Windows Serverで証明書を扱うための基礎知識を学ぼう

証明機関と電子証明書とは？

2010年07月06日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

電子証明書は、Web通信の暗号化に欠かせない機能である。Windows Serverには電子証明書を発行する機能があるのだが、具体的な設定方法はあまり知られていないようである。そこで今回と次回とで、証明機関の構成方法について解説する。まずは、証明書の原理の説明からだ。

Active Directory証明書サービス

　Windows Server 2008には、「Active Directory証明書サービス（AD CS）」が標準で装備されている。これは従来「証明機関（CA：Certificate Authority）」と呼ばれていた機能である。Windows Server 2008では、認証やID管理を行なうサービスを「Active Directory」ブランドで統一するため、名称が変更された。

　このAD CSにはActive Directoryドメインサービスと一体となった「エンタープライズ証明機関」と、Active Directoryドメインサービスとは独立した「スタンドアロン証明機関」がある。いずれの場合も「Active Directory証明書サービス」であることには変わりがない。なお、Windowsネットワーク環境では「エンタープライズ証明機関」のほうが高機能で便利なため、特別な理由がない限り「エンタープライズ証明機関」を構成するのがよいだろう。

　電子証明書は、コンピュータ名の証明と、ユーザー名の証明が可能である。ユーザー名はWindows NT互換名のほか、メールアドレスなども登録できる。そのほかにサービス用の証明書があるが、あまり利用しないので解説は省略する。

　ユーザーの証明書は、電子メールの暗号化や暗号化ファイルシステムなどで使われる。また、Excelマクロなどの署名に使うこともできる。一方、コンピュータ証明書は、Webサーバの通信トラフィックを暗号化するためのSSLや、IPsecを行なう場合の認証情報などに使われる。

公開鍵暗号の原理

　電子証明書は「公開鍵暗号」という技術に基づいている。これは暗号化と復号に異なる鍵を使う方法である。2つの鍵は「キーペア」と呼ばれ、必ずセットで生成される。1つが「公開鍵」、もう1つが「秘密鍵」である。どちらの鍵も暗号化に利用できるが、復号は同じ鍵では行なえず、対となる鍵を使う必要がある。つまり、公開鍵で暗号化したデータは秘密鍵でしか復号できず、秘密鍵で暗号化したデータは公開鍵でしか復号できない。もちろん、一方の鍵から他方の鍵を算出することも不可能だ。

　たとえばアリスとボブが通信する場合を考えてみよう。アリスは生成したキーペアのうち、公開鍵をボブに送る。ボブは、このアリスの公開鍵を使って自分のファイルを暗号化して、アリスに送る。アリスの公開鍵が第三者に盗聴されても、情報漏えいの心配はない。復号のための秘密鍵を持っているのはアリスだけだからだ（図1）。

図1●公開鍵暗号の原理

　では逆に、アリスが自分の秘密鍵でファイルを暗号化したとする。このデータはアリスの公開鍵を使えばだれでも復号できるため、機密性はない。しかし、アリスの秘密鍵を知っているのはアリス自身だけである。そのため、アリスの公開鍵で復号できたデータは、確かにアリスが作成したファイルだと主張できる。このように、だれでも読めるが作成は本人しかできないのが、電子署名の原理である（図2）。