第2章 証明書の管理

概要

TLS 認証は、アプリケーションオブジェクトを認証する一般的なセキュアで信頼性の高い X.509 証明書を使用します。Red Hat Fuse アプリケーションを識別する X.509 証明書を作成できます。

2.1. X.509 証明書とは

証明書のロール

X.509 証明書は、名前を公開鍵の値にバインドします。証明書のロールは、公開鍵を X.509 証明書に含まれる ID に関連付けることです。

公開鍵の整合性

セキュアなアプリケーションの認証は、アプリケーションの証明書の公開鍵値の整合性によって異なります。公開鍵を独自の公開鍵に置き換える場合は、true アプリケーションの権限を借用し、セキュアなデータにアクセスできます。

この種の攻撃を防ぐには、すべての証明書を 認証局 (CA) で署名する必要があります。CA は、証明書の公開鍵値の整合性を確認する信頼できるノードです。

デジタル署名

CA は、デジタル署名を証明書に追加して証明書に署名 します。デジタル署名は、CA の秘密鍵でエンコードされたメッセージです。CA の公開鍵は、CA の証明書を配布することでアプリケーションで利用できます。アプリケーションは、CA の公開鍵を使用して CA のデジタル署名をデコードして、証明書が有効で署名されていることを確認します。

警告

提供されるデモ証明書は自己署名証明書です。これらの証明書は、すべてのユーザーが秘密鍵にアクセスできるため、安全ではありません。システムのセキュリティーを保護するには、信頼される CA によって署名された新しい証明書を作成する必要があります。

X.509 証明書の内容

X.509 証明書には、証明書のサブジェクトと証明書の発行者 (証明書を発行した CA) に関する情報が含まれています。証明書は、ネットワーク上で送受信できるメッセージを記述するための標準構文である Abstract Syntax Notation One (ASN.1) でエンコードされます。

証明書のロールは、アイデンティティーを公開鍵の値に関連付けることです。詳細は、証明書には以下が含まれます。

  • 証明書の所有者を識別する サブジェクト識別名 (DN)
  • 発行先に関連付けられた 公開鍵
  • X.509 バージョン情報。
  • 証明書を一意に識別する シリアル番号
  • 証明書を発行した CA を識別する発行者 DN
  • 発行者のデジタル署名。
  • 証明書の署名に使用されるアルゴリズムに関する情報。
  • オプションの X.509 v.3 拡張の一部。たとえば、CA 証明書とエンドエンティティー証明書を区別する拡張機能が存在します。

識別名

DN は、セキュリティーのコンテキストで使用される汎用 X.500 識別子です。

DN の詳細は、付録A ASN.1 および識別名 を参照してください。