証明書 のバックアップ(No.10)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 証明書 へ行く。
  • 1 (2015-12-18 (金) 21:51:59)
  • 2 (2015-12-18 (金) 22:17:00)
  • 3 (2015-12-21 (月) 14:02:47)
  • 4 (2015-12-21 (月) 14:24:35)
  • 5 (2015-12-28 (月) 15:04:42)
  • 6 (2016-01-03 (日) 13:59:18)
  • 7 (2016-01-03 (日) 17:28:09)
  • 8 (2016-01-04 (月) 11:12:12)
  • 9 (2016-01-26 (火) 19:11:56)
  • 10 (2017-01-11 (水) 20:07:55)
  • 11 (2017-01-11 (水) 21:04:46)
  • 12 (2017-01-12 (木) 14:51:09)
  • 13 (2017-01-13 (金) 02:24:02)
  • 14 (2017-01-13 (金) 11:53:57)
  • 15 (2017-01-25 (水) 10:30:23)
  • 16 (2017-02-02 (木) 16:55:14)
  • 17 (2017-03-01 (水) 21:12:55)
  • 18 (2017-04-25 (火) 11:13:51)
  • 19 (2017-05-04 (木) 18:58:33)
  • 20 (2017-09-15 (金) 17:44:11)
  • 21 (2018-09-06 (木) 17:52:44)
  • 22 (2018-10-09 (火) 22:19:09)
  • 23 (2018-11-05 (月) 11:49:43)
  • 24 (2018-11-05 (月) 15:30:45)
  • 25 (2018-11-07 (水) 10:59:16)
  • 26 (2019-01-28 (月) 09:29:20)
  • 27 (2019-10-27 (日) 14:44:55)
  • 28 (2019-10-28 (月) 09:37:39)
  • 29 (2019-10-28 (月) 20:47:13)
  • 30 (2019-10-29 (火) 01:02:49)
  • 31 (2019-10-29 (火) 21:26:40)
  • 32 (2020-03-08 (日) 18:16:42)
  • 33 (2020-08-24 (月) 20:31:39)
  • 34 (2020-09-24 (木) 16:51:37)
  • 35 (2020-09-25 (金) 19:58:46)
  • 36 (2021-07-29 (木) 16:21:10)
  • 37 (2021-08-02 (月) 14:21:49)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

• 「デジタル署名」の検証は、「送信側の公開鍵」を拠り所にしていると言えるが、提供される「送信側の公開鍵」の出所が、正規の出所か、検証できない（場合がある）という問題がある。
• このため、この問題を解決するための、「認証局」と呼ばれる、信頼のおける第三者が発行した「デジタル証明書」を使用して「送信側の公開鍵」が信頼できるものであるかを検証する機構がある。
• 「デジタル証明書」は、このような方式により成り立っているので、その信頼性は「認証局」の信頼性に依存する。

デジタル証明書 †

「デジタル証明書」は

• 「公開鍵が誰の公開鍵であるか？」を証明しているもので、
• 署名付きのメッセージと公開鍵を格納してある。
• 従って、証明書 ＝ 署名付き公開鍵と言っても良い。

ファイル構造 †

X.509という規格で決まっているため、X.509証明書とも呼ぶ。

詳しくは、

• PKI関連技術に関するコンテンツ
  http://www.ipa.go.jp/security/pki/033.html

認証局の自己証明書、送信側の証明書 †

この「デジタル証明書」には以下のものがある。

• 認証局の自己証明書
  • cer形式の電子証明書
  • 認証局が自身で発行した証明書。
  • 通常、事前にクライアントPCの証明書ストア（リポジトリ）に配布されている。

• 送信側の証明書
  • pfx形式の電子証明書
  • 送信側が認証局にCSR（証明書発行要求：Certificate Signing Request）依頼によって発行してもらったもの。

デジタル証明書に含まれる情報 †

これらの「デジタル証明書」には、以下の情報が含まれる。

• （認証局がクライアントPCの証明書ストア（リポジトリ）に事前配布している）「認証局の自己証明書」
  • 「認証局のメッセージ（ ＋ 認証局の公開鍵）」（公開鍵と、公開鍵の情報）
  • 「認証局によるデジタル署名」（本証明書のコンテンツを検証するための署名）

• （送信側のCSR依頼によって認証局が送信側に発行した）「送信側の証明書」
  • 「送信側の秘密鍵」（メッセージの署名に使用する）
  • 「送信側のメッセージ（ ＋ 送信側の公開鍵）」（公開鍵と、公開鍵の情報）
  • 「認証局によるデジタル署名」（本証明書のコンテンツを検証するための署名）

• 証明書におけるメッセージとは、CSRに格納される、発行者や有効期限などの情報を指す。

デジタル証明書の発行 †

• 送信側が認証局にCSRを依頼して発行して「送信側の証明書」を発行もらう。
• 「認証局の自己証明書」は通常、事前にクライアントPCの証明書ストア（リポジトリ）に配布されている。
• このため、送信側・受信側は、「認証局の自己証明書」中の「認証局の公開鍵」を使用して、「送信側の証明書」を検証できる。
• ここでは送信側は、「送信側の証明書」（に含まれる「送信側のメッセージ・公開鍵」）が「認証局」により、
  • 信頼できるものであるとされていることが確認でき、
  • 以降、受信側が、送信側のメッセージ・署名を（安全に）検証できる。

デジタル証明書の利用 †

以下は、デジタル証明書を使用した送信側と受信側の通信。

• 送信側
  • 受信側に「送信側の証明書」を送付する。
  • 「送信側の秘密鍵」を使用してメッセージに署名を付与する。
  • 「メッセージ＋署名」を受信側に送付する。

• 受信側
  送信側の公開鍵を使用して、「送信側のメッセージ＋署名」を検証する。
  • 証明書の検証
    「認証局の公開鍵」を使用して「送信側の証明書」を検証する。
  • メッセージの検証
    「送信側の公開鍵」を使用して、「送信側のメッセージ＋署名」を検証する。

秘密鍵付きの証明書の受け渡し †

他者（上記、上記の図の場合、受信側に該当する）に証明書を渡す場合は、秘密鍵は渡されない。
秘密鍵付きの証明書の受け渡しは、pfxファイルのエクスポート・インポートなどで行なう。

ルートの認証局と中間の認証局 †

なお、「認証局」が「ルートの認証局」と「中間の認証局」に分かれる場合は、次のようになる。

• 「ルートの認証局の自己証明書」:
  「ルートの認証局のメッセージ（＋ルート認証局の公開鍵）」、「ルートの認証局によるデジタル署名」

↓　証明書の発行　＆　↑　検証

• 「中間の認証局の自己証明書」:
  「中間の認証局のメッセージ（＋中間の認証局の公開鍵）」、「ルートの認証局によるデジタル署名」

↓　証明書の発行　＆　↑　検証

• 「送信側の証明書」:
  「送信側のメッセージ（＋送信側の公開鍵）」、「中間の認証局によるデジタル署名」

検証するとき、証明書チェーンを辿る等と表現するように、実際に、
「送信側の証明書」から「ルートの認証局の自己証明書」の証明書を辿るような動きをする。

証明書の種類 †

「デジタル証明書」の主要な利用例として、

サーバー証明書 †

ベリサイン製品で言う所の「ベリサインサーバID」

目的 †

サーバーのユーザが、サーバーの提供者の正当性を検証できるよう、
サーバーに「サーバー証明書」を埋め込む。

用途 †

以下で利用されている。

• 各種Webサービス
  • HTTPS
  • RDP
  • ,etc.

SSL暗号化通信 †

また、SSLは、「ハイブリッド・暗号化」を使用しているが、
このうちの「公開鍵・暗号化方式」で使用する鍵に「SSLサーバ証明書」に同梱されている秘密鍵・公開鍵を使用している。

• ITpro > selfup
  • 図解で学ぶネットワークの基礎:SSL編
    http://itpro.nikkeibp.co.jp/article/COLUMN/20071002/283518/
  • Lesson4 : 相手が信頼できることを確かめる「サーバ証明書」とは？
    http://itpro.nikkeibp.co.jp/article/COLUMN/20071012/284426/

クライアント証明書（メール証明） †

ベリサイン製品で言う所の

• 「個人用電子証明書」
• 「セキュアメールID」

目的 †

ユーザーが別のユーザーの正当性を検証できるよう、
ユーザのメッセージに「クライアント証明書」を埋め込む。

用途 †

以下で利用されている。

• 電子メールメッセージ
• Webサービス（HTTPS）

ソフトウェア証明書 †

ベリサイン製品で言う所の「コードサイニング証明書」

目的 †

プログラム配布先のユーザが、プログラムの開発元の正当性を検証できるよう、
開発したソフトウェアの実行モジュールに「コードサイニング証明書」を埋め込む。

用途 †

• ActiveX
• ClickOnce
• デバイスドライバ
• EXE、DLL

拡張子から判断（*.cer, *.pfx, etc.） †

• *.pfxファイル = *.cerファイル +
• *.spcファイル = *.cerファイル +

cer, cet形式の電子証明書 †

• "cer"はcertificateの意味で、主に自己証明書（ルート証明書）
• *.cerファイルはマイクロソフトが使っている拡張子の取り決めで、*.cetファイルと同じ。
• 一般的な証明書は、この形式で証明書の所有者情報や公開鍵を含む。
• *.cerファイルは、pfxファイルやspcファイルに含まれることもある。

spc形式の電子証明書 †

• *.spcファイルはマイクロソフトが使っている拡張子の取り決めで、*.p7bファイルと同じPKCS #7形式。
  
• ソフトウェア発行元証明書とも呼ばれ、署名を行う際に利用される。

pvk形式の秘密鍵 †

• *.pvkファイルはマイクロソフトが使っている拡張子の取り決めで、*.keyファイルと同じ形式。

pfx形式の電子証明書 †

• *.pfxファイルはマイクロソフトが使っている拡張子の取り決めで、*.p12ファイルと同じPKCS #12形式。
  http://d.hatena.ne.jp/lars_t/20100313/1268501773
• *.cerファイルや*.spcファイルをRC2方式で暗号化した*.pvkファイル>とパッケージしたもの。
• 以下のケースで使用する。
  • *.cerファイルと*.pvkファイルを1つの*.pfxファイルにエクスポート・インポートする。
  • *.spcファイルと*.pvkファイルを1つの*.pfxファイルにまとめる。

• *.pfxファイルのエクスポート・インポートには、パスワードが必要。

• *.pfxファイルのエクスポート・インポートは、次の手順に従う。
  この一連の操作は、Windowsの証明書スナップインや、Pvk2Pfx.exeなどで確認できる。 [#b671995d]
  • 秘密鍵付きの証明書をパスワードで暗号化して*.pfxファイルとしてエクスポートする。
  • エクスポートした*.pfxファイルを渡す。
  • *.pfxファイルをパスワードで復号化して秘密鍵付きの証明書をインポートする。

Encoding (*.derと, *.pem) †

鍵の中身ではなく、エンコーディングを表している。

• DER
  • 鍵や証明書をASN.1というデータ構造の記述方法で表し、
  • それをDERシリアライズしたバイナリファイル

• PEM
  • 鍵や証明書をASN.1というデータ構造の記述方法で表し、
  • それをBase64シリアライズしたバイナリファイル
  • ファイルの先頭に -- BEGIN... という行があればPEM。

PKCS の種別 †

• PKI関連技術に関するコンテンツ > 3.3.7 PKCS
  http://www.ipa.go.jp/security/pki/033.html

PKI で利用する証明書や秘密鍵などのフォーマットを定めた標準として、
PKCS (Public Key Cryptography Standard) が RSA Security 社によって策定。

PKCS #7 †

• 名称
  Cryptographic Message Syntax Standard

• 説明
  • RFC2315
  • 暗号データやデジタル署名のフォーマット
  • 証明書や CRL の配布、S/MIME にも利用

• X.509形式の証明書が複数パッケージされた形式
• 中間証明書を含めて配布ができるのが大きな特徴

PKCS #12 †

• 名称
  Personal Information Exchange Syntax Standard

• 説明
  • 秘密鍵と証明書を交換するためのフォーマット
  • 秘密鍵はパスワードで保護される。

証明書生成の方法 †

IIS †

IISを使用して「証明書チェーンがない自己署名証明書」を生成できる。

証明書サービス (AD CS) †

証明書サービス (AD CS)を使用して「証明書チェーンがある自己署名証明書」を生成できる。

Makecert.exe, Pvk2Pfx.exe †

Windows SDK (旧Platform SDK)に同梱されているツール。

Makecert.exe †

• Makecert.exe (証明書作成ツール)
• デジタル署名用の公開キーと秘密キーのペアを作成し、証明書ファイルの中に格納する。

Pvk2Pfx.exe †

*.cer、*.spc、*.pvk の各ファイルに格納されている公開キーと秘密キーの情報を*.pfx ファイルにコピーするコマンド

証明書ストア（リポジトリ） †

自己署名証明書 †

「SSL等のPKIにおいてクライアント側で検証できない(認証パスを辿れない)サーバ証明書。」

全般のことを言い、正規の認証局から取得していない証明書全般を指す。

• オレオレ証明書とは - はてなキーワード
  http://d.hatena.ne.jp/keyword/%A5%AA%A5%EC%A5%AA%A5%EC%BE%DA%CC%C0%BD%F1

自己署名証明書には以下の様な種類がある。

証明書チェーンがない自己署名証明書 †

このタイプの自己署名証明書は証明書チェーンが無いため、
自身の秘密鍵をエクスポートして、クライアントにインポートさせる必要がある。

証明書チェーンがある自己署名証明書 †

企業内で独自認証局を運用しており、
独自認証局から発行した自己署名証明書は証明書チェーンを持っている。

タイプ１ †

クライアントは独自認証局（ルートCA、中間CA）の証明書の公開鍵をインポートする。

• 手動の展開
• AD CSの機能を使用して展開
• Active DirectoryのGPO?を使用して展開
  • AD CS ポリシー設定
    https://technet.microsoft.com/ja-jp/library/cc725911.aspx

タイプ２ †

この独自認証局が正規の認証局から、中間認証局の証明書を取得している場合、
この中間CA証明書、クロスルート設定用証明書がサーバ側に設定されていれば、
クライアント側の独自認証局の公開鍵のインポートは不要・・・だと思うが、
AD CSの場合はGPOで配布するのかもしれないので要確認。

• 中間CA証明書はなぜ必要なのでしょうか Symantec
  https://knowledge.symantec.com/jp/support/bms-support/index?page=content&id=SO22877&actp=RSS&viewlocale=ja_JP
• 中間CA証明書のインストールについて Symantec
  https://knowledge.symantec.com/jp/support/bms-support/index?page=content&actp=CROSSLINK&id=SO22871

参考 †

• PKI基礎講座（1）：PKIの基礎を理解しよう！ - ＠IT
  http://www.atmarkit.co.jp/ait/articles/0011/02/news001.html

• 証明書失効リスト (CRL)
• 証明書サービス (AD CS)

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.079 sec.