Windows PKI - その1 - PKIとは?
みなさん、こんにちは。
Windows プラットフォームサポート 村木由梨香です。
IT管理者の皆様は、最近とくに「証明書を利用した認証」とか「証明書」について良く聞くのではないでしょうか??
PKI という用語も、耳にしたことがあるのではないでしょうか?
まずは入門として、PKI について概念から説明したいとおもいます。
PKI 自体は、Microsoft や Windowsに限ったお話ではありません。
インターネットや書籍において、PKI について解説している情報は多々ありますが、本ブログでも Microsoft / Windows における PKI の構築にあたり、まずは基本となる概念の説明をします。
もうすでにご存知のかたも、復習としてご覧いただければ幸いです。
=============
● PKI
=============
PKI (Public key Infrastructure) とは、公開鍵証明書を利用した基盤のことです。
要するに、認証などを実施するのにあたり、「証明書」を利用するための基盤のことです。
PKIにおいては、証明書を利用するにあたり、さまざまな確認のポイントなどが実装されます。
今回は、まず、証明書を利用する際に、重要なポイントである 「証明書を発行した認証局 (CA) が信頼されていること」 について説明します。
=============
● 第三者認証モデル
=============
証明書を利用する場合に、まずは、提示された証明書が信頼に足るものであるかどうか、ということを確認しなくてはいけません。
証明書を提示して、どのように信頼を得るのでしょうか?
知らないもの同士が始めて出会う時、どのように信頼性を得ればいいのでしょうか?
PKIの基本概念のひとつとして、第三者認証モデルと呼ばれる認証モデルを利用することで、信頼性を確立するという考えがあります。
たとえば、証明書による認証をおこなう HTTPS の WEBサイトにアクセスした場合、WEBサーバーは証明書を提示します。
ユーザーは証明書を受け取りますが、その提示された証明書を信用してよいのか、確認しなければなりません。
![clip_image001[3]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/jpntsblog/WindowsLiveWriter/WindowsPKI1PKI_11D3D/clip_image001%5B3%5D.jpg "clip_image001[3]")
ここで、もし、サーバー証明書を発行した 認証局を、あらかじめユーザーが信頼しているとします。
そうすると、信頼している認証局が発行している証明書なので、信用できる証明書である、と認識できるのです。
これで、初めて会うサーバーとユーザーの間に信頼関係が生まれるのです。
![clip_image001[5]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/jpntsblog/WindowsLiveWriter/WindowsPKI1PKI_11D3D/clip_image001%5B5%5D.jpg "clip_image001[5]")
このように、当事者同士 (WEB サーバーとユーザー) だけではなくて、共通の第三者を登場させ、検証者がその第三者を信頼することにより、信頼性を確立することを、第三者認証と呼びます。
PKIにおいて、信頼性の基盤となるのは、認証局を信頼することになります。
認証局を信頼することで、他人から提示された証明書を信頼することができるのです。
実は、現実世界でも第三者認証は頻繁に使われています。
- 現実世界では「印鑑証明」みたいなもの
現実世界においても、この認証モデルはいろいろなところで利用されています。
たとえば、印鑑証明なども、発行元の市役所を信頼しているために、提示された印鑑証明も信用できることとなるのです。
![clip_image001[9]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/jpntsblog/WindowsLiveWriter/WindowsPKI1PKI_11D3D/clip_image001%5B9%5D.jpg "clip_image001[9]")
=============
● 証明機関を信頼している ということ
=============
Windows においては、「その認証局を信頼している」ことを、「CA 証明書を信頼されたルート証明書としてインストールしている」 ということをもって認識します。
信頼されたルート証明書のインストール状況は、MMC 証明書スナップインか、Internet Explorer のオプションから確認することが可能です。
- MMC 証明書スナップイン
スタートから [mmc.exe] を立ち上げ、[スナップインの追加と削除] から [証明書] を選択することで、表示できます。
![clip_image001[11]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/jpntsblog/WindowsLiveWriter/WindowsPKI1PKI_11D3D/clip_image001%5B11%5D.jpg "clip_image001[11]")
- IE
Internet Explorer においては、[ツール] – [インターネットオプション] –[コンテンツ] タブ – [証明書]から確認できます。
![clip_image001[13]](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/BlogFileStorage/blogs_technet/jpntsblog/WindowsLiveWriter/WindowsPKI1PKI_11D3D/clip_image001%5B13%5D.jpg "clip_image001[13]")
=============
● まとめ
=============
今回は、証明書を利用する際に、重要な確認ポイントとなる証明書を発行した CA が信頼されていることについて説明しました。
今回の記事で、重要なポイントは以下の 2 点です。
・ 証明書を信頼するにあたっては、その証明書を発行した認証局をクライアントが信頼している必要があること
・ Windowsでは 、クライアントが認証局を信頼しているかどうかを「信頼されたルート証明機関」にCA証明書が入っているかどうかで確認していること
そのほかにも、証明書を利用した認証では、様々な仕組みを使用しています。
この様々な仕組みからなる基盤のことを「PKI」と呼ぶのです。
PKI における登場人物たちは、Windows のサーバやクライアントを利用して構築することができます。
また、Windows を使用した認証局の証明書を Active Directory を使用してクライアントに自動配布するということも可能です。