#navi2(RaspberryPi/証明書,toc,prev,next) ---- #contents ---- * 概要 [#h52496b7] 証明書(電子証明書)は、認証局により持ち主の情報が正しいことを証明するものです。 証明書は、次の手順で認証局に署名をしてもらうことで作成します。 +利用者(証明してもらいたい人)は、「秘密鍵」と対応する「証明依頼書」を作成する。 +利用者は、「証明依頼書」を認証局に渡し、署名依頼をする。 この時、何を証明してもらいたいか((認証局, サーバー, クライアント など))も合わせて伝える。 +--------+ +----------------+ | 認証局 | |利用者 | | | | +------------+ | | | | | 秘密鍵 | | | | 署名依頼 | +------------+ | | |<------------------| 証明依頼書 | | | | | +------------+ | +--------+ +----------------+ +認証局は、証明依頼書に署名をし、証明書を返却する。 +--------+ +----------------+ | 認証局 | |利用者 | | | | +------------+ | | | | | 秘密鍵 | | | | | +------------+ | | | | | 証明依頼書 | | | | 署名済証明書 | +------------+ | | | --------------->| | 証明書 | | | | | +------------+ | +--------+ +----------------+ 署名済証明書には、次のような情報が記載されます。 -署名した認証局の情報 -証明書の有効期限 -証明書の用途 -失効リストのURL -OSCPサーバーの情報(URL) * サーバー証明書 [#f13de985] サーバー証明書は、Webサーバーなどで利用される証明書で、 証明書の CN (コモンネーム) にサーバーのFQDNが入っています。 Webブラウザは、Webサーバーに接続する際、この CN と FQDN の一致を確認し、 さらに署名している認証局が信頼できる認証局か確認します。 Webブラウザには、いくつかのルート認証局の証明書がインストールされており、 署名している認証局がインストールされている認証局あるいは、 インストールされている認証局に署名されている認証局か否かを確認します。 ルート認証局 <----- Webブラウザに証明書がインストールされている | ↓ 認証局であれば信頼できると判断 | ↓署名 +--中間認証局 <----- 認証局が信頼できるか確認 | ↓ | ↓署名 +--サーバー証明書 <----- FQDN と CN を照合 ---- #navi2(RaspberryPi/証明書,toc,prev,next)