電子証明書と PKI - 電子証明書と PKI
公開鍵の所有者を証明するデジタル文書。認証局(CA)が発行し、TLS/SSL や電子署名の信頼基盤となる。
概念図
実例
自己署名証明書を生成
bash
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes証明書チェーンを検証
bash
openssl verify -CAfile ca.pem cert.pemPKI(公開鍵基盤)の仕組み
PKI は公開鍵暗号の信頼性を担保するための仕組みです。
- 認証局(CA): 証明書を発行する信頼された第三者機関。ルート CA と中間 CA の階層構造
- 証明書の内容: 所有者情報、公開鍵、有効期限、発行者の署名
- 証明書チェーン: ルート CA → 中間 CA → サーバー証明書 の信頼の連鎖
- CRL / OCSP: 失効した証明書を確認するための仕組み
X.509 は最も広く使われている証明書の標準フォーマットです。
証明書管理のベストプラクティス
- 自動更新: Let's Encrypt + Certbot などで証明書の自動更新を設定する
- 有効期限の監視: 証明書の有効期限を監視し、期限切れによるサービス停止を防ぐ
- 秘密鍵の保護: HSM(Hardware Security Module)の使用を検討する
- CT(Certificate Transparency)ログの監視: 自分のドメインに対する不正な証明書の発行を検知する
- ワイルドカード証明書の慎重な使用: 1 つの秘密鍵漏洩で全サブドメインが影響を受けるリスクがある