PKI と証明書
PKI (Public Key Infrastructure) は、電子証明書を使用して安全に通信できるようにするためのシステムです。ホストとユーザ認証の両方で PKI を使用できます。
公開鍵認証と同様、証明書認証は、公開鍵/秘密鍵ペアを使用してホストの識別情報を確認します。ただし、証明書認証を使用すると、公開鍵が電子証明書内に含まれ、この場合 2 つの鍵のペアが使用されます。例えばサーバ認証の場合、ホストは秘密鍵を 1 つ保有し、CA がもう 1 つの鍵を保有します。ホストは、CA から証明書を取得します。この証明書には、ホストに関する識別情報、ホスト公開鍵のコピー、およびCAの秘密鍵を使用して作成されたデジタル署名が含まれています。この証明書は、認証プロセス中にクライアントに送信されます。ホストから送信された情報の完全性を確認するため、クライアントはCAルート証明書に封印されているCAの公開鍵のコピーを持つ必要があります。クライアントが、ホスト公開鍵のコピーを保有する必要はありません。
証明書認証は、公開鍵認証が持つ問題の一部を解決します。例えばホスト公開鍵認証の場合、システム管理者はすべてのサーバのホスト鍵を各クライアントの既知のホスト格納場所に配布したり、クライアントユーザが既知のホストに接続する場合に、クライアントユーザに依頼してホストの身元を正しく確認する必要があります。証明書をホスト認証に使用すると、単一の CA ルート証明書を使用して複数のホストを認証できます。多くの場合、必要な証明書は Windows の証明書格納場所ですでに使用可能です。
同様に、公開鍵をクライアント認証に使用すると、各クライアント公開鍵をサーバにアップロードし、その鍵を認識するようにサーバを構成する必要があります。証明書認証を使用すると、単一の CA ルート証明書を使用して複数のクライアントユーザを認証できます。
証明書格納場所
電子証明書は、コンピュータの証明書格納場所に保存されています。証明書格納場所には、相手の身元を確認するのに使用する証明書が含まれています。また、自分の身元を相手に示すのに使用する個人用証明書が含まれていることもあります。個人用証明書は、コンピュータにある秘密鍵に関連付けられています。
以下の格納場所のいずれか、または両方にあるデジタル証明書を使用できます:
-
Windows の証明書格納場所
この格納場所は、複数のアプリケーション、Web ブラウザ、メールクライアントで使用できます。この格納場所の証明書のいくつかは、Windows オペレーティングシステムのインストール時にインストールされます。また、インターネットサイトに接続して信頼関係を確立したり、ソフトウェアをインストールしたり、暗号化された電子メールや電子署名のある電子メールを受け取った時にも追加されます。Windows の格納場所に証明書を手作業でインポートすることもできます。この格納場所の証明書は、Windows の証明書マネージャを使用して管理します。
-
Reflection の証明書格納場所
この格納場所は、Rocket Software アプリケーションでのみ使用されます。この格納場所に証明書を追加するには、証明書を手作業でインポートする必要があります。証明書はファイルからインポートでき、スマートカードなどのハードウェアトークン上の証明書を使用することもできます。この格納場所の証明書は、Reflection の証明書マネージャを使用して管理します。
Reflection 証明書管理者格納場所にある証明書だけを使用するか、または、Windows および Reflection 証明書管理者格納場所の両方を使用して認証を構成することができます。Windows の証明書格納場所を使用したホスト認証を有効にすると、既存の証明書を使用して認証できるので、証明書をインポートしなくて済むことがあります。Windows の証明書格納場所を使用した認証を無効にすると、認証で使用する証明書を詳細に制御できるようになります。Windows 証明書格納場所での認証を有効または無効にするには、Reflection 証明書マネージャを開き、[信頼性のある認証局] タブをクリックします。
端末およびFTPクライアントセッションでの PKI
PKI 認証は、セキュアシェルおよび SSL/TLS セッションの両方でサポートされています。
-
すべての SSL/TLS セッションでは、ホスト認証用の証明書が必要です。必要な証明書を所有していないと、ホストへの接続を確立できません。ホストの構成によっては、ユーザ認証用の証明書もインストールしなければならないことがあります。
-
Secure Shell セッションは、通常、ホスト認証とユーザ認証の両方を要求します。証明書は、ホスト認証とユーザ認証の両方またはそのいずれかで使用できますが、既定では必要ありません。