マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

  • PKI : Public Key Infrastructure(公開鍵暗号基盤)
  • 公開鍵暗号を利用し、安全に情報のやりとりを行うセキュリティのインフラ(基盤)
  • その1つに、インターネット上の身分証明書の役割を担っている「電子証明書」が ある。
  • 認証や署名により、公開鍵の正当性を保証する。
  • 証明書の認証局、証明機関などは、証明書のPKI(公開鍵暗号基盤)の構成要素。

認証局(CA)

  • CA:Certification Authority
  • 認証局、証明機関などと呼ばれる。

要件

以下の要件を満たす必要がある。

  • 鍵の保管・管理の徹底
  • 発行申請者の認証による発行ミス防止
  • 各種セキュリティ対策の徹底
    • 物理的侵入
    • 不正アクセス
    • 災害
    • 障害
  • 保守 / 運用体制の確立
    • メンテナンス体制の整備
      • 証明書の変更
      • 証明書の取消
  • 不足事態発生時の対応
    • 対応の体制
    • 手順の整備

役割

その他、以下の様な役割を持つ。

  • CA自身の証明書の公開(主要OSなどに事前インストール)
  • CA自身の秘密鍵を厳重に保管・管理する。

機能

認証局の中には以下の機能がある。

※ RAのみを企業で管理し、他はアウトソースする形態が増えてきている。

登録局(RA:Registration Authority)

審査により証明書申請者の身元を保証する、申請の窓口となる機関。

  • 申請書、証明書中に列記される情報が正確であることの確認
  • 申請書中で特定された人物と同一であることの確認
  • 証明書に含まれる公開鍵に対応する秘密鍵の所持を確認
  • 法人申し込みなどの代理申請で、代理人の権限を確認

発行局(IA:Issuing Authority)

秘密鍵を保管・管理し、証明書の発行・失効を行う。

検証局 (VA:Validation Authority)

CA自身やCRLを集中管理するVAが運営する。

  • 証明書失効リスト (CRL)を集中管理し、証明書の有効性をチェックする機関・システム
  • CAとは異なり、デジタル証明書の発行は行わずに検証機能に特化している。
  • CAの公開鍵で署名の正当性を検証したり、証明書の有効期限を確認したりする。

階層

ルート認証局(root CA)

  • 最上位のCA(上位なのにルートとか解り難いな)
  • 証明書チェーンのルートに居る。

中間認証局(intermediate CA)

商用 or 自営

商用

自営

Active Directoryの証明書サービス的な。

CP と CPS

証明書ポリシ(CP)

  • CAが証明書を発行するときのポリシ
  • 下記のようなケース毎、
    共通のセキュリティ要件によって決定する。
  • 特定のコミュニティ
  • 特定のアプリケーション
  • 特定の, etc.

認証局運用規定(CPS)

  • 他者がCAの
  • 下記紅項目を評価できるように、
    • 信頼性
    • 安全性
    • 経済性
  • 以下の詳細を規定した文書
    • セキュリティ・ポリシ
    • 責任と義務
    • 約款
    • 外部との信頼関係
  • と言う事で、当然、
    • 助言型監査
    • 保証型監査

などで利用される。

参考

PMI(権限管理基盤)


Tags: :セキュリティ, :暗号化, :証明書


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-10-30 (水) 20:42:44 (16d)