正規の格安SSL証明書で、My WebDAVサーバ

▼そもそも、SSLサーバ証明書って何?

SSLサーバ証明書のオーダーをする前にやっておくことがあります。 それは、「サーバ証明書の秘密鍵の生成」と、その秘密鍵からの 「CSR(証明書発行要求)を作成」することです。

。。。何のことを言ってるんだ?

と思われる方も多くて、理解しがたいのが SSLサーバ証明書に関することなんですが、 そもそも「SSLサーバ証明書」というのは、「公開鍵暗号方式」という暗号方式を採用しておりまして、公開鍵と秘密鍵の2つの鍵で構成されています。

秘密鍵はその名の通り、秘密な鍵なのです。

それに対して公開鍵は「公開」と言うくらいなので、公開されている鍵です。

公開鍵は、秘密鍵を元に作成します。(つまり、秘密鍵に対する公開鍵は一つしかありません。

この「公開鍵暗号方式」の不思議な所は、公開鍵でカギを掛けたファイル(=暗号化したファイル)は、その公開鍵では解錠できないということにあります。

 

では、どうやって暗号を解除する(復号化する)?

なんと秘密鍵でカギを開けるのです。

公開鍵で暗号化して、秘密鍵で復号化する。。。 公開鍵は秘密鍵と一対一で対応しているわけですから、その暗号化されたファイルは秘密鍵を持っている人にしか読むことができない、ということになります。

ちょっと分かりづらいかも知れませんが、実は「SSLサーバ証明書」はこの原理をベースに安全な通信経路を作成します。

具体的には、暗号通信用の「共通鍵暗号方式」という互いが同じカギを持ってファイルを暗号化する暗号方式用の「共通鍵」をサーバの公開鍵を使って暗号化し、サーバに送信、サーバは秘密鍵を使って共通鍵を取り出して、互いが安全に共通鍵の受け渡しをしていたりします。

 

ちょっと、待て。そもそも公開鍵は信用できるのか???

良い質問ですね(笑)。

その通りで、そもそも そのサーバの公開鍵が本物かどうか、という大前提の部分があります。それを証明しているのが、「ルート証明機関(CA)」なるものなのです。 この「ルート証明機関」がその公開鍵は本物ですよ、というお墨付きを与えてくれます。

どうやって証明するかというと、サーバ証明書(公開鍵)に対して、「ルート証明機関」が本物ですよ、とデジタル署名してくれるのです。

じゃあ、そのルート証明機関が本物であることをどうやって証明するのか。 それは簡単。そのルート証明機関の証明書(ルート証明書)が最初からブラウザにいくつもインストールされているのです。

 

秘密鍵の生成と、CSR の作成

ようやく、話が最初に戻るのですが、SSLサーバ証明書は、公開鍵と秘密鍵の2つの鍵で構成されていると先述しました。

そこで、まずは秘密鍵を作る必要があるのです。 これにはツールが必要で、ここでは openssl を使用します。ServersMan@VPS をご使用の場合は、openssl はインストール済みです。

この秘密鍵から公開鍵は作られるので、この秘密鍵をルート証明機関へ(この場合は、SERVER tasticが使っている GeoTrust社へ)送ればいいのですが、 秘密鍵は絶対的に秘密にしたいので、秘密鍵を送るわけにはいきませんよね?

そこで考え出されたのが、CSR なのです。 CSR とは Certificate Signing Request の頭文字で、日本語にすれば「サーバ証明書への署名要求」となります。

秘密鍵から公開鍵を作って、その他もろもろの情報を加えて、仮の証明書を手元で作ってしまいます。これが CSR です。

仮の証明書なので、署名がありません。なので、「これに署名してね。」と言う意味で、署名要求と呼ばれるわけです。

証明機関にはこの CSR を送ります。そうすると証明機関は、諸処の手続きを終えると、この CSR に対してデジタル署名を施してくれます。 そうして送られてくるものが、サーバ証明書(公開鍵)なのです。

サーバ側では、送られてきた公開鍵の証明書と、秘密鍵をセットで管理します。もう CSR は捨ててしまって構いません。

 


前のページへ 次ページへ

 

関連するコンテンツ


コメントを残す


メモ - 以下の HTML タグと属性が利用できます。
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>