- 追加された行はこの色です。
- 削除された行はこの色です。
#navi2(RaspberryPi/証明書,toc,prev,next)
----
#contents
----
* 概要 [#h52496b7]
* 概要 [#he440849]
**証明書 [#g5c20878]
証明書(電子証明書)は、認証局により持ち主の情報が正しいことを証明するものです。
証明書は、次の手順で認証局に署名をしてもらうことで作成します。
+利用者(証明してもらいたい人)は、「秘密鍵」と対応する「証明依頼書」を作成する。
+利用者は、「証明依頼書」を認証局に渡し、署名依頼をする。
この時、何を証明してもらいたいか((認証局, サーバー, クライアント など))も合わせて伝える。
+--------+ +----------------+
| 認証局 | |利用者 |
| | | +------------+ |
| | | | 秘密鍵 | |
| | 署名依頼 | +------------+ |
| |<------------------| 証明依頼書 | |
| | | +------------+ |
+--------+ +----------------+
+認証局は、証明依頼書に署名をし、証明書を返却する。
+--------+ +----------------+
| 認証局 | |利用者 |
| | | +------------+ |
| | | | 秘密鍵 | |
| | | +------------+ |
| | | | 証明依頼書 | |
| | 署名済証明書 | +------------+ |
| | --------------->| | 証明書 | |
| | | +------------+ |
+--------+ +----------------+
#ref(./証明書署名の流れ.png,50%);
+申請者は、「秘密鍵」と「公開鍵」をペアで作成します。((正確には、公開鍵は、秘密鍵よりいつでも生成できるので、同時に作成しなくても問題ありません。))
+申請者は、公開鍵と申請者を識別する次のような情報を含む CSR を作成します。
/C=国
/ST=都道府県
/L=市町村
/O=組織
/OU=部門
/CN=コモンネーム
+申請者は、作成したCSRを認証局に送付し、署名をしてもらいます。
+認証局は、受け取ったCSRに次のような情報を追記し、認証局の秘密鍵を用いて署名します。
署名した認証局の情報
証明書の有効期限
証明書の用途
失効リストのURL
OSCPサーバーの情報(URL)
+認証局は、署名した公開鍵証明書を申請者に返却します。
** サーバー証明書 [#c9523efd]
サーバー証明書は、Webサーバーなどで利用される証明書で、
証明書の CN (コモンネーム) にサーバーの FQDN が入っています。
署名済証明書には、次のような情報が記載されます。
-署名した認証局の情報
-証明書の有効期限
-証明書の用途
-失効リストのURL
-OSCPサーバーの情報(URL)
Webブラウザは、Webサーバーに接続する際、次の手順で証明書の整合性を確認します。
#ref(./証明書のチェック.png,50%)
''<前提>''
+Webブラウザは、あらかじめルート認証局の証明書が組み込まれています。((ブラウザーではなく、OSで証明書をまとめて管理している場合もあります。))
''<整合性の確認>''
+Webブラウザは、Webサーバーにアクセスします。
+Webサーバーは、サーバー証明書を返却します。((この時、上位認証局のCA証明書も一緒に返される場合があります。))
+Webブラウザーは、サーバー証明書の整合性を確認します。
++証明書が失効されていないかは、CRLリストまたは、OCSPにて確認します。
++認証局は階層になっており、下位認証局のCA証明書は、上位の認証局により署名されています。Webブラウザーは、署名元を階層的にたどり、最終的にブラウザーに組み込まれているCA証明書にたどり着くことができれば、信頼できると判断します。
----
#navi2(RaspberryPi/証明書,toc,prev,next)
