第1章 Identity Management の公開鍵証明書
X.509 公開鍵証明書は、Identity Management (IdM) のユーザー、ホスト、およびサービスを認証するために使用されます。X.509 証明書は、認証のほかに、デジタル署名と暗号化も可能にし、プライバシー、完全性、否認不可を実現します。
証明書には、以下の情報が含まれます。
- 証明書が認証する発行先
- 証明書を署名した CA の発行元
- 証明書の有効性の開始日と終了日
- 証明書の有効な用途
- 発行先の公開鍵
公開鍵により暗号化したメッセージは、対応した秘密鍵により複号できます。証明書および、勝目所に含まれる公開鍵は、公開できますが、ユーザー、ホスト、またはサービスは、対応の秘密鍵を秘密にしておく必要があります。
1.1. IdM の認証局
認証局は信頼の階層で機能します。内部認証局 (CA) がある IdM 環境では、CA が署名している正しい証明書を、すべての IdM ホスト、ユーザー、およびサービスが信頼します。このルート CA とは別に、IdM は、ルート CA から証明書に署名する権限を付与されたサブ CA にも対応します。多くの場合、このようなサブ CA が署名できる証明書は、VPN 証明書など、特定の種類の証明書です。最後に、IdM は外部 CA の使用に対応します。以下 の表は、IdM の各種 CA の用途に関する詳細を紹介します。
| CA の名前 | 説明 | 用途 | 関連リンク |
|---|---|---|---|
|
| Dogtag アップストリームプロジェクトをベースとする統合 CA | 統合 CA は、ユーザー、ホスト、およびサービスの証明書の作成、取り消し、および発行が可能です。 | |
| IdM サブ CA |
|
IdM サブ CA は、 | |
| 外部 CA | 外部 CA は、統合 IdM CA またはそのサブ CA 以外の CA です。 | IdM ツールを使用して、これらの CA が発行する証明書をユーザー、サービス、またはホストに対して追加し、削除します。 |
証明書の観点からは、自己署名 IdM CA と、外部署名の間に違いがありません。
CA のロールの目的は以下のとおりです。
- デジタル証明書を発行する。
- 証明書を署名して、証明書に名前のある発行先が公開鍵を所有することを認定する。発行先は、ユーザー、ホスト、またはサービスのいずれかです。
- 証明書をキャンセルして、証明書失効リスト (CRL) および Online Certificate Status Protocol (OCSP) で失効ステータスを提供できる。
関連情報
