25.8.4. 証明書の種類
Red Hat が提供する RPM パッケージからセキュアなサーバーをインストールした場合は、ランダムに生成された秘密鍵とテスト証明書が生成され、適切なディレクトリーに配置されます。ただし、セキュアなサーバーの使用を開始する前に、独自の鍵を生成し、サーバーを正しく識別する証明書を取得する必要があります。
安全なサーバーを操作するための鍵と証明書が必要です。つまり、自己署名証明書を生成するか、CA から CA 署名の証明書を購入することができます。この 2 つの相違点は何ですか ?
CA 署名の証明書は、サーバーに 2 つの重要な機能を提供します。
- ブラウザー(通常は)は証明書を自動的に認識し、ユーザーに要求せずにセキュアな接続を可能にします。
- CA が署名済み証明書を発行すると、ブラウザーに Web ページを提供している組織のアイデンティティーが保証されます。
セキュアなサーバーが大規模に公開されている場合、セキュアなサーバーには CA が署名した証明書が必要です。このため、Web サイトにアクセスするユーザーは、Web サイトの所有者を主張する組織によって所有されていることを認識できます。証明書を署名する前に、CA は、証明書を要求する組織が実際に要求したユーザーであることを確認します。
SSL をサポートするほとんどの Web ブラウザーには、証明書が自動的に受け入れる CA のリストがあります。ブラウザーが CA の承認が一覧にない証明書に遭遇すると、ブラウザーはユーザーに対して接続を許可または拒否するように要求します。
セキュアなサーバーの自己署名証明書を生成できますが、自己署名証明書は CA 署名の証明書と同じ機能を提供しないことに注意してください。自己署名証明書は、ほとんどの Web ブラウザーでは自動的に認識されず、Web サイトを提供している組織のアイデンティティーに関する保証はありません。CA 署名の証明書は、セキュアなサーバーにこれらの重要な機能を提供します。セキュアなサーバーを実稼働環境で使用する場合は、CA 署名の証明書が推奨されます。
CA から証明書を取得するプロセスはかなり簡単です。簡単な概要は以下のとおりです。
- 暗号化秘密鍵と公開鍵のペアを作成します。
- 公開鍵に基づいて証明書要求を作成します。証明書要求には、サーバーとそのサーバーをホストする会社に関する情報が含まれます。
- アイデンティティーの承認ドキュメントとともに、証明書要求を CA に送信します。Red Hat は、どの認証局が選択するかについての推奨事項を行いません。決定は、過去の経験、フォンドア語、または通貨的要因に基づく場合があります。CA を決定したら、CA から証明書を取得する方法に関する指示に従う必要があります。
- CA が満たされると、実際に依頼されると、デジタル証明書が提供されます。
- この証明書を安全なサーバーにインストールし、セキュアなトランザクションの処理を開始します。
CA から証明書を取得するか、または独自の自己署名証明書を生成する場合でも、最初にキーを生成することです。手順は、「キーの生成」 を参照してください。
