Web

クロスルート証明書の仕組みについての覚書

投稿日:2021年10月7日 更新日:

1. はじめに

本記事は、クロスルート証明書の仕組みについての覚書です。

2. クロスルート証明書の仕組み

フェーズ1

R2M2S というチェーンのサーバ証明書 S を、とある Webサイトで利用しているとします。

ブラウザA からはサーバ証明書 S が正常に利用できない状態

この状態だと、ルート証明書 R1 しか持っていない(古い)ブラウザでは、このWebサイトを HTTPS で閲覧することができません(R1 から S まで間が、署名によってつながっていないからです)。警告もしくはエラーになります。

フェーズ2

ルート証明書 R1 しか持っていない(古い)ブラウザでも、中間CA証明書 M2 が署名したサーバ証明書を利用できるようにすることにしました。

そのため、中間CA証明書(クロスルート用) M1 を新しく発行しました。

ブラウザAからでも、サーバ証明書 S が正常に利用できる状態

ここでのポイントは以下です。

  • R2 と同じ「サブジェクト」と「公開鍵」を持つ M1 という中間CA証明書を作成する。この中間CA証明書 M1 には、R1 で署名しておく。
  • これにより、中間CA証明書 M1 から、中間CA証明書 M2 に署名したのと同じ状態になる。
  • つまり、中間CA証明書 M2 が持っている署名は、ルート証明書 R2 と中間CA証明書 M1 のどちらからでも検証が成功する状態になる(正当性の検証)。
  • R1M1M2S という証明書チェーンができあがる。
  • Webサーバーで、SM2 と一緒に M1 も提供するように設定しておく。
  • クロスルート用の中間CA証明書を利用すると、証明書チェーンが1階層増える。

3. おわりに

何か間違いがありましたら、お気軽にご指摘ください。

SSLサーバ証明書については、以下の記事もご覧ください。

Web

SSLサーバー証明書の発行手順

2019.02.26
Web

openssl s_client コマンドでウェブサーバーの SSL/TLS 対応状況を診断する

2019.03.07

4. 参考

📂-Web

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

Web

Firefox で DNS-over-HTTPS (DoH) を有効にする方法

Firefox で DNS-over-HTTPS (DoH) を有効にする方法について説明しています。

ICTリテラシー

無料レンタルサーバーとDokuWiki で作る自分用情報サイト

本サイトに パソコン内に自分専用の情報データベースをつくる というページがあります。詳細はリンク先を見て頂くとして、本ページではこれに関連して、「自分専用の情報サイトを作る」ためのオススメの方法につい …

Web

Web Components: CSS Shadow Parts の使い方

CSS Shadow Parts の使い方を説明します。

Glitch

Glitch で PHP を使う方法

Glitch は正式にPHPをサポートしていませんが、ほんの少しの設定変更により、PHPが使えるようになります。

Chrome

Chrome のアドレスバーから任意のサイトの検索機能を使用する方法

目次1. Chrome の検索エンジン管理機能2. 任意サイトの検索機能を Chrome に追加して使用する1. アルクのサイトで検索したときの URL を調査する2. 検索エンジンとして追加する3. …