第2章 証明書の管理
概要
TLS 認証は、アプリケーションオブジェクトを認証する一般的なセキュアで信頼性の高い X.509 証明書を使用します。Red Hat Fuse アプリケーションを識別する X.509 証明書を作成できます。
2.1. X.509 証明書とは
証明書のロール
X.509 証明書は、名前を公開鍵の値にバインドします。証明書のロールは、公開鍵を X.509 証明書に含まれる ID に関連付けることです。
公開鍵の整合性
セキュアなアプリケーションの認証は、アプリケーションの証明書の公開鍵値の整合性によって異なります。公開鍵を独自の公開鍵に置き換える場合は、true アプリケーションの権限を借用し、セキュアなデータにアクセスできます。
この種の攻撃を防ぐには、すべての証明書を 認証局 (CA) で署名する必要があります。CA は、証明書の公開鍵値の整合性を確認する信頼できるノードです。
デジタル署名
CA は、デジタル署名を証明書に追加して証明書に署名 します。デジタル署名は、CA の秘密鍵でエンコードされたメッセージです。CA の公開鍵は、CA の証明書を配布することでアプリケーションで利用できます。アプリケーションは、CA の公開鍵を使用して CA のデジタル署名をデコードして、証明書が有効で署名されていることを確認します。
提供されるデモ証明書は自己署名証明書です。これらの証明書は、すべてのユーザーが秘密鍵にアクセスできるため、安全ではありません。システムのセキュリティーを保護するには、信頼される CA によって署名された新しい証明書を作成する必要があります。
X.509 証明書の内容
X.509 証明書には、証明書のサブジェクトと証明書の発行者 (証明書を発行した CA) に関する情報が含まれています。証明書は、ネットワーク上で送受信できるメッセージを記述するための標準構文である Abstract Syntax Notation One (ASN.1) でエンコードされます。
証明書のロールは、アイデンティティーを公開鍵の値に関連付けることです。詳細は、証明書には以下が含まれます。
- 証明書の所有者を識別する サブジェクト識別名 (DN)
- 発行先に関連付けられた 公開鍵。
- X.509 バージョン情報。
- 証明書を一意に識別する シリアル番号
- 証明書を発行した CA を識別する発行者 DN。
- 発行者のデジタル署名。
- 証明書の署名に使用されるアルゴリズムに関する情報。
- オプションの X.509 v.3 拡張の一部。たとえば、CA 証明書とエンドエンティティー証明書を区別する拡張機能が存在します。
識別名
DN は、セキュリティーのコンテキストで使用される汎用 X.500 識別子です。
DN の詳細は、付録A ASN.1 および識別名 を参照してください。
