マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

詳細

「デジタル証明書」は

ファイル構造

認証局の自己(発行)証明書、送信側の証明書

この「デジタル証明書」には以下のものがある。

認証局の自己(発行)証明書

送信側の証明書

デジタル証明書に含まれる情報

これらの「デジタル証明書」には、以下の情報が含まれる。

認証局の自己(発行)証明書

(認証局がクライアントPCの証明書ストア(リポジトリ)に事前配布している)「認証局の自己(発行)証明書」

送信側の証明書

(送信側のCSR依頼によって認証局が送信側に発行した)「送信側の証明書」

メッセージ

証明書におけるメッセージとは、CSRに格納される、発行者や有効期限などの情報を指す。

詳しくは、以下のページが参考になる。

デジタル証明書の発行

デジタル証明書の発行

デジタル証明書の利用

以下は、デジタル証明書を使用した送信側と受信側の通信。

デジタル証明書の利用

送信側

受信側

送信側の公開鍵を使用して、「送信側のメッセージ+署名」を検証する。

秘密鍵付きの証明書の受け渡し

他者(上記、上記の図の場合、受信側に該当する)に証明書を渡す場合は、秘密鍵は渡されない。
秘密鍵付きの証明書の受け渡しは、pfxファイルのエクスポート・インポートなどで行なう。

ルートの認証局と中間の認証局

なお、「認証局」が「ルートの認証局」と「中間の認証局」に分かれる場合は、次のようになる。

↓ 証明書の発行 & ↑ 検証

↓ 証明書の発行 & ↑ 検証

検証するとき、証明書チェーンを辿る等と表現するように、実際に、
「送信側の証明書」から「ルートの認証局の自己(発行)証明書」(ルート証明書)の証明書を辿るような動きをする。

証明書の種類

「デジタル証明書」の主要な利用例として、

サーバー証明書

シマンテック製品で言う所の「シマンテック セキュア・サーバ ID」

目的

サーバーのユーザが、サーバーの提供者の正当性を検証できるよう、
サーバーに「サーバー証明書」を埋め込む。

用途

以下で利用されている。

SSL暗号化通信

また、SSLは、「ハイブリッド・暗号化」を使用しているが、
このうちの「公開鍵・暗号化方式」で使用する鍵に「SSLサーバ証明書」に同梱されている秘密鍵・公開鍵を使用している。

証明書のランク

のランクがある。

詳しくは、下記を参照。

クライアント証明書

目的

ユーザーが別のユーザーの正当性を検証できるよう、
ユーザのメッセージに「クライアント証明書」を埋め込む。

用途

以下で利用されている。

ソフトウェア証明書

シマンテック製品で言う所の「コードサイニング証明書」

目的

プログラム配布先のユーザが、プログラムの開発元の正当性を検証できるよう、
開発したソフトウェアの実行モジュールに「コードサイニング証明書」を埋め込む。

用途

拡張子から判断(*.cer, *.pfx, etc.)

証明書発行要求(CSR)

cer, cet形式の電子証明書

spc形式の電子証明書

pvk形式の秘密鍵

'*.pvkファイルはマイクロソフトが使っている拡張子の取り決めで、
'*.keyファイルと同じ形式(=PEM形式)。

pfx形式の電子証明書

Encoding (*.derと, *.pem)

鍵の中身ではなく、エンコーディングを表している。

その他の拡張子

RSA, DSA, ECDSA

RSA(PKCS)

PKCS: Public Key Cryptography Standards

PKCS #7

PKCS #12

RSA証明書の生成

DSA

DSA証明書の生成

ECDSA

ECDSA証明書の生成

証明書生成の方法

IIS

IISを使用して「証明書チェーンがない自己(署名)証明書」を生成できる。

証明書サービス (AD CS)

証明書サービス (AD CS)を使用して「証明書チェーンがある自己(署名)証明書」を生成できる。

EXE(ツール)

Windows SDK (旧Platform SDK)に同梱されているツール。

Makecert.exe

Pvk2Pfx.exe

*.cer*.spc*.pvk の各ファイルに格納されている公開キーと秘密キーの情報を*.pfx ファイルにコピーするコマンド

Cert2spc.exe

OpenSSL

ライブラリ(DLL)

X509Certificate、X509Certificate2

BouncyCastle

証明書ストア(リポジトリ)

アプリケーションによっては、
OSの証明書ストア(リポジトリ)以外に
専用のリポジトリを持っているものもある。

ツール

Certmgr.exe

Certmgr.msc

論理証明書ストア

個人

信頼されたルート証明機関

中間証明機関

エンタープライズの信頼

その他

目的別ストア

サーバー認証

サーバー証明書

クライアント認証

クライアント証明書

コード署名

ソフトウェア証明書

セキュリティで保護された電子メール

メール証明

暗号化ファイル システム

FS によってデータの暗号化および暗号化の解除に使用される対称キーを
暗号化および暗号化解除するキーの組に関連付けられた証明書。

ファイル回復

EFS によって暗号化されたデータの回復に使用される対称キーを
暗号化および暗号化解除するキーの組に関連付けられた証明書。

表示

以下の手順で、目的別 or 論理ストア別に表示できる。

をクリック。

論理証明書ストア別

目的別

自己証明書

自己証明書には、以下の2種類の証明書がある。

自己(発行)証明書

自己(署名)証明書

「SSL等のPKIにおいてクライアント側で検証できない(認証パスを辿れない)サーバ証明書。」

全般のことを言い、正規の認証局から取得していない証明書全般を指す。

自己(署名)証明書には以下の様な種類がある。

証明書チェーンがない自己(署名)証明書

このタイプの自己(署名)証明書は証明書チェーンが無いため、
自身の秘密鍵をエクスポートして、クライアントにインポートさせる必要がある。

証明書チェーンがある自己(署名)証明書

企業内で独自認証局を運用しており、
独自認証局から発行した自己(署名)証明書は証明書チェーンを持っている。

参考

内部リンク

証明書で発生する問題

証明書信頼リスト (CTL)

証明書失効リスト (CRL)

証明書サービス (AD CS)

外部リンク

証明書


Tags: :IT国際標準, :セキュリティ, :暗号化, :証明書


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS