• SSLサーバ証明書 ▼
  • WildCard Plus
  • マルチドメイン証明書
  • Standard SSL（SSL Plus）
  • EV SSL Plus
  • EVマルチドメイン証明書
  • サイトシール
  • 動作環境
• コードサイニング証明書 ▼
  • 取扱サービス詳細
  • ドキュメントサイニング証明書
• サポート ▼
  • CSR作成方法
  • インストール方法
  • 証明書の選択ガイド
  • 証明書の移動
  • DigiCert 技術情報
  • コードサイニングサポート
  • ドキュメントサイニングサポート
• オーダー ▼
  • 取得手順
  • 利用規約
  • オーダーフォーム
  • 更新について
  • 無料テスト証明書
  • コードサイニングオーダー
  • ドキュメントサイニングオーダー

1. ホーム＞SSLサーバ証明書とは
2. PKI 公開鍵暗号基盤

PKI 公開鍵暗号基盤

PKI 公開鍵暗号基盤とは

公開鍵暗号の信頼性を担保するシステムです。
提示された公開暗号鍵を含む証明書が有効なものか、信頼できるものかを検証できる仕組みになっています。
PKI は公開暗号鍵を発行する認証局(CA)によって運営されるのが一般的です。
証明書利用者は、信頼できる認証局(CA)によって発行された、有効な証明書であることを確認する必要があります。

PKIの構成要素

PKI 公開鍵暗号基盤は以下のような構成要素と相互作用によって機能します。

• root秘密鍵 「HSM PKIトークンで保存」 認証局 (CA) の秘密鍵は、決して漏洩しないように厳重に保管されます。秘密鍵を使った作業は、「PKI トークン」内で行われ、秘密鍵が「PKI トークン」から出ないようになっています。CAではより高いセキュリティのHSM PKIトークンが利用され、複数の管理者が秘密鍵を分割所有し、すべてがそろってはじめて利用できるようになっています。
• 認証局 (CA： Certification Authority) 登録局 (RA) からの発行依頼を受け証明書所有者に証明書を発行します。証明書では証明書のタイプによって決められた内容（組織の実在等）で証明書所有者の証明書であることを認定します。証明書は公開鍵に含まれます。公開鍵は認証局 (CA) によって署名されています。
• 登録局 (RA： Registration Authority) 規模の大きな PKI で認証局 (CA) の機能の一部を登録局 (RA) として分離し、証明書発行業務の効率化を図ることがあります。そうした場合、登録局 (RA) は証明書申請の正当性の検証が主たる業務となります。
• 認証局運用規定 (CPS: Certificate Practice Statement) CPS には認証局 (CA) の運用規定を記載します。証明書発行システム、発行実施手順などを証明書に記載されたURLで公開します。
• リポジトリ (Repository) 「発行済み証明書、CRL、OCSP」 発行済み証明書、CRL (証明書失効リスト)、OCSP(Online Certificate Status Protocol) を証明書に記載されたURLで公開します。
• アーカイブ (Archive) 「期限切れ証明書、期限切れCRL」 電子署名の有効性を担保するため、有効期限切れの証明書や CRL をアーカイブします。
• 証明書所有者 （Certificate Holder） 運営する Web サイトの暗号化や署名のために証明書を利用する組織や個人です。証明書の Subject 欄に記載されます。証明書の申請者であり、秘密鍵の保有者です。
• 証明書利用者（Relying Party） 暗号化された Web サイトの閲覧者やデジタル署名されたデータの受領者です。証明書所有者の証明書を入手し検証します。Web サイトの閲覧者の場合は証明書に含まれる公開鍵を使って暗号化通信を可能にします。（RSA証明書の場合）

認証局 (CA) 信頼モデル

インターネット向けの PKI や、特定のイントラネット向けの PKI、暗号化通信のための PKI、デジタル署名のための PKI など様々な PKI (公開鍵暗号基盤) があります。
そしてそれらの PKI が相互に関連して目的を達成している場合もあります。こうした PKI の相互関連性を「認証局 (CA) の信頼モデル」と呼びます。

代表的な信頼モデルとして以下のようなものがあります。

• 単独認証局 (CA) モデル
  単独の認証局 (CA) が全ユーザの証明書を発行します。信頼の根拠は単独認証局 (CA) のルート証明書となります。
• 階層型モデル
  複数の認証局 (CA) を上下関係（ツリー構造）で信頼関係を構築します。最上位の認証局 (CA) を「ルー ト認証局 (Root CA)」といい、ルート認証局に よって証明される認証局 (CA) を下位認証局 (CA) といいます。最下位の認証局 (CA) の証明書をさかのぼってルー ト認証局のルート証明書に到達できることによって、信頼が確立されます。
• Web モデル
  Web サイトの暗号化のために利用されているモデルです。最もよく使われているモデルと言えます。クライアントのOS・アプリケーションによって信頼された多数の認証局 (CA) のルート証明書があらかじめクライアントのOS・アプリケーションに組み込まれています。Web の他では電子メールの暗号化と署名で使われています。
• メッシュモデル
  認証局 (CA) が異なる認証局 (CA) との間で互いに「相互認証証明書 (Cross Certificate)」を発行することで異なる認証局のルート証明書による信頼を確立することができます。
• 認証局 (CA) モデル
  メッシュモデルの発展形です。複数の認証局 (CA) がブリッジ認証局 (CA) を介して接続する方式です。

• 前のページ
  ＜＜　ハンドシェイク
• 次のページ
  証明書の構造　＞＞

DigiCert.com

 Copyright © Sophia Research Institute,Ltd. All rights reserved.
 ソフィアグループ提供サービス一覧
再販売用レンタルサーバーのSPEEDEX | クラウドサーバー | 共用サーバー | 独自ドメイン取得・運用
SSLサーバ証明書 | ワイルドカードサーバー証明書 | マルチドメイン証明書 | EV SSLサーバー証明書
コードサイニング証明書 | ドキュメントサイニング証明書