Windows PKI - その2 - ルート証明書更新プログラムとは？

みなさん、こんにちは。

Windows プラットフォーム 村木由梨香です。

Windows におけるPKI についてのご説明、本日は、ルート証明書更新プログラムについて、ご案内します

前回の記事にて、PKI のイントロダクションにて、証明書が信頼されるために欠かせない点として以下をご紹介しました。

・証明書を信頼するにあたっては、その証明書発行元の認証局が信頼された認証局であることが重要

・Windowsでは 信頼された認証局かどうかは、「信頼されたルート証明機関」に CA 証明書が含まれているかどうか、で確認する

さて、では、どうやって CA 証明書を「信頼されたルート証明機関」にインストールすればいいのでしょうか？

訪れる WEB サイトのすべての発行元 CA 証明書を、手動でインストールする、、、なんて大変ですよね。また、本当にその CA 証明書を信頼していいかの判断も、難しいかもしれません。

Microsoft では、Windows Update を利用して、必要に応じてお使いの Windows 端末の「信頼されたルート証明機関」に CA 証明書を配布する仕組みを提供しています。この仕組みをお使いいただくことで、ユーザーの皆様の手を煩わせることなく、自動的に信頼された CA 証明書をお使いの Windows 端末にインストールすることができます。

==============================

Microsoft ルート証明書更新プログラムとは何か？

==============================

●Microsoft ルート証明書更新プログラムとは？

Microsoft ルート証明書更新プログラムとは、Windows Updateを利用したルート証明書の配布プログラムです。

約 100 以上もの公的証明機関や商用証明機関がこのプログラムに参加しています。

これらの証明機関の CA 証明書をあらかじめ信頼されているものとして定義しておき、必要になった際に、Windows 端末に Windows Update を利用して「信頼されたルート証明機関」にインストールします。

- 参加している証明機関のリスト

Microsoft ルート証明書更新プログラムに参加している認証局は、下記の公開情報にリストされています。

タイトル： Microsoft ルート証明書プログラムのメンバ

URL: https://support.microsoft.com/kb/931125

- Microsoft ルート証明書更新プログラム

Microsoft ルート証明書更新プログラムの詳細については下記の 公開情報に纏めてあります。

タイトル： Microsoft Root Certificate Program

URL： https://technet.microsoft.com/en-us/library/cc751157.aspx

● Windows XP とそれ以降の OS での動作差異

Windows XP 以前では OS  にあらかじめ、「信頼されたルート証明機関」に、公的証明機関や商用証明機関のCA証明書をインストールした状態としていました。

しかしながら、昨今では、非常に多くの証明機関が利用されています。

このため、Windows Vista / Windows Server 2008 からは、あらかじめCA証明書をインストールするのではなく、必要に応じて Windows Update を介してインストールするようになりました。

これにより、利用者が必要なCA証明書を、必要なときにWindows Updateから入手することで、より効率よく、常に最新のCA証明書を配布できるようになりました。

● ルート証明書更新プログラムの有効・無効化

Windows端末において、Microsoft ルート証明書更新プログラム の有効化・無効化は以下の方法で確認できます。

・Windows XP / Windows Server 2003

Windows XP, Windows Server 2003 においては、Windowsコンポーネントとして実装されております。

[コントロールパネル] – [プログラムの追加と削除] – [Windows コンポーネントの追加と削除] から有効・無効化を確認できます。

・ Windows Vista / Windows 7

Windows Vista からは、Windowsコンポーネントではなく Cryptographic Service の機能として統合されました。

グループポリシーで、有効化 / 無効化を制御することができます。

==============================

ルート証明書更新プログラムはどう動くのか？

==============================

ルート証明書更新プログラムは、バックグラウンドで動作しています。

これが、どのように動くかをご説明します。

1. 証明書の検証が発生

証明書が、検証者へ提示され、証明書の検証が開始されます。

たとえば、WEBサイトへ接続した際などには、WEB サーバーからクライアントに対してサーバー証明書が提示されます。

クライアントは、この時点ではまだ証明書を信用してよいのかわかりません。

なお、この例では、クライアントが検証者になります。

2. クライアントからWindows Updateに接続

クライアントで Microsoft ルート証明書更新プログラムが有効になっている場合、信頼できる証明局のリストを確認するために、Windows Updateへ接続します。

そこで、信頼できる CA 証明書のリストをダウンロードします。

3. 提示されていた証明書の発行元CA証明書を確認

クライアントは、Windows Updateから入手した信頼できるCA証明書のリストに、WEB サーバーから提示されている証明書の発行元CAが含まれているか、確認します。

リストに含まれていれば、そのCAは信頼できると判断できます。

4. CA証明書をインストールして、CAを信頼

CAを信頼する場合、CA証明書をクライアントの端末の「信頼されたルート証明機関」にインストールします。

CA証明書は、Windows Updateから入手した信頼されるCA証明書のリストの中に含まれていますので、そこからインストールします。

CA証明書を「信頼されたルート証明機関」 にインストールすることで、端末はその認証局を信頼したこととなります。

5. 提示された証明書を信頼

クライアントの端末の「信頼されたルート証明機関」 に含まれていると、その認証局を信頼します。

認証局を信頼すれば、その認証局が発行している証明書も信頼します。

これにより、WEB サーバーから提示された証明書は信頼できる証明書と判断されるようになります。

==============================

実行例

==============================

Microsoft ルート証明書更新プログラムは、バックグラウンドで稼働しています。

たとえば、SSL を実装したWEB サイト (HTTPSのサイト) を訪問する際にも、動作しています。

弊社の Microsoft.com サイトも SSL が利用されており、ルート証明書更新プログラムに加盟しているCA証明書を利用しています。

Microsoft

https://www.microsoft.com/

SSL サイトにアクセスした場合には、 Internet Explorer で鍵のアイコンが表示されます。このアイコンをクリックすることで、サーバーが提示している証明書を確認できます。

●証明書を表示して 「証明のパス」を確認すると、ルートCA証明書までのパスが確認できます。

● 「信頼されたルート証明機関」 を確認すると、CA証明書が自動的にインストールされていることがわかります。

● ルート証明書更新プログラムが稼働して、CA証明書がインストールされると、下記のアプリケーションログのイベントが出力され、CA証明書がインストールされていることが記録されます。

● もし、Microsoft ルート証明書更新プログラムが稼働しておらず、CA証明書のリストがダウンロードできない場合は、提示されたサーバー証明書の検証ができません。

この場合は、Internet Explorerが、信頼されたCAから発行された証明書であるのか、確認できてない旨のエラーメッセージを表示します。

==============================

まとめ

==============================

Windows を使用してインターネットで SSLを利用した 「セキュアな通信」をおこなうことは多々あるかと思います。

このとき、Microsoft ルート証明書更新プログラムが、バックグラウンドで稼働して、信頼される認証局を確認しているのです。