Interstage Application Server セキュリティシステム運用ガイド

目次 索引

6.1 証明書と秘密鍵について

　証明書と秘密鍵について説明します。

■証明書と秘密鍵

　SSL通信など、署名や暗号の処理を行うためには、認証局の証明書(発行局証明書)、サイト証明書、それに対応する秘密鍵が必要となります。また、証明書の有効性を確認するために、CRL(証明書失効リスト)が利用されます。
　X.509またはRFC2459に準拠し、RSA鍵が使用されている証明書・CRLが使用できます。

• 認証局の証明書(発行局証明書)
  認証局が発行した証明書を保証するための、認証局自身の証明書です。CA証明書ともいいます。
  認証局が配下の認証局に証明書を発行することがあります。この場合、認証局自身の証明書に加え、配下の認証局に発行した証明書も、認証局の証明書と呼びます。また、配下の認証局に発行した証明書を特に中間CA証明書と呼びます。
• サイト証明書
  サーバやクライアントやサービスの身元を保証するために、認証局が発行した証明書です。
  利用者(サーバ/クライアント/サービス)に関する情報と認証局に関する情報が含まれています。
  サイト証明書は、必ずこれを発行した認証局の証明書を組み合わせて使用する必要があります。
• サイト証明書に対応する秘密鍵
  サイト証明書の中に含まれている公開鍵と対になっています。
  
  秘密鍵をなくしたり、削除したりすると、対応するサイト証明書は登録できなくなります。そのため、必ずバックアップをとるようにしてください。
• CRL(証明書失効リスト)
  失効された証明書のリストで、認証局が発行します。CRLは認証局が発行し、その認証局が発行したが無効になった証明書の一覧が含まれています。証明書を無効にする(失効する)のは、秘密鍵が盗まれた場合や、利用資格がなくなった場合、などがあります。
  SSL通信で利用する場合には、接続先のサイトやクライアントの証明書が無効になっていないかを確認する場合に参照されます。
  CRLは定期的に発行され、認証局の管理しているWebサーバやディレクトリサーバなどに公開されます。公開方法は、認証局の運用によって異なるため、認証局に確認してください。なお、証明書の中に公開場所が記載されている場合もあります。

　UTF-8を含む証明書は扱えない場合があります。以下の表を参照し、使用不可の場合にはUTF-8を含まない証明書を使用するようにしてください。

　　(○：使用可能、×：使用不可)。
　　(注)：Java実行環境がJDK1.4の場合は○、JDK1.3の場合は×。

■認証局(証明書発行局)

　証明書を作成するためには、認証局が必要です。
　Interstage証明書環境では、以下で発行された証明書をサポートしています。

• Systemwalker PkiMGR
  (当社のインターネット/イントラネットで証明書管理を実現するソフトウェア)
• 日本ベリサイン株式会社
  セキュア・サーバIDをサポートしています。
• 日本認証サービス株式会社
  Webサーバ証明書をサポートしています。

　Systemwalker PkiMGRについては、Systemwalker PkiMGRのカタログやマニュアルを参照してください。

上記以外の認証局が発行する証明書については、X.509またはRFC2459に準拠しているものであれば扱うことができると考えられます。しかし、証明書の入手方法も含め、Interstage Application Serverとして動作確認を行っていないため、サポート対象とはしていません。

目次 索引