投稿する

証明書について [0412]

 がってん承知の助さん(No.1) 
・令和5年午後Ⅱ 問2設問6(2) 解答 idpの公開鍵証明書
・令和4年午後Ⅱ 問1設問3(2) 解答 CAのルート証明書
・平成30年 午後Ⅰ 問1設問2(2) 解答 プロキシサーバのルート証明書

上記3つの過去問から、下記のような疑問が生まれました。

クライアントがブラウザ経由でサーバにアクセスした際、ブラウザ上に「信頼できない」と表示されたとします。このとき、クライアント側のブラウザにインポートしておくべきものは、以下のうちどれなのでしょうか?
①CAのルート証明書
②CAの公開鍵証明書
③サーバのルート証明書
④サーバの公開鍵証明書

私的には、サーバ証明書に記載された署名がCAによるものであれば①、サーバ自身で署名したものであれば③になると思っています。

また②④の公開鍵証明書のような言い方は、結局何を表しているのでしょうか?①=②、③=④ではないのでしょうか?
2024.03.21 01:50
がってん承知の助さん(No.2) 
この投稿は投稿者により削除されました。(2024.03.21 02:25)
2024.03.21 02:25
がってん承知の助さん(No.3) 
あるA社が電子ファイルに署名をつけるとします。この電子ファイルをB社に送った際、B社で電子ファイルの署名を検証するには、A者が署名を作成する際に使った秘密鍵に対応する公開鍵がなければなりません。この公開鍵は、公的な認証局が発行する公開鍵証明書に入っているため、B社はこのA社の公開鍵証明書を持っておくことで署名が検証できるということでしょうか?
2024.03.21 02:26
hisashiさん(No.4) 
NW ゴールドマイスター
No.1について

>クライアントがブラウザ経由でサーバにアクセスした際、ブラウザ上に「信頼できない」と表示されたとします。このとき、クライアント側のブラウザにインポートしておくべきものは、以下のうちどれなのでしょうか?

構成によりますので、一旦選択肢は置きます。

・平成30年 午後ⅠのようにSSL通信を復号する機能を備えたプロキシサーバを経由する場合、

インポートは、プロキシサーバのルート証明書です。
インポートしない限り、どのHTTPSサイトにアクセスしても、ブラウザ上に「信頼できない」と表示されます。

・プロキシサーバを経由しない場合
インポートは、サイトのサーバ証明書を発行したCA(認証局)のルート証明書です。

ブラウザにインポートするのは選択肢①~④の中では、①が該当します。
「②」は、CA証明書で、最上位のCA(ルート証明書)でなければ中間証明書になるかと思います。
「③」は、サーバ証明書を発行したCAのルート証明書ということであれば①と同じです。
  或いは、認証局が関与しないサーバの自己署名の場合、オレオレ証明書になります。
「④」は、CAが発行したサーバ証明書です。


No.3について

ご認識のとおりです。
B社は、A社の公開鍵で検証できるよう認証局が発行する証明書をインストールしておく必要があります。
2024.03.27 00:45
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2015-2024 ネットワークスペシャリストドットコム All Rights Reserved.

Pagetop