325.1X.509 証明書と公開鍵の基礎

今回は303試験の試験範囲から「325.1 X.509 証明書と公開鍵の基礎」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜325.1 X.509 証明書と公開鍵の基礎＞
重要度 5

＜説明＞
OpenSSLの構成および使用方法を知っていることが求められる。これには、自分自身の認証局を作成し、さまざまなアプリケーションにSSL証明書を発行する知識も含まれる。

＜主要な知識範囲＞
・証明書の生成
・鍵の生成
・SSL/TLS クライアントとサーバのテスト

＜重要なファイル、用語、ユーティリティ＞
・openssl
・RSA, DH 及び DSA
・SSL
・X.509
・CSR
・CRL

■例題
CSRの説明として正しいものを選びなさい。

1. SSL証明書の発行リクエスト
2. CAが発行したSSL証明書
3. SSL通信が開始された後の共通鍵
4. SSL通信で認証を行うためのクライアント証明書

※この例題は実際のLinuC試験とは異なります。

SSLによる暗号化通信を行うためには、サーバー側にSSL証明書が必要となります。SSL証明書は、CSR(Certificate Signing Request)に対して、CA（認証局）が電子署名をすることで生成されます。

CSRには、SSL証明書の発行を依頼する依頼主の各種情報が記載されており、さらにSSL暗号化通信で利用する公開鍵も添付されています。CAはこのCSRに対してCAの秘密鍵を使って電子署名を行います。この電子署名は、CAの公開鍵を使って復号する事ができるので、正しくCAが署名したSSL証明書ならば、SSL証明書に記載された各種情報と、復号された情報を比較して一致すれば、正しく署名されたSSL証明書であると分かります。

このSSL証明書の復号処理を行うために、クライアントにはあらかじめCAの公開鍵が存在している必要があります。商用サービスとしてSSL証明書の発行を行っているCAの公開鍵はWebブラウザにあらかじめ組み込まれていますが、自分で作成したCAで自己署名をしている場合には、手動でCAの公開鍵をWebブラウザに組み込むことでSSL通信を行う事もできます。アクセスするクライアントが限定される場合には、自己署名のSSL証明書での運用も可能でしょう。