公開キー暗号化により、セキュアでないパブリック・ネットワーク上でのセキュアな通信、およびネットワーク接続の相手側でのエンティティのIDの検証が可能になります。 公開キー暗号化は、秘密キーと公開キーのペアの作成に基づいています。 どちらかのキーを使用してデータを暗号化し、もう一方のキーを使用してデータを復号化します。 どちらか一方のみのキーを使用して、同一データに両方の操作を行うことはできません。 キー操作の非対称的な特性により、セキュリティが脅かされる心配なしに公開キーを配布できます。 公開キーで暗号化されたメッセージを読み取るには、秘密キーを保有している必要があります。

ただし、公開キーを受け取った場合、これ自体で送信者のアイデンティティを確認するわけではありません。 公開キー・インフラストラクチャによって、公開キーを信頼関係の階層に配布するためのデジタル証明書が実装されます。 認証局(CA)は、ネットワーク上の他のエンティティの代理で署名証明書を発行する信頼できるサードパーティとして機能します。 CAは、独自の秘密キーを使用して証明書を暗号化します。証明書には、エンティティの公開キーおよびエンティティ(対象)、CA(発行者)に関するその他の情報、証明書の有効期間、使用されている暗号化アルゴリズムが含まれます。 CAを信頼することを前提として、証明書に格納されているエンティティの公開キーも信頼できます。 CAの公開キーで証明書を復号化すると、エンティティの公開キーが生成され、このキーを使用してセキュアな通信チャネルを確立できます。

インターネットには、エンティティの代理で証明書を発行する、多くの最上位レベル(root)のパブリックCAおよびルートCAに信頼されている中間CAがあります。 中間CAは通常、証明書チェーンを戻します。証明書チェーンでは、チェーンの各証明書がチェーンの前にある証明書の署名者の公開キーを認証します(ルートCAに至るまで)。 Webサイトのセキュリティに必要なセキュアな通信チャネルでは、通常Transport Layer Security (TLS)またはSecure Sockets Layer (SSL)暗号化プロトコルが使用されます。 インターネット上のほとんどの会計トランザクションはTLSとSSLに依拠するため、限定された数のCAがWebブラウザから信頼されるTLS/SSL証明書を発行することを許可され、これらのCAは定期的にセキュリティを監査されます。

OpenSSLは、オープンソースにTLSおよびSSLプロトコルを実装したものです。 信頼の階層が組織のイントラネットに限定されている場合は、OpenSSLを使用してルート証明書を生成し、そのドメインにCAを設定できます。 ただし、この自己署名ルート証明書を組織の各システムにインストールしないかぎり、ブラウザ、LDAPまたはIPA認証、証明書を使用するその他のソフトウェアはユーザーに信頼できない関係についてのプロンプトを表示します。 ルートCAまたは中間レベルのCAによって検証されたドメインの証明書を使用する場合は、適切なルート証明書が各システムにすでに存在するため、ルート証明書を配布する必要はありません。

一般に、TLS/SSL証明書は1年後に期限が切れます。 ルート証明書など、Webブラウザで配布され、ルートCAおよび中間CAによって発行されるその他の証明書は、一般に5～10年後に期限が切れます。 アプリケーションで証明書の期限切れ警告が表示されないようにするには、期限切れになる前にTLS/SSL証明書を交換するよう計画する必要があります。 ルート証明書の場合は、一般に証明書が期限切れになる前にソフトウェアを更新するため、このことは問題になりません。

CAに署名証明書をリクエストする際、そのCAの公開キーを認証するルート証明書または証明書チェーンがシステムに存在しない場合、CAから信頼できるルート証明書を取得します。 中間者攻撃を防ぐには、ルート証明書をインポートする前にその信憑性を検証します。 証明書のフィンガープリントとCAが発行するフィンガープリントが一致することを確認します。

opensslコマンドを使用すると、Webブラウザで使用するための自己署名証明書を生成できます。 keytoolコマンドを使用して自己署名証明書を生成することもできますが、このコマンドの主な目的はJavaアプリケーションで使用するJSSE (Java Secure Socket Extension)デジタル証明書をインストールおよび管理することです。

Apache HTTPサーバーでのTLS/SSLおよび証明書の使用の詳細は、http://httpd.apache.org/docsにあるApachのドキュメントを参照してください。