目次/索引/検索の表示

PKI と証明書

PKI (Public Key Infrastructure) は、電子証明書を使用して安全に通信できるようにするためのシステムです。Reflection for Secure IT では、ホストとユーザの両方の認証に PKI を使用できます。

公開鍵認証のように、証明書認証では公開/秘密鍵のぺアを使用してホストの身元を確認します。ただし、証明書認証を使用すると、公開鍵が電子証明書内に含まれ、この場合 2 つの鍵のペアが使用されます。例えばサーバ認証の場合、ホストは秘密鍵を 1 つ保有し、CA がもう 1 つの鍵を保有します。ホストは、CA から証明書を取得します。この証明書には、ホストに関する識別情報、ホスト公開鍵のコピー、CA の秘密鍵を使用して作成された電子署名が含まれています。この証明書は、認証処理時にクライアントに送信されます。ホストから送信される情報の整合性を検証するには、クライアントが CA ルート証明書に含まれる CA の公開鍵のコピーを保有している必要があります。クライアントが、ホスト公開鍵のコピーを保有する必要はありません。

証明書認証により、公開鍵認証によリ発生するいくつかの問題が解決されます。例えばホスト公開鍵認証の場合、システム管理者はすべてのサーバのホスト鍵を各クライアントの既知のホスト格納場所に配布したり、クライアントユーザが既知のホストに接続する場合に、クライアントユーザに依頼してホストの身元を正しく確認する必要があります。証明書をホスト認証に使用すると、単一の CA ルート証明書を使用して複数のホストを認証できます。多くの場合、必要な証明書は Windows の証明書格納場所ですでに使用可能です。

同様に、公開鍵をクライアント認証に使用すると、各クライアント公開鍵をサーバにアップロードし、その鍵を認識するようにサーバを構成する必要があります。証明書認証を使用すると、単一の CA ルート証明書を使用して複数のクライアントユーザを認証できます。

関連項目

証明書の認証 (PKI)

[Reflection 証明書マネージャ]