Web

クロスルート証明書の仕組みについての覚書

投稿日:2021年10月7日 更新日:

1. はじめに

本記事は、クロスルート証明書の仕組みについての覚書です。

2. クロスルート証明書の仕組み

フェーズ1

R2M2S というチェーンのサーバ証明書 S を、とある Webサイトで利用しているとします。

ブラウザA からはサーバ証明書 S が正常に利用できない状態

この状態だと、ルート証明書 R1 しか持っていない(古い)ブラウザでは、このWebサイトを HTTPS で閲覧することができません(R1 から S まで間が、署名によってつながっていないからです)。警告もしくはエラーになります。

フェーズ2

ルート証明書 R1 しか持っていない(古い)ブラウザでも、中間CA証明書 M2 が署名したサーバ証明書を利用できるようにすることにしました。

そのため、中間CA証明書(クロスルート用) M1 を新しく発行しました。

ブラウザAからでも、サーバ証明書 S が正常に利用できる状態

ここでのポイントは以下です。

  • R2 と同じ「サブジェクト」と「公開鍵」を持つ M1 という中間CA証明書を作成する。この中間CA証明書 M1 には、R1 で署名しておく。
  • これにより、中間CA証明書 M1 から、中間CA証明書 M2 に署名したのと同じ状態になる。
  • つまり、中間CA証明書 M2 が持っている署名は、ルート証明書 R2 と中間CA証明書 M1 のどちらからでも検証が成功する状態になる(正当性の検証)。
  • R1M1M2S という証明書チェーンができあがる。
  • Webサーバーで、SM2 と一緒に M1 も提供するように設定しておく。
  • クロスルート用の中間CA証明書を利用すると、証明書チェーンが1階層増える。

3. おわりに

何か間違いがありましたら、お気軽にご指摘ください。

SSLサーバ証明書については、以下の記事もご覧ください。

Web

SSLサーバー証明書の発行手順

2019.02.26
Web

openssl s_client コマンドでウェブサーバーの SSL/TLS 対応状況を診断する

2019.03.07

4. 参考

  • [EV SSL] クロスルートとは何ですか|GMOグローバルサイン【公式】(https://jp.globalsign.com/support/rootcertificates/about_crossroot.html)(リンク切れ)

📂-Web

執筆者:labo


comment

メールアドレスが公開されることはありません。

関連記事

Chrome

Chrome 77 デベロッパーツールの新機能

目次1. はじめに2. 主な新機能要素のスタイルをコピーするレイアウトシフト (layouts shifts) を表示する使い方Audits パネルの Lighthouse 5.1[Performan …

Web

Firefox で複数のプロファイルを使い分ける方法

目次1. Firefox のプロファイルについて2. プロファイルによって管理できるもの3. プロファイルの場所プロファイルの場所の確認方法4. プロファイルマネージャープロファイルマネージャーの起動 …

Web

ツールを公開するWebサイトを作っています

いろいろなツール(Webページ上で提供できるツールに限ります)を公開するサイトを作っています。 Tools on Web https://tools.laboradian.com/ 載せているツールは …

CSS

CSS の基礎

目次1. CSS とは?2. CSS のバージョン(分類)Cascading Style Sheets, level 1Cascading Style Sheets, level 2 (CSS2)Ca …

Web

script 要素の src属性に .js 以外の拡張子を指定してもエラーにはならない

script タグの src属性に .js 以外の拡張子を指定してもエラーにはならないという話です。