Windows Serverで証明書を扱うための基礎知識を学ぼう
証明機関と電子証明書とは?
2010年07月06日 09時00分更新
電子証明書は、Web通信の暗号化に欠かせない機能である。Windows Serverには電子証明書を発行する機能があるのだが、具体的な設定方法はあまり知られていないようである。そこで今回と次回とで、証明機関の構成方法について解説する。まずは、証明書の原理の説明からだ。
Active Directory証明書サービス
Windows Server 2008には、「Active Directory証明書サービス(AD CS)」が標準で装備されている。これは従来「証明機関(CA:Certificate Authority)」と呼ばれていた機能である。Windows Server 2008では、認証やID管理を行なうサービスを「Active Directory」ブランドで統一するため、名称が変更された。
このAD CSにはActive Directoryドメインサービスと一体となった「エンタープライズ証明機関」と、Active Directoryドメインサービスとは独立した「スタンドアロン証明機関」がある。いずれの場合も「Active Directory証明書サービス」であることには変わりがない。なお、Windowsネットワーク環境では「エンタープライズ証明機関」のほうが高機能で便利なため、特別な理由がない限り「エンタープライズ証明機関」を構成するのがよいだろう。
電子証明書は、コンピュータ名の証明と、ユーザー名の証明が可能である。ユーザー名はWindows NT互換名のほか、メールアドレスなども登録できる。そのほかにサービス用の証明書があるが、あまり利用しないので解説は省略する。
ユーザーの証明書は、電子メールの暗号化や暗号化ファイルシステムなどで使われる。また、Excelマクロなどの署名に使うこともできる。一方、コンピュータ証明書は、Webサーバの通信トラフィックを暗号化するためのSSLや、IPsecを行なう場合の認証情報などに使われる。
公開鍵暗号の原理
電子証明書は「公開鍵暗号」という技術に基づいている。これは暗号化と復号に異なる鍵を使う方法である。2つの鍵は「キーペア」と呼ばれ、必ずセットで生成される。1つが「公開鍵」、もう1つが「秘密鍵」である。どちらの鍵も暗号化に利用できるが、復号は同じ鍵では行なえず、対となる鍵を使う必要がある。つまり、公開鍵で暗号化したデータは秘密鍵でしか復号できず、秘密鍵で暗号化したデータは公開鍵でしか復号できない。もちろん、一方の鍵から他方の鍵を算出することも不可能だ。
たとえばアリスとボブが通信する場合を考えてみよう。アリスは生成したキーペアのうち、公開鍵をボブに送る。ボブは、このアリスの公開鍵を使って自分のファイルを暗号化して、アリスに送る。アリスの公開鍵が第三者に盗聴されても、情報漏えいの心配はない。復号のための秘密鍵を持っているのはアリスだけだからだ(図1)。
では逆に、アリスが自分の秘密鍵でファイルを暗号化したとする。このデータはアリスの公開鍵を使えばだれでも復号できるため、機密性はない。しかし、アリスの秘密鍵を知っているのはアリス自身だけである。そのため、アリスの公開鍵で復号できたデータは、確かにアリスが作成したファイルだと主張できる。このように、だれでも読めるが作成は本人しかできないのが、電子署名の原理である(図2)。
公開鍵を公開するもっとも簡単な方法は、文書に添付してしまうことだ。AD CSではActive Directoryのユーザー属性として登録することもできる。
(次ページ、「電子証明書の原理」に続く)
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に -
第25回
ソフトウェア・仮想化
Windows Server証明書サービスを設定しよう - この連載の一覧へ