SSL Server Certificate - Part 2



 ◆ 以下の記事を読む前に SSLサーバ証明書をはじめからその1 を読んで頂けると理解しやすくなります。


 ◆ SSLサーバ証明書の種類

 SSLサーバ証明書には「企業認証型」と「ドメイン認証型」の大きく2タイプある。ベリサインを例に見ます。
 最もセキュリティの可視性が高く、セキュリティ意識の高い企業の証明となるのはEV SSLサーバ証明書です。

証明書のタイプ 証明書の種類 機能 シマンテックブランド
企業認証型 EV SSLサーバ証明書

 @ SSLによる通信の暗号化
 A Webサイトの身元証明(なりすまし対策)
 → 厳格な発行基準による企業認証
 → アドレスバーは緑色

Norton Secured
by VeriSign
SSLサーバ証明書

 @ SSLによる通信の暗号化
 A Webサイトの身元証明(存在証明)
 → 適切な発行基準による企業認証
 → アドレスバーは白色

Norton Secured
by VeriSign
ドメイン認証型 SSLサーバ証明書

 @ SSLによる通信の暗号化
 → ドメイン名の管理者の申請確認で発行
 → アドレスバーは白色

GeoTrust




 ◆ SSLサーバ証明書のインストール先

 発行されたSSLサーバ証明書は、Webサーバにインストールして利用すると申し上げましたが、その他にも
 ロードバランサにインストールして、ロードバランサがSSLサーバとしてSSL通信を終端させることも可能。
 一般的には、ロードバランサにSSLサーバ証明書をインストールして、SSL通信を行わせることがほとんど。


   



 証明書認証を使用したSSL-VPNの場合、サーバ証明書をSSL-VPNゲートウェイ(サーバ)にインストール。


  


 ◆ SSLサーバ証明書の導入

 SSLサーバ証明書の導入は、通常は以下のようなフローで行います。

 @ SSLサーバ証明書を導入するサーバでのCSRの生成
 A オンライン申請、及び各種申請資料の送付
 B 認証局(CA)で、CSRに署名を行いサーバ証明書として発行
 C 認証局(CA)のルート証明書、及び発行されたサーバ証明書の受領とインストール
 D 検証完了後にリリース



 ◆ SSLサーバ証明書を導入するサーバでのCSRの生成 - 用語の理解

 先ず、以下の3つの用語を理解しておきましょう。

用語 説明
CSR

 ・ CSR(Certificate Signing Request)は、認証局(CA)に提出する署名要求のこと。
 ・ CSRは、「 公開鍵とディスティングイッシュネーム 」を合わせた電子データのこと。
 ・ CSRは、SSLサーバ証明書をインストールするサーバ側で生成する。

コモンネーム

 ・ SSLサーバ証明書をインストールするサーバのURLのFQDN部分のこと。
 ・ https:// から一番最初に表示される "/ "までの部分が該当する。
 ・ https://
www.infraexpert.com/study/ の場合は、赤文字部分が該当する。
 ・ https://
192.168.0.100/index.html の場合は、赤文字部分のIPアドレスが該当。

ディスティングイッシュネーム

 ・ 証明書の"サブジェクト"に格納されている情報
 ・ コモンネーム、Webサイトを運営する組織に関する各種情報




 ◆ SSLサーバ証明書を導入するサーバでのCSRの生成 - CSRの概念


     



 ◆ SSLサーバ証明書を導入するサーバでのCSRの生成 - ディスティングイッシュネームとは

 CSRを生成するためには、以下の情報から構成されるディスティンイッシュネームを決める必要がある。
 ここで指定した文字列がそのままサーバ証明書の情報として反映される。下記の項目と入力例については
 通常のSSLサーバ証明書に適用できる内容であり、EV SSLサーバ証明書の場合は下記の入力例と異なる。

項目 意味 内容 入力例
 CN  コモンネーム  サーバにSSL通信する際に入力するブラウザのURL情報。
 
FQDNまたはIPアドレスを入力する。
 www.infraexpert.com
 OU  部門名  部門、部署名など任意の識別名称  myhobby
 O  組織名  Webサイトを運営する組織の正式英語名称  infraexpert Corp.
 L  市区町村  Webサイトを運営する組織の所在地  Minato-ku
 S  都道府県名  Webサイトを運営する組織の所在地  Tokyo
 C  国別番号  国別コード  JP


 例えばANAさんでは、EV SSLサーバ証明書ではなく通常のSSLサーバ証明書を利用されているので入力例を
 見てみます。重要なポイントとして、SSL暗号化通信の際にWebブラウザは指定したURLアドレスと接続先の
 Webサイトの証明書のCN(コモンネーム)が一致しているどうかを検証します。この値が一致しない場合は
 ブラウザは警告メッセージを表示させます。

        




 ◆ SSLサーバ証明書を導入するサーバでのCSRの生成 - IISの場合

 例えば、Windows Server 2012のIISでCSRを発行する場合、フローの概要は以下の通りです。

 @ ディスティングイッシュネームを入力
 A 暗号化サービスプロバイダー(MS RSA SChannel Cryptographic Provider)ビット長(2048)を選択
 → この際にキーペア(公開鍵 ・ 秘密鍵 )が作成されます。
 B CSRの保存先とファイル名の指定 ( txt形式で保存 )

 認証局(CA)で発行された証明書をファイルとして保存した後、サーバに証明書をインストールして完了。
 例えばベリサインの場合、IISにはSSLサーバ証明書と中間CA証明書とクロスルート設定用証明書を併せた
 PKCS7形式の証明書が発行されるため、別途、中間CA証明書とクロスルート設定用証明書のinstallは不要。


   



 ◆ 参考 : PKCSとは

 PKCS(Public-Key Cryptography Standards)とは、RSAセキュリティにより考案された公開鍵暗号標準
 のグループのこと。PKCS #3、PKCS #7、PKCS #10、PKCS #11、PKCS #12 がよく利用されています。

PKCS 名称 説明
PKCS #3  Diffie-Hellman鍵共有標準
 共通鍵を確立できるようにする暗号プロトコルの規定

PKCS #7  暗号メッセージ構文標準

 PKIでメッセージを署名や暗号化するのに使用される。その規定。
 PKCS #10メッセージの応答として、証明書の配布のためにも利用

PKCS #10  証明書署名要求
 電子証明書をCA(認証局)に要求するためのメッセージ構文の規定

PKCS #11  暗号トークンインタフェース (Cryptoki)
 PCカードなどのデバイスと暗号鍵の受け渡しをするためのAPIの規定

PKCS #12  個人情報交換構文の標準

 パスワードに基づく鍵(暗号)により保護された秘密鍵とそれに関連する
 公開鍵証明書を保管するために利用されるファイルフォーマットの定義。
 PFXはPKCS#12の旧称であるゆえ、エクスポートファイルを
.pfx から
 
.p12 へ拡張子を変更して利用する場合がある。




SSL/TLS、SSLサーバ証明書、SSL-VPN

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.