常に煩雑なため、数十人から数百人の証明書を管理するには向きません。

プライベート認証局を構築するためのOSSとしては、OpenXPKIが知られています。OpenXPKIを利用することで、煩雑になってしまいがちなプライベート証明書管理の手間を軽減できます。これはOpenXPKIが、証明書の作成、検索、失効などの管理をwebインタフェースから直感的に行うことができるためです。

デージーネットの取り組み

デージーネットでは、OpenXPKIを活用してプライベート証明書を発行する認証局の構築サービスを行っています。また、デージーネットはOpenXPKIの日本語化にも取り組んでいます。

【カテゴリ】:セキュリティ  認証  

  • もっと調べる
  • どうやって使う?

関連用語

認証局に関連するページ(事例など)


デージーネット用語集のページです。「認証局」という用語と関連情報について説明します。「認証局」について情報を収集する際、サービスをご検討いただく際などに用語集ページをお役立てください。

認証局とは先頭へ