証明書とセキュリティの概要

 セキュアWebサーバーは、SSL(Secure Sockets Layer)プロトコルと(多くの場合)CA(認証局:Certificate Authority)が発行するデジタル証明書の組み合わせを使用するセキュリティを提供します。SSLは、暗号化通信とブラウザとセキュアWebサーバー間の相互認証を取り扱います。CAが承認したデジタル証明書は、セキュアWebサーバーに対して認証を与えます。(CAは、背後にある組織IDの保証に信頼をおきます。) ブラウザがSSL暗号化を使用して通信を行うときは、ナビゲーションバーのURL(Uniform Resource Locator)の最初の部分に接頭辞https://が表示されます。

 暗号化は鍵の使用によって決まります(鍵をデータ形式における符号化/復号化の輪として考えてください)。伝統的あるいは対称的な暗号法の場合には、トランザクションの両端で同じ鍵を持ち、相互の通信の復号化に使用します。公開または非対称暗号法の場合には、公開鍵と秘密鍵の2つの鍵が共存します。個人あるいは組織は秘密鍵を秘匿して、公開鍵を公開します。公開鍵によって暗号化されたデータは、秘密鍵を使うときにだけ解読することができます。秘密鍵によって暗号化されたデータは、公開鍵を使うときにだけ解読することができます。

 セキュアサーバーを設定するには、公開暗号法を使用して公開鍵と秘密鍵の組を作成します。多くの場合、認定要求(公開鍵のリクエストを含みます)、会社の身分証明書、および支払手数料をCAに対して送信します。CAは認定要求、身分証明書を検証して、セキュアWebサーバーに対して証明書を返送します。

 セキュアサーバーは、証明書を使用してWebブラウザに対する自分自身の認証を行います。自分自身の証明書(「自己署名」証明書)を生成し、あるいはCA(認証局:Certificate Authority)から証明書を取得することができます。信頼できるCAが発行する証明書は、Webサイトが特定の会社または組織と関連付けられていることを保証します。

 もう1つの方法として、自分自身の自己署名証明書を作成することができます。しかし、自己署名証明書は通常の環境では使用してはならないことに注意してください。自己署名証明書は、ユーザーのブラウザが自動的には受け入れません。ブラウザは、証明書を受け入れてセキュア接続を行うかどうかをユーザーに問い合わせます。自己署名証明書とCA署名の証明書との相違についての詳細はthe section called 証明書のタイプを参照してください。

 自己署名証明書あるいはCAからの証明書を取得したら、セキュアWebサーバーにインストールする必要があります。