Menu Close

第2章 証明書の管理

概要

TLS 認証では、X.509 証明書を使用します。これは、アプリケーションオブジェクトを認証するための一般的かつ安全で信頼性の高い方法です。Red Hat Fuse アプリケーションを識別する X.509 証明書を作成することができます。

2.1. X.509 証明書とは?

証明書の役割

X.509 証明書は、名前を公開鍵の値にバインドします。証明書の役割は、公開鍵を X.509 証明書に含まれる ID に関連付けることです。

公開鍵の整合性

安全なアプリケーションの認証は、アプリケーションの証明書における公開鍵の値の整合性に依存します。偽のユーザーが公開鍵を独自の公開鍵に置き換える場合、本物のアプリケーションになりすまして、安全なデータにアクセスできるようになります。

この種の攻撃を防ぐには、すべての証明書が証明機関 (CA) によって署名されている必要があります。CA は、証明書の公開鍵の値の整合性を確認する信頼できるノードです。

デジタル署名

CA は、証明書に デジタル署名 を追加することで証明書に署名します。デジタル署名は、CA の秘密鍵でエンコードされたメッセージです。CA の証明書を配布することにより、アプリケーションは CA の公開鍵を使用できるようになります。アプリケーションは、CA のデジタル署名を CA の公開鍵でデコードすることにより、証明書が正しく署名されていることを確認します。

警告

提供されるデモ証明書は自己署名証明書です。これらの証明書は、誰でも秘密鍵にアクセスできるため、安全ではありません。システムを保護するには、信頼できる CA によって署名された新しい証明書を作成する必要があります。

X.509 証明書の内容

X.509 証明書には、証明書のサブジェクトと証明書の発行元 (証明書を発行した CA) に関する情報が含まれます。証明書は Abstract Syntax Notation One (ASN.1) でエンコードされています。これは、ネットワーク上で送受信できるメッセージを説明する標準構文です。

証明書の役割は、ID を公開鍵の値に関連付けることです。以下は、証明書の詳細になります。

  • 証明書の所有者を識別する サブジェクト識別名 (DN)
  • サブジェクトに関連付けられた 公開鍵
  • X.509 バージョン情報
  • 証明書を一意に識別する シリアル番号
  • 証明書を発行した CA を識別する 発行元 DN
  • 発行元のデジタル署名
  • 証明書の署名に使用するアルゴリズムの情報
  • 複数のオプションの X.509 v.3 エクステンション: たとえば、CA 証明書とエンドエンティティー証明書を区別するエクステンションが存在します。

識別名

DN は、セキュリティーのコンテキストでよく使用される汎用の X.500 識別子です。

DN の詳細は 付録A ASN.1 および識別名 を参照してください。