Public Key Infrastructure ... 公開鍵暗号基盤
概要
信頼できる相手を確認し、その相手との暗号化通信を行うための仕組み。以下のアプリケーションで利用される。
- SSL(Secure Sockets Layer)
- S/MINE
公開鍵暗号方式で公開鍵(Public Key)を「身元証明書」付きで配布する。
- 公開鍵(Public Key):暗号化に利用する鍵
- 秘密鍵(Private Key):復号化に利用する鍵
PKIの構成要素
証明書(X.509証明書)
身分証明書で公開鍵を含む。実態はファイルでX.509はファイル構造の規格。X.509規格では証明書に含める情報が定義されており、この情報を証明書に書き込む方法(データ形式)についても記述されている。すべてのX.509証明書は、署名のほかに次のデータを含んでいる。
バージョン
証明書に適用される X.509 規格のバージョンを特定します。証明書に指定できる情報は、バージョンによって異なります。これまでに、3 つのバージョンが定義されています。
シリアル番号
証明書を作成したエンティティは、そのエンティティが発行するほかの証明書と区別するために、証明書にシリアル番号を割り当てます。この情報は、さまざまな方法で使われます。たとえば、証明書が取り消されると、シリアル番号が証明書の取り消しリスト (CRL) に格納されます。
署名アルゴリズム識別子
証明書に署名を付けるときに CA が使ったアルゴリズムを特定します。
発行者名
証明書に署名したエンティティの X.500 名です。エンティティは、通常は CA です。この証明書を使うことは、証明書に署名を付けたエンティティを信頼することを意味します。「ルート」つまり「トップレベル」の CA の証明書など、場合によっては発行者が自身の証明書に署名を付けることがある点に注意してください。
有効期限
各証明書は、限られた期間だけ有効になります。この期間は開始の日時と終了の日時によって指定され、数秒の短い期間から 100 年という長期にわたることもあります。選択される有効期間は、証明書への署名に使われる非公開鍵の強度や証明書に支払う金額など、さまざまな要因で異なります。有効期間は、使用する非公開鍵が損なわれない場合に、エンティティが公開鍵を信頼できると期待される期間です。
Subject名
証明書で公開鍵が識別されているエンティティの名前です。この名前は X.500 標準を使うので、インターネット全体で一意なものと想定されます。これは、エンティティの識別名 (DN) で、次はその例です。
CN=
Java Duke, OU=Java Software Division, O=Sun Microsystems Inc, C=US
これらはそれぞれ主体の通称、組織単位、組織、国を表します。
Subjectの公開鍵情報
名前を付けられたエンティティの公開鍵とアルゴリズム識別子です。アルゴリズム識別子では、公開鍵に対して使われている公開鍵暗号化システムおよび関連する鍵パラメータが指定されています。
認証局(CA:Certification Authority)
証明書を発行する機関。
リポジトリ
認証局が発行した証明書を集中管理する場所。
証明書ファイルの拡張子
| 拡張子 |
説明 |
| CER |
CERで符号化された証明書、ときによっては証明書群の列 |
| DER |
DERで符号化された証明書 |
| PEM |
Base64で符号化された証明書 |
| P7B, P7C |
被署名データのないPKCS#7のSignedData構造で証明書(群)やCRL(群)がある |
| PFX, P12 |
(公開鍵やパスワードで保護された)私有鍵を含むPKCS#12。秘密鍵付き証明書。 |
PFX (Personal inFormation eXchange)標準から発展したPKCS#12は、単一ファイルでの公開鍵と私有鍵の交換に使われる。
PFXはCERとPVK(秘密鍵)から生成する。
link
最終更新:2012年01月30日 08:56
