SSL およびデジタル証明書の概要

オンラインで編集

企業ネットワークの展開には、アイデンティティサーバー と、サーバーが通信を行うソフトウェア製品およびコンポーネント間のセキュアな通信が必要です。

SSL プロトコルでは、認証のために、認証局 (CA) からの署名デジタル証明書が使用されます。 SSL は、アプリケーション間で交換されるデータを暗号化して通信を保護します。

署名デジタル証明書により、ネットワークで接続する 2 つのアプリケーションはそれぞれの ID を認証できます。 SSL サーバーの役割を果たしているアプリケーションは、SSL クライアントに対して、検査のために資格情報を提示します。 SSL クライアントは、アプリケーションが、そのアプリケーションが申告どおりのエンティティーであるかどうかを検査します。 アプリケーションを、SSL サーバーとして動作するように構成できます。これにより、そのアプリケーションは、SSL クライアントとして動作するアプリケーションに対し、証明書で資格情報を提示するように要求します。 この方法で、証明書の両方向の交換が実行されます。 双方向SSL設定の詳細については、 「キーストアまたはトラストストアの定義とセキュリティ設定」 を参照してください。

サード・パーティーの認証局は、有料で署名証明書を発行します。 一部のユーティリティー (OpenSSL によって提供されるものなど) も署名付き証明書を提供することがあります。

署名デジタル証明書の発信元を検査するには、認証局証明書 (CA 証明書) のインストールが必要です。 アプリケーションは、他のアプリケーションから署名証明書を受信すると、CA 証明書を使用して証明書の発信元を検査します。 使用可能な認証局を以下に示します。
  • 他の組織が幅広く使用している周知の認証局。
  • 特定の地域または企業用のローカル認証局。

Web ブラウザーなど多くのアプリケーションは、周知の認証局の CA 証明書を使用します。 周知の CA を使用すると、ネットワークのセキュリティー・ゾーン全体に CA 証明書を配布する作業を除外または軽減することができます。