【スポンサーリンク】

SSLサーバ証明書はどこに保存されているの?(証明書ストア)

2023.08.23
わかりやすさ重視スマホ基礎セキュリティ冊子テキスト動画解説あり相談と回答
CASSLSSL/TLSセキュリティ証明書ルート証明書公開鍵暗号秘密鍵認証局
  • SSLサーバ証明書は、(基本的に)ウェブサーバ内の「証明書ストア」に保存されている暗号化されたファイルです。
  • サイトにアクセスがあると相手に提示して、通信内容が正しいことを証明するのに使われます。

YouTube動画でも話しています。

この記事では、わかりやすさを重視して説明しています(やや厳密さには欠ける表現もあります)。イメージが掴めたら、より専門的な解説へと進んでください。

キーワード

キーワード: CA(1) SSL(14) SSL/TLS(1) セキュリティ証明書(12) ルート証明書(2) 公開鍵(2) 暗号(2) 秘密鍵(1) 認証局(1)

【スポンサーリンク】

サイトがSSLサーバ証明書を取得する流れ

お店のホームページを作っています。
サイトの「セキュリティ保護」ができていないようなのですが、そもそもセキュリティ証明書の仕組みがよくわかりません。

どんな情報をどこに記載されていると、「セキュリティ保護」されたことになるのでしょうか?

確かに。
そもそも「セキュリティ証明書」って、いったい何がどこにあるの?

ウェブサイトの通信をセキュリティ保護(暗号化)するには、「認証局(CA:Certification Authority)」に申請して「SSLサーバ証明書」を受け取る必要があります。

SSLサーバ証明書」は、2つの役割がある電子証明書です。

  • 役割1)サイト運営者の実在証明
  • 役割2)通信の暗号化
  • 電子証明書)暗号で保護されたテキストファイル

サイト運営者は認証局に、サーバ証明書への署名依頼に必要な情報(CSR)を送ります。
ドメイン名ウェブサーバの公開鍵などです。
レンタルサーバを利用している場合は、サーバ管理会社などを介して登録できます。

すると、SSLサーバ証明書というデータを作ってくれます。
これで認証局が「このドメイン名はこのウェブサーバが正当です」と「お墨付き」を与えてくれたことになります。

受け取ったサーバ証明書は、ウェブサーバの「証明書ストア」という場所に保存します。
証明書ストアは、ウェブサーバのファイルシステムやレジストリなどにあります。
ウェブサイトにアクセスがあると、相手に提示するために送信します。

飲食店が 食品衛生管理責任者資格 の証明書を店頭に掲示しているような感じだね。

目次に戻る

CRTファイル

もう少し詳しくみると、SSL証明書に関連するファイルには、主にKEYファイル・CSRファイル・CRTファイル・CERファイルがあります1
認証局に生成してもらうのは、CRTです。

ファイル拡張子内容
.key秘密鍵ファイル(非公開)
.csr「Certificate Signing Request」の略。
秘密鍵を元に作った公開鍵ファイル。
コモンネームなどの情報も付いている。
.crt .cerどちらも「Certificate」の略。
サーバ証明書。公開してよい。
CSRファイルの正しさを認証局が証明。
UNIX系のサーバで生成すると .crt、Windows系のサーバで生成すると .crt 2

KEYは、ウェブサーバ側で生成する秘密鍵です。
openssl genrsaコマンドを使うと、ランダムなキーを生成してファイルに保存できます。

openssl genrsa -out server.key 2048

RSA 秘密キーの生成には、基本的に 2 つの素数の生成が含まれます。秘密キーを生成すると、生成の進行状況を示すさまざまなシンボルが出力されます。(…)

キーの生成はランダムなプロセスであるため、キーの生成にかかる時間は多少異なる場合があります。

/docs/man1.0.2/man1/genrsa.html

キーを生成するだけなら、MacBookのターミナルでもできます。

CSRは、KEYを元に生成します。
KEYファイルをCSR生成で利用したら、すべてのセキュリティ証明の元になるので外部に公開してはいけません3

一方、CSRは公開鍵です。
認証局に依頼してCSRをもとにCRT, CERを生成してもらいます。

(参考)
目次に戻る

あらかじめ持っているCAルート証明書

ところで「認証局」の証明書はどうして正しいと言えるの?
誰でも認証局になれるの?

それは、スマートフォンなどの端末内に、あらかじめ「CAルート証明書」という認証局の発行するもう1つの証明書があるからです。
これは、認証局自身の正当性を証明する電子データです。

代表的な認証局のルート証明書は、ウェブブラウザやメールソフトなどのソフトウェアにプリインストールされています。
そこで、ユーザーは意識することなくルート証明書を信頼しています。

つまり、ユーザーはメーカーを信頼し、メーカーやシステム開発会社が信頼した認証局の証明書を入れているわけです。

ちなみに、スマートフォンに入っていない「CAルート証明書」でも、自分の責任で あとから追加できます。

【SSL】 古いスマートフォンがセキュリティ保護されたウェブサイトにアクセスできなくなる理由
目次に戻る

SSLサーバ証明書の使われ方

このように2つの経路で、ユーザー・サーバそれぞれに保存された証明書は、暗号通信を開始するときに利用されます。

ウェブブラウザは、サイトにアクセスするときにサーバ証明書の情報を検証し、その正当性を確認します。

SSLサーバ証明書の署名を、自分の持っているルート証明書と照らし合わせます。
ルート証明書の鍵でサーバ証明書の暗号を正しく解読できるなら、「正しい」と言えるわけです。

うまくいけば、そこでお互いの暗号通信に使う鍵を作って交換します。
やり取りする情報をこの共通鍵で暗号化することで、途中で傍受・改ざんを防げます。

インターネット通信の経路には、いろんなコンピュータが介在しています。
しかし、暗号化されていると誰かが勝手に中身を「盗み見る」ことができません。
また、途中のデータを「すり替え」たりしても、交換した鍵と合わなくなってしまうのです。

こちらもどうぞ。
SSLと保護されていないウェブサイト(HTTPS)
SSL(Secure Sockets Layer:安全なソケット通信層)は、インターネット上でのデータの送受信を暗号化し、盗聴や改ざんを防ぐ通信手順です。 セキュリティ警告 ウェブサイトには、SSLに対応しているサイトと対応してないサイトが...
chiilabo.com
「FTP」から「FTPS」に移行するには?
自分のホームページを作っているのですが、最近 プロバイダから「FTP から FTPS に移行するから、設定を変更するように」という通知が届きました。どういう意味なのでしょうか? 「FTP」と「FTPS」は、どちらもホームページのデータファイ...
chiilabo.com
広告ブロックをインストールしたらウェブページにアクセスできなくなった【HTTPSフィルタとセキュリティ】
Macに広告ブロックソフト(AdGuard)をインストールしたのですが、Chromeでインターネットにアクセスできなくなってしまいました。どうしたらいいですか? どうも、広告ブロックの「HTTPSフィルタ」機能を、ブラウザが「危険」として検...
chiilabo.com
(参考)

(補足)

  1. SSL証明書のファイル形式と作成方法まとめ | メディカルフィールズ社員ブログ
  2. デジタル証明書のエンコードと拡張子の違い│NDW
  3. SSL証明書のファイル形式と作成方法まとめ | メディカルフィールズ社員ブログ
目次に戻る
QRコードを読み込むと、関連記事を確認できます。
SSLサーバ証明書はどこに保存されているの?(証明書ストア)
【スポンサーリンク】
【スポンサーリンク】
タイトルとURLをコピーしました