ゼロからはじめるシステム開発

　こんにちは！
　ナビゲータのEVEです。

　本日は、Apache、PostfixへSSL/TLSを導入するための調査を進めています。現時点の予定ですが、明日09:00〜18:00まで、www.pro2grammer.comの利用を停止します。まだ、情報量が少なく、ご不便等はかけないと思いますが、ご了承下さい。



[昨日までに取得したファイル]
　昨日、CA(※1)に証明書署名要求(CSR)を提供する前までに作成したファイルは、

・秘密鍵
・公開鍵
・証明書署名要求(CSR)

でした。そして、申請、承認後に手に入ったファイルは、

・SSL証明書
・中間証明書

です。中間証明書は、何に使うのか想像がつくのですが、SSL証明書は何に使うのでしょうか？それでは、初めて見るSSL証明書とは何なのかということを調べるのと同時に、私の知識があっているかどうか検証していきます。



[秘密鍵とは〜SSL/TLSにおける各ファイルの役割〜]
　秘密鍵は、サービスを提供する側の真正性を証明するのと同時に、公開鍵と対となり、サービスのセキュリティを保証します(※2)。秘密鍵は、サービスを提供する者のみが保持し、それは外部に流出させてはいけません。流出した場合、サービス提供者の真正性が失われるのと同時に、サービスの安全性が失われます。



[公開鍵とは〜SSL/TLSにおける各ファイルの役割〜]
　公開鍵は、サービスを受ける者が全てが保有し、本公開鍵と対となる秘密鍵との間のサービスのセキュリティを保証します。本公開鍵の真正性は、本公開鍵を提供するCAの上位のCA(中間CA)が保証します。



[証明書署名要求(CSR)とは〜SSL/TLSにおける各ファイルの役割〜]
　証明書署名要求(CSR)とは、デジタル証明書の発行を認証局に請求するメッセージのことです。申請者の識別情報や公開鍵などが記載され、申請者の秘密鍵で電子署名されて認証局に送信されるとされています。なお、今回Xserverのサービスでは、CSRのファイルの内容を、Web画面に貼り付けるという方式で行いました。



[中間証明書とは〜SSL/TLSにおける各ファイルの役割〜]
　中間証明書とは、電子証明書（デジタル証明書）を発行する認証局が、自分自身の認証のために発行する電子証明書の1つです。「中間CA証明書」とも言います。今回作成した公開鍵の真正性を証明する上位のCAのデジタル証明書になると思われます。



[SSL証明書とは〜SSL/TLSにおける各ファイルの役割〜]
　SSL証明書を調べると、以下の2つの機能があるようです。
　1つ目は、サービス提供者に偽りがないことを保証するそうです。ただ、秘密鍵を保有しているという事実により、それは保証されているはずなのですが、サービス的に冗長しています。私の想像ですが、秘密鍵とSSL証明書両方に相違がないことを確認することにより、よりセキュリティを高める目的で用意されているのではないでしょうか？秘密鍵、SSL証明書両方を窃取するのは難しいですから・・・。
　2つ目の役割は、SSL証明書に含まれる鍵（公開鍵、共通鍵）を用いて、ブラウザとサーバー間でやり取りされる個人情報やクレジットカード情報などの通信データを暗号化することだそうです。
　この内容から、このSSL/TLS通信は、ハイブリット型公開鍵暗号方式を利用しようとしていることがうかがえます。要は、サービスを提供する側で保有する秘密鍵とサービスを受ける側で保有する公開鍵で共通鍵の鍵交換を行い、その共通鍵で暗号通信を行います。



[今後の予定]
　これから、具体的な設定方法の調査に入ります。明日中にできるように頑張ります！

　では、また！

※1)CAとは「Certification Authority」の略で、認証局を意味します。
※2)似たサービスにクライアント証明書がありますが、クライアント証明書については本ブログの内容では説明ができません。別の機会にご説明いたします。