PKI と証明書

PKI (Public Key Infrastructure) は、電子証明書を使用して安全に通信できるようにするためのシステムです。Reflection では、ホストとユーザの両方の認証に PKI を使用できます。

公開鍵認証と同様、証明書認証は、公開鍵/秘密鍵ペアを使用してホストの識別情報を確認します。ただし、証明書認証を使用すると、公開鍵が電子証明書 PKI (Public Key Infrastructure) の核となる構成要素です。電子証明書 (別名、X.509 証明書) は認証局 (CA) によって発行されるもので、証明書内の情報の有効性を保証します。各証明書には、証明書の所有者に関する情報、証明書の所有者の公開鍵のコピー (メッセージおよび電子署名の暗号化と解読に使用)、電子署名 (証明書の内容に基づいて認証局が生成) が含まれています。受信者はこの電子署名を使用して、証明書が不正に変更されておらず、信頼できることを確認します。 内に含まれ、この場合 2 つの鍵のペアが使用されます。例えばサーバ認証の場合、ホストは秘密鍵を 1 つ保有し、CA がもう 1 つの鍵を保有します。ホストは、CA から証明書を取得します。この証明書には、ホストに関する識別情報、ホスト公開鍵のコピー、CA の秘密鍵を使用して作成されたデジタル署名 送信されたメッセージの信頼性と整合性の確認に使用されます。通常、送信者は公開/秘密鍵のペアのうち秘密鍵を保有し、受信者は公開鍵を保有します。署名を作成するには、送信者はメッセージからハッシュを計算し、この値を自らの秘密鍵で暗号化します。受信者は、送信者の公開鍵を使用して署名を復号化し、受信したメッセージのハッシュを独自に計算します。復号化した値と計算した値が一致した場合、受信者は、送信者が秘密鍵の保有者であり、メッセージが送信中に改ざんされていないことを信頼します。 が含まれています。この証明書は、認証プロセス中にクライアントに送信されます。ホストから送信された情報の完全性を確認するため、クライアントは CA ルート証明書に封印されている CA の公開鍵のコピーを持つ必要があります。クライアントが、ホスト公開鍵のコピーを保有する必要はありません。

証明書認証は、公開鍵認証が持つ問題の一部を解決します。例えばホスト公開鍵認証の場合、システム管理者はすべてのサーバのホスト鍵を各クライアントの既知のホスト格納場所に配布したり、クライアントユーザが既知のホストに接続する場合に、クライアントユーザに依頼してホストの身元を正しく確認する必要があります。証明書をホスト認証に使用すると、単一の CA ルート証明書を使用して複数のホストを認証できます。多くの場合、必要な証明書は Windows の証明書格納場所ですでに使用可能です。

同様に、公開鍵をクライアント認証に使用すると、各クライアント公開鍵をサーバにアップロードし、その鍵を認識するようにサーバを構成する必要があります。証明書認証を使用すると、単一の CA ルート証明書を使用して複数のクライアントユーザを認証できます。