公開鍵、非公開鍵、および証明書

認証の実行時、SSL では「公開鍵暗号方式」と呼ばれる技術を使用します。

公開鍵暗号方式は、「公開鍵」と「非公開鍵」から成るキーペアの概念に基づいています。公開鍵を使用して暗号化されたデータは、対応する非公開鍵でのみ復号化できます。反対に、非公開鍵を使用して暗号化されたデータは、対応する公開鍵でのみ復号化できます。

キーペアの所有者は、公開鍵はだれにでも使用可能にし、非公開鍵は秘密にしておきます。

「証明書」により、エンティティーが特定の公開鍵の所有者であることが検証されます。

X.509 標準に準拠する証明書には、データセクションと署名セクションがあります。データセクションに含まれる情報は、次のとおりです。

• 公開鍵を所有するエンティティーの識別名

• 証明書を発行したエンティティーの識別名

• 証明書が有効な期間

• 公開鍵自体

証明書は、VeriSign などの認証局 (CA) から取得できます。また、所有者と発行者が同じである「自己署名付き証明書」を作成することもできます。

証明書を発行する組織は、CA の階層を確立できます。ルート CA は、自己署名付き証明書を保持します。各従属 CA は、階層内で一つ上位の CA によって署名された証明書を持ちます。「証明書チェーン」とは、特定の CA の証明書に、ルート CA にまでつながるそれより上位の CA の証明書をすべて加えたものです。