認証局とは

認証局とは、電子証明書の発行や失効などの管理を行う機構です。認証局は、CA（Certificate Authority）と表現されることもあります。認証局で発行された電子証明書によって、システムやサイトの利用者が正しい人物や機器であるかを認証します。

認証局は、以下の3つ機関で構成されています。

• 登録局（Registration Authority）：電子証明書の申請を受けて承認する機関。
• 発行局（Issuing Authority）：登録局から依頼され、取得した情報から電子証明書の発行や執行を行う機関。
• 検証局(Validation Authority)：電子証明書の有効期間を確認・検証する機関。検証局で検証する際に利用される詳細のリストが公開されている場所のことを、リポジトリという。

認証局の発行する電子証明書は、公開鍵暗号方式を使って作られています。公開鍵暗号化方式とは、公開鍵と秘密鍵というペアになる2つの鍵を使ってデータの暗号化/復号化を行う技術です。そして、公開鍵暗号化方式と電子証明書の仕組みを利用し、インターネット上で安全に情報の通信を行うセキュリティのインフラ（基盤）のことをPKI（公開鍵暗号基盤：Public Key Instructure）と呼びます。

認証局の役割

認証局には、主に以下の役割があります。

証明書の発行

証明書の利用者は、決められたフォーマット（PKCS#10）で、認証局に自身の識別情報と公開鍵を送ります。これをCSR（Certificate Signing Request）と呼びます。日本語では、証明書署名リクエストです。認証局は、暗号化通信を行うために必要となる秘密鍵でCSRに電子署名を行い、証明書を作成します。認証局の信頼性を持つため、証明書は認証局の公開鍵を使って正しいものかどうかを検証することができます。

証明書の失効

また、証明書の失効も、認証局の非常に重要な役割の1つです。証明書には有効期限が設定されていますが、期限内であっても証明書を無効にすることができます。その時に使われるのが証明書失効リスト（CRL）です。認証局は、証明書の発行とともに証明書失効リスト（CRL）の管理も行います。利用者が証明書の正当性を確認するときに、認証局から証明書失効リスト（CRL）を入手して、証明書の有効性を確認することができます。

認証局に対する信頼性

認証局は、発行する証明書の信頼性を担保する必要があります。そのため認証局では、CSRにデータの改ざんや嘘の情報が含まれていないかを監査します。例えば企業向けの電子証明書を発行する場合、認証局は、申請元の企業がどこに存在しているかの確認や登記簿謄本などによる情報の確認まで行うこともあります。

認証局の主な種類

認証局には、大きく分けて以下の2つの種類があります。

パブリック認証局

パブリック認証局は、幅広い利用者に対して審査を行って証明書を発行します。この発行した証明書をパブリック証明書といいます。パブリック認証局は厳しい審査をクリアした第三者の機構が運営しているため、発行される証明書の信頼性が高いというメリットがあります。

パブリック証明書の用途

パブリック証明書は主にWEBサイトなど、組織外に公開しているサーバの証明書として活用します。もちろん、組織内でのみ利用する証明書としてパブリック証明書を利用することは可能ですが、多くの場合パブリック証明書の発行にはコストが発生します。例えば社員1000人分の証明書を発行するとなると大きなコストとなってしまいます。そのため、組織内部では、次に解説するプライベート認証局が発行するプライベート証明書が使われます。

プライベート認証局

プライベート認証局は、事業会社などが独自の運用の基準を設けて構築するものです。発行する証明書は組織内でのみ利用する証明書で、プライベート証明書といいます。パブリック証明書とは異なり、プライベート証明書の発行にはコストがかかりません。そのため、プライベート証明書を活用することで、証明書のコストを減らすことが可能になります。しかし、プライベート証明書には配布や設定が煩雑であるという面があります。ただ、組織内での利用に関しては、社内の規定に沿って設定を自由に変更することができるプライベート証明書を利用した方が有益な場合があります。また、プライベート認証局をインストールすると、通常のパスワードを使って本人確認を行う認証よりも解析されにくく、セキュリティリスクを軽減することができるため、システムやサービスの信頼性を向上することができるというメリットもあります。

プライベート認証局を構築するには、専用のソフトウェアをインストールする必要があります。SSL/TLSのデファクトスタンダードであるopensslには、プライベート認証局を構築するための最低限の機能が備わっています。そのため、数人程度の小規模な認証局であれば、opensslだけで構築することができます。しかし、opensslでの証明書の管理は非常に煩雑なため、数十人から数百人の大規模な組織で証明書を管理する場合には向きません。

プライベート認証局を構築するためのOSSとしては、OpenXPKIが知られています。OpenXPKIには、利用者からの電子証明書発行の申請の受け付け、電子証明書の作成、検索、失効、更新などの管理をWebインタフェースから直感的に行う仕組みが用意されています。電子証明書が失効した場合も、利用者と管理者どちらからでもブラウザ上で失効の処理ができる仕組みがあります。そのため、OpenXPKIを利用することで、煩雑になってしまいがちなプライベート証明書が管理しやすくなり、手間を軽減することができます。

「プライベート認証局〜OpenXPKI〜」へ

デージーネットの取り組み

デージーネットはOpenXPKIの日本語化や一般の利用事項をまとめた手順の作成にも取り組んでいます。OpenXPKIのインストール方法や利用方法等、その他詳しい内容は、OpenXPKI調査報告書にてご覧いただけます。調査報告書は無料でダウンロードが可能です。

また、デージーネットでは、OpenXPKIを活用してプライベート証明書を発行する認証局の構築サービスを提供しています。OSSを組み合わせて認証局を構築するサービスのため、ユーザライセンス料をかけず、設計・構築・保守に十分な費用をかけることが可能です。デージーネットで構築したシステムでは、導入後にOpen Smart Assistanceにより認証局管理のサポートが受けられます。OSSそのものではなく、運用中のシステムが適切に運用できることをサポートしています。 保守サービスでは、使い方から運用方法まで幅広い範囲でのQ&Aや、適正に運用できるようなセキュリティの情報提供、障害調査、回避を行い、安心して利用して頂けるよう管理者の業務をサポートします。