【PKI 基礎】証明機関とは

証明機関とは

ここまでデジタル証明書とは何なのかについて学んできました。

証明書は ”自分のもっている公開鍵の正当性を権威のある機関に証明したものとなりますが、証明書を発行する権威のある機関のことを証明機関と呼びます。

証明機関のその他の呼び方として認証局“CA (Certificate Authority)” とも呼ばれます。

呼び方は違っても、いずれも証明書を発行するところであることには変わりありません。

権威のある証明機関が証明書を発行すると、その証明書はインターネット上で正当な証明書として利用できます。

そのため、証明機関は証明書の発行の申請を受けたら、発行要求を行った依頼者が正当な団体・組織であるかなどを確認する身元調査や、証明書の利用用途を確認した上で、証明書を発行してよいか十分な審査を行います。

イメージとしては、クレジットカード会社がカードの発行の申し込みを受け付けた時、申請した人が勤務する会社、勤続年数、年収、クレジットカード支払履歴などを審査して、クレジットカードを発行しても問題ないかを判断した上で発行するのに似ています。

公的な証明機関では、証明書の申請を受け付けて審査を行う機関と証明書を発行する機関が分かれています。

申請の受付と審査を行う機関のことを RA (Registration Authority)、証明書の発行を行う機関のことを CA (Certification Authority) と呼びます。

ハンバーガー チェーン店に置き換えて考えてみると、RA が商品の注文を受け付けるカウンターで、CA がハンバーガーがポテト等の商品を作るキッチンになります。

 

証明書の発行にあたる審査基準は証明機関によって異なりますが、インターネット上で利用される正式な身分証明書となりますので、厳密な審査が行われています。

Google amazon、ネット銀行など、インターネット上でサービスを提供しているサイトも、自身のドメイン名を名前として記載された証明書を、公式な証明機関より発行してもらっています。

Web ブラウザで各サイトの URL にアクセスした時に、Web ブラウザはそのサイトが信頼した証明機関が発行した証明書を公開しているか、また、その証明書の身元情報は URL に記載されているドメイン名が証明書と一致しているか等のチェックを行っています。

Web ブラウザはサイトが公開している証明書をチェックして何か問題を見つけると、ユーザーに問題があるサイトである可能性がありますを警告する画面を表示して注意喚起したり、サイトは接続不可としてアクセスできないようにする動作になります。

ちなみに、サイトが提示してくる証明書に問題があった場合に、どのような動作になるのか(警告画面を表示する、そもそもアクセスさせない等) Web ブラウザの実装によって異なってきます。

このように、インターネット上にあるサイトを安全に利用できるような仕組みが存在しているため、ユーザーは安全性をあまり意識しなくても安全にインターネット上のサービスを利用することができます。

 

証明機関の階層構造

証明機関では階層構造で複数の証明機関を構築し、証明書を発行する証明機関を複数に分けて構築されていることが一般的です。

会社が仕事の役割ごとにトップダウンに組織を分けて(営業、人事、総務など)、人やリソース、お金を管理しているのと同じイメージです。

証明書を発行する証明機関を分けることで、管理する対象の証明書が分散され、また万一、証明機関の秘密鍵が漏洩してしまったときのリスクも分散することができます。

 

証明機関の階層構造において、最上位の証明機関のことをルート証明機関とよびます。

また、ルート証明機関より下の階層の証明機関は中間証明機関または下位証明機関とよびます。

証明書の署名に使用している秘密鍵のキーペアとなる公開鍵も証明書として公開されており、証明機関が発行した証明書の検証に利用されます。

この証明機関の証明書は CA 証明書と呼ばれます。

特にルート証明機関の CA 証明書については、ルート証明書と呼ばれることが多いです。

階層構造をなす証明機関において、ルート証明機関 中間証明機関#1 中間証明機関#2 という構成の証明機関が存在した時、中間証明機関#2 CA 証明書は中間証明機関#1 が発行し、中間証明機関#1 CA 証明書はルート証明機関が発行しています。

またルート証明機関の CA 証明書(ルート証明書)は、CA 証明書を発行する上位の証明機関が存在しないため、自己署名(キーペアとなる自身の秘密鍵で署名)して発行しています。