●深く知る  

公開鍵基盤により、インターネットのようなオープンな通信経路でも真正性を保ち公開鍵を連携することができるようになります。公開鍵を利用して暗号する側は、真正性がない公開鍵で機密データを暗号化することはしてはいけません。

公開鍵証明書とは、認証局のプライベート鍵でWebサーバー側に使ってもらう公開鍵に証明書を付けたものです。公開鍵証明書のフォーマットは国際標準の X.509 によって規定されています。署名前証明書、署名アルゴリズム、署名値の3つのセクションに分かれています。署名前証明書は、証明書の所有者や公開鍵、有効期限が記載されています。署名アルゴリズムは、署名前証明書に対する署名をする際の署名方法です。署名値は、署名アルゴリズムを使って算出される想定の値です。EV証明書とは、証明書の所有者が合法的な企業であることを確認するワンランク上の証明書です。

公開鍵証明書は発行したいサーバーの管理者が行います。登録局（RA）とは、証明書発行における身元確認を行います。ここでは発行自体はしません。公開鍵証明書は認証局から発行されます。証明書発行のための要求を証明書署名要求（CSR）といいます。サーバー管理者から登録局にCSRが渡り、登録局から認証局にCSRが渡ります。認証局は受け取ったCSRから公開鍵証明書を生成します。認証局は発行した公開鍵証明書をリポジトリに格納します。証明書と証明書失効リスト（CRL）を格納し、公開されます。OCSPステープリングとは、サーバーが公開鍵証明書を渡す時に、CRLを確認してから連携することです。

利用者（暗号化する側）が認証局を信頼していることで、認証局が発行した公開鍵を利用しているサーバー（復号する側）の公開鍵を信頼できます。これは、上位の公開鍵証明書を信頼されることで、下位の公開鍵証明書が正当なものであると検証できること構成で実現されます。最も信頼され信頼の幹に存在する証明書のことをルート証明書、利用者が暗号化に使う公開鍵に付与されている直接の証明書をサーバー証明書、証明書を信頼するためだけに存在する中間証明書からなります。ルート証明書を信頼する証明書はないため、利用者自身が信頼する作業が必要です。主要な証明書は、もともとブラウザ側やOS側にインポートされています。

また、自分自身で署名した証明書を自己署名証明書と言います。ルート証明書は自己署名証明書ですが、信頼のある発行機関であることを確認されるなど、特段の理由がない限りは信頼されません。ルート認証局は自分自身で証明書を署名・発行（自己署名証明書）します。