![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2023-04-22T17:42:04+09:00","default:k1rou","k1rou") #author("2023-07-06T20:00:37+09:00","default:k1rou","k1rou") *デジタル証明書 とは [#vb22a3d7] **呼称 [#b0805149] -電子証明書 -公開鍵証明書 **概要 [#h4724851] -個人や組織に関する電子式の身分証明書 -個人や組織が保有する公開鍵の正当性を第三者機関である認証局([[CA]])が証明する -ITU-T勧告の[[X.509]]に規格として定義されている。 *デジタル証明書の発行 [#rff14f45] -[[WebTrust認証]]を受けた認証局([[CA]])が発行する。 -[[Webサーバ]]で使うデジタル証明書を発行するためには、申請者は[[CSR]]を生成して[[CA]]に申請する必要がある。 *デジタル証明書の検証 [#s396dc49] -証明書の利用にあたって必要な検証 --証明書の[[デジタル署名]]の確認 --証明書の有効期限の確認 --失効情報の確認 ---[[CRL]](ドメイン失効リスト)の確認 ---[[OCSP]]の確認 --ルート認証局、ルート証明書の確認 --証明書のレベル --アクセス先の確認 *デジタル証明書の規格 [#jf764811] -[[X.509]] **デジタル証明書の構成要素(含まれる情報) [#t926528e] -証明書記載情報(必須) | # | 項目 | 項目 |h | 1 | フォーマットのバージョン | version | | 2 | シリアル番号 | serialNumber | | 3 | [[デジタル署名]]のアルゴリズム | signature.algorithmIdentifier | | 4 | 発行者(CA)の名前 | issuer | | 5 | 証明書の有効期間(開始日時/終了日時) | validity | | 6 | 被発行者(証明対象)の名前 | subject | | 7 | 公開鍵の情報(公開鍵のアルゴリズム/公開鍵自体) | subjectPublicKeyInfo | -証明書記載情報(オプション) | 8 | 発行者(CA)のユニークID | issuerUniqueID | | 9 | 被発行者(証明対象)のユニークID | subjectUniqueID | | 10 | 拡張領域 | | -拡張領域 --属性証明書:[[AC]](Attribute Certificate) --属性証明書失効リスト:ACRL(Attribute Certificate Revocation List) --鍵の利用目的(keyUsage) --証明書ポリシー(certificatePolicies) --廃棄リスト配布ポイント(cRLDistributionPoints) --サブジェクト代替名(certificateSubjectAlternativeName) -CAの[[デジタル署名]] **CN [#vc9b75af] -Common Name -subjectフィールドを構成する属性(必須項目) -[[サーバ証明書]]の場合は[[FQDN]] -1つしか指定することができない(ワイルドカードを使えば複数を対象とすることが可能) **SAN [#c8d8b46e] -Subject Alternative Name -SANs -サブジェクト代替名 -[[サーバ証明書]]のSubjectAltNameフィールド -複数の指定をすることができる(マルチドメイン証明書) -subjectフィールドのCNの参照は非推奨 -最近のWebブラウザはSANの記述がない場合のみ、CNを参照する。 *デジタル証明書の種類(用途別の呼称) [#n9737c44] -[[サーバ証明書]] --[[ルート証明書]] --[[中間CA証明書]] --[[SSL]]証明書 -[[クライアント証明書]] -[[S/MIME]]証明書 -[[コードサイニング証明書]] *自己署名証明書 [#gddd8c83] -デジタル証明書の所有者自身の秘密鍵を使って署名して作成したデジタル証明書 -ルート[[CA]]の公開鍵は自己署名証明書として配布される *失効リスト [#t6d70dd5] -[[CRL]](Certificate Revocation List) -公開鍵の漏洩や誤発行があった場合で、有効期限内に証明書を失効させるための、証明書のシリアル番号を記載したリスト。 *関連サイト [#o6b9e793] -Common Name(コモンネーム) - [[JPRS]]~ https://jprs.jp/glossary/index.php?ID=0269 -SAN(サン、Subject Alternative Name) - [[JPRS]]~ https://jprs.jp/glossary/index.php?ID=0268 -SANs(サンズ、Subject Alternative Names) - [[JPRS]]~ https://jprs.jp/glossary/index.php?ID=0247 *関連用語 [#le1c80b5] -[[セキュリティ]] -[[認証]] -[[公開鍵暗号方式]] -[[デジタル署名]] -[[AA]] (Attribute Authority) -属性認証局 -[[AC]] (Attribute Certificate) -属性証明書 -[[ACME]] -[[CertUtil]] -[[PMI]] (Privilege Management Infrastructure) -権限管理基盤 -[[OpenSSL]] -[[OCSP]] -[[PKI]] -公開鍵基盤 -[[Vault]]
