SSLサーバ証明書はどこに保存されているの？（証明書ストア）

• SSLサーバ証明書は、（基本的に）ウェブサーバ内の「証明書ストア」に保存されている暗号化されたファイルです。
• サイトにアクセスがあると相手に提示して、通信内容が正しいことを証明するのに使われます。

YouTube動画でも話しています。

1. サイトがSSLサーバ証明書を取得する流れ

確かに。
そもそも「セキュリティ証明書」って、いったい何がどこにあるの？

ウェブサイトの通信をセキュリティ保護（暗号化）するには、「認証局（CA：Certification Authority）」に申請して「SSLサーバ証明書」を受け取る必要があります。

「SSLサーバ証明書」は、2つの役割がある電子証明書です。

• 役割１）サイト運営者の実在証明
• 役割２）通信の暗号化
• 電子証明書）暗号で保護されたテキストファイル

サイト運営者は認証局に、サーバ証明書への署名依頼に必要な情報（CSR）を送ります。
ドメイン名やウェブサーバの公開鍵などです。
レンタルサーバを利用している場合は、サーバ管理会社などを介して登録できます。

すると、SSLサーバ証明書というデータを作ってくれます。
これで認証局が「このドメイン名はこのウェブサーバが正当です」と「お墨付き」を与えてくれたことになります。

受け取ったサーバ証明書は、ウェブサーバの「証明書ストア」という場所に保存します。
証明書ストアは、ウェブサーバのファイルシステムやレジストリなどにあります。
ウェブサイトにアクセスがあると、相手に提示するために送信します。

飲食店が 食品衛生管理責任者資格 の証明書を店頭に掲示しているような感じだね。

1-1. CRTファイル

もう少し詳しくみると、SSL証明書に関連するファイルには、主にKEYファイル・CSRファイル・CRTファイル・CERファイルがあります¹。
認証局に生成してもらうのは、CRTです。

KEYは、ウェブサーバ側で生成する秘密鍵です。
openssl genrsaコマンドを使うと、ランダムなキーを生成してファイルに保存できます。

openssl genrsa -out server.key 2048

RSA 秘密キーの生成には、基本的に 2 つの素数の生成が含まれます。秘密キーを生成すると、生成の進行状況を示すさまざまなシンボルが出力されます。（…）

キーの生成はランダムなプロセスであるため、キーの生成にかかる時間は多少異なる場合があります。

/docs/man1.0.2/man1/genrsa.html

キーを生成するだけなら、MacBookのターミナルでもできます。

CSRは、KEYを元に生成します。
KEYファイルをCSR生成で利用したら、すべてのセキュリティ証明の元になるので外部に公開してはいけません³。

一方、CSRは公開鍵です。
認証局に依頼してCSRをもとにCRT, CERを生成してもらいます。

手計算でわかる、秘密鍵と公開鍵の「使い方」（RSA暗号）

「RSA暗号」は、数学的な性質を利用して秘密通信を可能にする暗号システムです。公開鍵と秘密鍵の組み合わせで、メッセージの暗号化と復号ができます。

chiilabo.com

2. あらかじめ持っているCAルート証明書

ところで「認証局」の証明書はどうして正しいと言えるの？
誰でも認証局になれるの？

それは、スマートフォンなどの端末内に、あらかじめ「CAルート証明書」という認証局の発行するもう1つの証明書があるからです。
これは、認証局自身の正当性を証明する電子データです。

代表的な認証局のルート証明書は、ウェブブラウザやメールソフトなどのソフトウェアにプリインストールされています。
そこで、ユーザーは意識することなくルート証明書を信頼しています。

つまり、ユーザーはメーカーを信頼し、メーカーやシステム開発会社が信頼した認証局の証明書を入れているわけです。

ちなみに、スマートフォンに入っていない「CAルート証明書」でも、自分の責任で あとから追加できます。

3. SSLサーバ証明書の使われ方

このように2つの経路で、ユーザー・サーバそれぞれに保存された証明書は、暗号通信を開始するときに利用されます。

ウェブブラウザは、サイトにアクセスするときにサーバ証明書の情報を検証し、その正当性を確認します。

SSLサーバ証明書の署名を、自分の持っているルート証明書と照らし合わせます。
ルート証明書の鍵でサーバ証明書の暗号を正しく解読できるなら、「正しい」と言えるわけです。

うまくいけば、そこでお互いの暗号通信に使う鍵を作って交換します。
やり取りする情報をこの共通鍵で暗号化することで、途中で傍受・改ざんを防げます。

インターネット通信の経路には、いろんなコンピュータが介在しています。
しかし、暗号化されていると誰かが勝手に中身を「盗み見る」ことができません。
また、途中のデータを「すり替え」たりしても、交換した鍵と合わなくなってしまうのです。

こちらもどうぞ。

SSL証明書の期限が切れていた（cPanelのAutoSSL）

サイトにアクセスしたら、「この接続ではプライバシーが保護されません」と表示されました。SSL証明書がいつの間にか期限切れになっていたようです。cPanelの「AutoSSL」で自動更新される仕組みだったのですが、なぜか動作してなかったのです。「SSL/TLS」で「デフォルトの SSL/TLS キータイプ」を設定し直すと、自動更新が開始されました。ただし、SSL証明書の更新が完了するのには、約3時間ほどがかかりました。【結論】無事にSSL証明書を更新できた結論としては、SSL証...

chiilabo.com

「保護されていないウェブサイト」とは？（SSL/TLSとHTTPS）

「保護されていないウェブサイト」では、入力した個人情報が盗まれる危険性があるため注意が必要です。ウェブサイトのアドレスが「https://」で始まる場合、SSL/TLSが使用されており、データが保護されています。「SSL/TLS」は、インターネット上でのデータ送受信を暗号化し、安全性を高める技術です。セキュリティ警告が表示されたら？アドレスバーに「セキュリティ警告」が表示されるのは、「SSL/TLS非対応サイト」に接続していることを示しています。どうすると詐欺サイトに引っかか...

chiilabo.com

「FTP」から「FTPS」に移行するには？

自分のホームページを作っているのですが、最近 プロバイダから「FTP から FTPS に移行するから、設定を変更するように」という通知が届きました。どういう意味なのでしょうか？「FTP」と「FTPS」は、どちらもホームページのデータファイルを転送するときの方式のことです。「FTPS」では、FTPを拡張したもので セキュリティ保護がついています。これまでのFTPの通信では転送中のファイルは暗号化されていなかったのですが、FTPSではSSL/TLSによって暗号化して送るようになり...

chiilabo.com

広告ブロックをインストールしたらウェブページにアクセスできなくなった【HTTPSフィルタとセキュリティ】

Macに広告ブロックソフト（AdGuard）をインストールしたのですが、Chromeでインターネットにアクセスできなくなってしまいました。どうしたらいいですか？どうも、広告ブロックの「HTTPSフィルタ」機能を、ブラウザが「危険」として検出しているようです。「HTTPSフィルタ」を無効化するか、有効な「セキュリティ証明書」を用意する必要があります。ただし、「広告ブロック」は不安定な技術です。通信セキュリティとウェブ収益構造に関わるからです。将来にわたって有効とは限らないことを...

chiilabo.com

1. SSL証明書のファイル形式と作成方法まとめ | メディカルフィールズ社員ブログ
2. デジタル証明書のエンコードと拡張子の違い│NDW
3. SSL証明書のファイル形式と作成方法まとめ | メディカルフィールズ社員ブログ

QRコードを読み込むと、関連記事を確認できます。