Web

クロスルート証明書の仕組みについての覚書

投稿日:2021年10月7日 更新日:

1. はじめに

本記事は、クロスルート証明書の仕組みについての覚書です。

2. クロスルート証明書の仕組み

フェーズ1

R2M2S というチェーンのサーバ証明書 S を、とある Webサイトで利用しているとします。

ブラウザA からはサーバ証明書 S が正常に利用できない状態

この状態だと、ルート証明書 R1 しか持っていない(古い)ブラウザでは、このWebサイトを HTTPS で閲覧することができません(R1 から S まで間が、署名によってつながっていないからです)。警告もしくはエラーになります。

フェーズ2

ルート証明書 R1 しか持っていない(古い)ブラウザでも、中間CA証明書 M2 が署名したサーバ証明書を利用できるようにすることにしました。

そのため、中間CA証明書(クロスルート用) M1 を新しく発行しました。

ブラウザAからでも、サーバ証明書 S が正常に利用できる状態

ここでのポイントは以下です。

  • R2 と同じ「サブジェクト」と「公開鍵」を持つ M1 という中間CA証明書を作成する。この中間CA証明書 M1 には、R1 で署名しておく。
  • これにより、中間CA証明書 M1 から、中間CA証明書 M2 に署名したのと同じ状態になる。
  • つまり、中間CA証明書 M2 が持っている署名は、ルート証明書 R2 と中間CA証明書 M1 のどちらからでも検証が成功する状態になる(正当性の検証)。
  • R1M1M2S という証明書チェーンができあがる。
  • Webサーバーで、SM2 と一緒に M1 も提供するように設定しておく。
  • クロスルート用の中間CA証明書を利用すると、証明書チェーンが1階層増える。

3. おわりに

何か間違いがありましたら、お気軽にご指摘ください。

SSLサーバ証明書については、以下の記事もご覧ください。

Web

SSLサーバー証明書の発行手順

2019.02.26
Web

openssl s_client コマンドでウェブサーバーの SSL/TLS 対応状況を診断する

2019.03.07

4. 参考

  • [EV SSL] クロスルートとは何ですか|GMOグローバルサイン【公式】(https://jp.globalsign.com/support/rootcertificates/about_crossroot.html)(リンク切れ)

📂-Web

執筆者:labo


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

Glitch

Glitch に DokiWiki を設置しようとして失敗しました

Glitch に DokuWiki を設置しようとしたのですが、残念ながら失敗してしまいました。ここにその記録を残しておこうと思います。

プライバシー

ウェブブラウザの DNT (Do Not Track) を有効にする方法

目次1. Do Not Track とは?2. トラッキングを拒否する意思を送信する手順Chrome の場合Firefox の場合Microsoft Edge の場合Internet Explorer …

Web

はてなブックマークにサイトのコメントを表示させない方法

はてなブックマークにサイトのコメントを表示させない方法を紹介します。

Web Programming

Import maps の使い方

Import maps の使い方について説明します。

Web

ウェブブラウザがページを取得して表示するまでの流れ

目次1. はじめに2. Chrome デベロッパーツールの [Network]パネル3. リソース毎の処理の流れ4. その後の流れ5. DOMContentLoaded と load イベント6. グ …