Private CAの用語

Classic/VPC環境で利用できます。

Private CAを使用するために、必ず知っておくべきいくつかの用語があります。用語とその説明は以下のとおりです。

CAの階層構造

CAが証明書管理業務を処理する際はCA自らの証明書を利用し、証明書の発行者(Issuer)は証明書に署名したCAになる。このとき、CA証明書もまた他のCAから発行でき、このような場合に形成される階層構造。上位階層のCAは下位階層のCA証明書の発行者の役目を担う

OCSP (Online Certificate Status Protocol)

証明書の有効性を検証するためにCRLを直接ダウンロードして照会する代わり、その証明書の状態を速やかに照会できるオンライン証明書状態プロトコル。特定のCAが発行した証明書を対象に終了の有無だけを定期的に更新して状態を維持

X.509

PKI基盤の証明書の標準。証明書と証明書失効リスト(CRL)の基本フィールドと拡張フィールドで構成されたプロファイルを定義した規格

顧客管理プライベートルートCA

顧客が直接管理するルートCA。Private CAで作成される中間CAの証明書を、顧客所有のルートCAの秘密鍵で署名して登録できる

公開鍵基盤 (Public Key Infrastructure、PKI)

証明書は、公開鍵暗号システムを基盤に作成されたユーザーの鍵ペア(Key pair)のうち、公開鍵で作成された証明書署名要求(CSR)をCAが署名することによって発行される。安全な認証体系のためには証明書の発行以外にも配布及び管理、保存、失効などのプロセスが追加で必要であるが、そのための人的資源、物理的資源のみならず、ポリシーや手続などを包括的に定義した複合的なセキュリティシステム環境。PKIでCAは、厳格な基準に従って証明書の発行及び失効を担当することになり、実際には証明書の発行を代行する機関であるRegistration Authority(RA)がユーザーの身元確認及び発行業務を代行する事例もある。 <例> 金融機関でユーザー認証のために公認証明書を利用する場合、その金融機関はグローバルCAのRAとしてユーザーの公認証明書発行を代行

公認証明書

法的に認可された公認CA。厳格な手続を経て発行された公認証明書は、追加設定を別にしなくてもSSL/TLSまたは電子署名を通じたユーザー認証に使用できる

リソース

Private CAではCAを意味

発行者 (Issuer)

証明書を発行した主体

発行者チェーン (Issuer Chain)

CA自らと自らを中心に上位・下位階層に位置するすべての証明書の階層構造

プライベートルートCA

CAの階層構造で最上位階層に位置し、ルートCAの役目を担うCA。中間CA証明書を発行できる

プライベート証明書

Private CAで管理するプライベートCAで発行される証明書。プライベート証明書を用いてSSL/TLSまたは電子署名を使用するには、プライベートCAをトラストチェーンに追加するなどの追加設定が必要

プライベート中間CA

CAの階層構造で中間階層に位置するCA。機能自体はルートCAと変わらず、CA証明書に署名して下位階層構造を構成できる

トラストチェーン (Trust chain)

現存するOSとウェブブラウザに様々なグローバルルートCAの証明書が基本的に搭載されている構造。トラストチェーンに含まれたルートCA(またはその下位CA)から発行された証明書を使用すると、HTTPS(SSL/TLSを用いた安全なウェブサービスを保証するプロトコル)通信を利用できる

認証局 (Certificate Authority、CA)

証明書の発行主体。証明書の所持者の身元を保証する役目だけでなく、発行した証明書の有効性を継続して管理するために更新及び失効などの全般的な証明書の管理の役目も担う

証明書

様々なメッセージをやり取りするネットワークシステムで、あらゆるリクエストと応答を処理するために、接続を試みる遠隔ユーザーに対する確認(ユーザー認証)と送信されたメッセージに対する完全性の検証(メッセージ認証)を行うハンドシェイクの過程で使用される主体。証明書を用いると、ユーザーであることを証明する電子署名が可能になり、安全なネットワーク暗号化チャネル(SSL/TLS)を構成できる

証明書の識別名 (Distinguished Names、DN)

X.509証明書に明示される主体識別子。ネットワーク上で特定の主体(ユーザー、デバイス、アプリケーション、サービスなど)を識別するために定義した標準であるX.500に基づいており、以下の項目を一般フィールドとして含める

• Common Name (CN)：主体(発行者)の一般名
• Organization (O)：主体(発行者)が属する組織または会社
• Organization Unit (OU)：主体(発行者)が属する組織または会社の部署
• Country (C)：主体(発行者)の国
• State/Province (S)：主体(発行者)の地域(都道府県)
• Locality (L)：主体(発行者)の市区町村

証明書失効リスト (Certificate Revocation List、CRL)

証明書の有効期間終了により失効したのではなく、他の理由で失効した証明書リスト。証明書失効リストは、定期的に更新して証明書の有効性を検証する役目を担う

主体の別名 (Subject Alternative Name、SAN)

DNの他に主体を識別する付加情報であり、X.509証明書の拡張フィールドで構成。DNSネームやIPアドレス、メールアドレスフィールドが含まれることができ、FQDN形式で複数の対象(マルチドメイン)を明示できる