証明書とは、身分証明書のデジタル版です。運転免許証、社員証、クレジット カードなど、異なる目的で身分証明書を持っているように、自分自身を証明する証明書をいくつも持つことができます。
このセクションでは、証明書に関する操作方法について説明します。
このセクションの内容: |
証明書とは、クレジット カードや免許証のようなもので、インターネットや他のネットワーク上で身分を証明するために使用できる ID です。一般的な個人の身分証明書と同じように、証明書は、それを発行することが認められた組織によって通常発行されます。証明書を発行する組織は、認証局(CA)と呼ばれます。
公共の認証局、システム管理者、所属組織の特殊な認証局、または名前とパスワードよりも信頼できる証明手段を必要とする特別なサービスを提供する Web サイトから自分の身元を証明する証明書を手に入れることができます。
運転免許証の条件が運転する車種によって異なるように、証明書を手に入れる条件も用途によって異なります。場合によっては、証明書の取得は非常に簡単で、Web サイトにアクセスし、個人情報を入力して、ブラウザに証明書を自動的にダウンロードするだけで済みます。そうでない場合は、いくつかの手順を実行しなければなりません。
現在では、認証局の URL を入力し、画面の指示に従うと、証明書を入手することができます。認証局の一覧については、「クライアントの証明書」を参照してください。
証明書を取得したら、自動的にセキュリティ デバイスに保存されます。お使いのブラウザには、ソフトウェア セキュリティ デバイスが組み込まれています。セキュリティ デバイスは、スマート カードのようなハードウェアの場合もあります。
運転免許証やクレジット カードのように、証明書も大切な身分証明書で、他人の手に渡ると悪用されることもあります。自分の身分を証明する証明書を取得したら、バックアップし、マスター パスワードを設定して、保護する必要があります。
証明書を初めて取得したら、バックアップするよう指示されます。マスター パスワードをまだ設定していない場合は、作成するよう求められます。
証明書のバックアップおよびマスター パスワードの設定に関する詳細については、「身分証明書」を参照してください。
Web ページを表示するたびに、[表示]メニューから[ページ情報]を選択して、[セキュリティ]タブをクリックすると、そのページで使用できるセキュリティに関する詳細を知ることができます。
[ページ情報]の[セキュリティ]タブでは、2 種類の情報が得られます。
表示されている情報の意味がよくわからない場合は、「SSL ページ情報」で関連するメッセージを参照してください。
証明書マネージャを使って、使用可能な証明書を管理できます。証明書は、お使いのコンピュータのハード ディスク、スマート カード、またはコンピュータに接続されたその他のセキュリティ デバイスに保存できます。
証明書マネージャを開くには、以下の手順を実行します。
このセクションの内容: |
証明書マネージャを最初に開くと、ウィンドウの一番上にいくつかのタブがあります。最初のタブは[身分証明書]で、自分の身元を証明するためにブラウザで使用できる証明書が表示されます。証明書は、発行された組織名を基にして表示されます。
証明書に操作を行うには、証明書をクリック(複数の証明書を選択する場合は、Ctrl キーを押したままクリック)し、[表示]、[バックアップ]、[削除]ボタンのいずれかをクリックします。これらのボタンにより、別のウィンドウが表示され、そのウィンドウで操作を行うことができます。ウィンドウで[ヘルプ]ボタンをクリックすると、そのウィンドウについての情報が得られます。
[身分証明書]にある次のボタンは、証明書を選択する必要がありません。これらのボタンを使って、次の操作を行うことができます。
スマート カードに保存されている証明書をバックアップすることはできません。証明書を選択して[バックアップ]や[すべてバックアップ]をクリックしても、作成されるバックアップ ファイルには、スマート カードやその他の外部セキュリティ デバイスに保存されている証明書は含まれません。 バックアップできるのは、内部ソフトウェア セキュリティ デバイスに保存されている証明書だけです。
これらの操作の詳細については、証明書マネージャの[ヘルプ]ボタンをクリックするか、「身分証明書」を参照してください。
Web サイトによっては、証明書を使って、身元を証明するものがあります。Web サイトが情報を暗号化してサイトとコンピュータの間でその情報を転送する前に、証明が必要になります。それにより、誰も転送中のデータを読むことができなくなります。
Web サイトの URL が https:// で始る場合、その Web サイトには証明書があります。そういった Web サイトにアクセスしたとき、サイトの証明書が、証明書マネージャが知らないまたは信頼しない認証局によって発行された場合、サイトの証明書を受け入れるかどうかを尋ねられます。新しい Web サイトの証明書を受け入れると、証明書マネージャによって Web サイト証明書のリストにその証明書が追加されます。
ブラウザで使用できる Web サイトの証明書をすべて表示するには、証明書マネージャ ウィンドウの一番上にある[Web サイト]タブをクリックします。
Web サイトの証明書に操作を行うには、証明書をクリック(複数の証明書を選択する場合は、Shift キーを押したままクリック)し、[表示]、[編集]、[削除]ボタンのいずれかをクリックします。これらのボタンにより、別のウィンドウが表示され、そのウィンドウで関連する操作を行うことができます。
[編集]ボタンでは、選択した Web サイトの証明書を今後ブラウザが信頼するかどうかを指定します。
詳細については、証明書マネージャの[ヘルプ]ボタンをクリックするか、「Web サイトの証明書」を参照してください。
一般的な身分証明書と同じように、証明書は、それを発行することが認められた組織によって発行されます。証明書を発行する組織は、認証局(CA)と呼ばれます。認証局(CA)の身元を証明する証明書は、認証局証明書と呼ばれます。
証明書マネージャは、一般に多数の認証局証明書をファイルとして持っています。これらの認証局証明書により、証明書マネージャが対応する認証局によって発行された証明書を認めて操作できるようになります。ただし、このリストに認証局証明書があるからといって、発行された証明書が信頼できるとは限りません。自分でまたはシステム管理者が、セキュリティの必要性に基づいて、どの証明書が信頼できるかを判断する必要があります。
ブラウザで使用できる認証局証明書をすべて表示するには、証明書マネージャ ウィンドウの一番上にある[認証局]タブをクリックします。
認証局証明書に操作を行うには、証明書をクリック(複数の証明書を選択する場合は、Ctrl キーを押したままクリック)し、[表示]、[編集]、[削除]ボタンのいずれかをクリックします。これらのボタンにより、別のウィンドウが表示され、そのウィンドウで操作を行うことができます。ウィンドウで[ヘルプ]ボタンをクリックすると、そのウィンドウについての情報が得られます。
[編集]ボタンでは、それぞれの証明書の信頼設定を表示および管理できます。認証局証明書の信頼設定を使って、認証局によって発行されたどの種類の証明書を信頼できるかを指定できます。
詳細については、証明書マネージャの[ヘルプ]ボタンをクリックするか、「認証局」を参照してください。
スマート カードは、一般に、マイクロプロセッサを搭載したクレジット カード程度の小さなデバイスで、日本では IC カードと呼ばれています。 スマート カードには、秘密キーや証明書などの暗号情報が保存され、暗号処理を実行する機能が備わっています。
スマート カードを使用するには、通常、コンピュータにスマート カード リーダー(ハードウェア)が接続されており、リーダーを管理するソフトウェアがインストールされている必要があります。
スマート カードは、セキュリティ デバイスの 1 つです。セキュリティ デバイス(トークンとも呼ばれる)は、ユーザの身元に関する情報を暗号化して保存しておくハードウェアまたはソフトウェアです。デバイス マネージャを使って、スマート カードおよびその他のセキュリティ デバイスを操作します。
このセクションの内容: |
デバイス マネージャは、使用可能なセキュリティ デバイスをウィンドウに表示します。デバイス マネージャを使って、スマート カードなどの PKCS(Public Key Cryptography Standard) #11 をサポートするセキュリティ デバイスを管理できます。
PKCS #11 モジュール(セキュリティ モジュールとも呼ばれる)は、ソフトウェアのドライバがプリンタやモデムのような外部デバイスを制御するのと同じように、いくつかのセキュリティ デバイスを制御します。スマート カードをインストールする場合は、お使いのコンピュータにスマート カード用の PKCS #11 モジュールをインストールし、それをスマート カード リーダーに接続する必要があります。
デバイス マネージャは、3 つのセキュリティ デバイスを管理する 2 つの内蔵 PKCS #11 モジュールを標準で制御します。
このセクションでは、デバイス マネージャを表示しているものとして説明します。
デバイス マネージャは、使用可能な PKCS #11 を太字で示し、モジュール名の下に各モジュールが管理するセキュリティ デバイスを表示します。
セキュリティ デバイスを選択すると、それに関する情報がデバイス マネージャ ウィンドウの中央に表示され、右側にあるボタンのいくつかが使用できるようになります。たとえば、[ソフトウェア セキュリティ デバイス]を選択すると、以下の操作を行うことができます。
これらの操作は、ほとんどのセキュリティ デバイスで行うことができます。ただし、Builtin Object Token または Generic Crypto Services では行えません。これらのデバイスは、常に使用可能にしておく必要がある特別なデバイスです。
スマート カードまたはその他の外部セキュリティ デバイスを使用する場合は、まずモジュール ソフトウェアをお使いのコンピュータにインストールし、必要に応じて、関連するハードウェアを接続する必要があります。この場合、ハードウェアに付属の説明書の指示に従ってください。
新しいモジュールをインストールしたら、以下の手順を実行して読み込みます。
指定した名前の付いた新しいモジュールがモジュール リストに表示されます。
PKCS #11 モジュールの読み込みを解除するには、その名前を選択して、[読み込み解除]をクリックします。
FIPS PUBS(Federal Information Processing Standards Publications)140-1 は、暗号化モジュール、つまり、データの暗号化と復号化、その他の暗号処理(デジタル署名の作成や確認など)を実行するハードウェアやソフトウェアを実装するためのアメリカ合衆国政府の規格です。アメリカ合衆国政府に対し販売される製品の多くは、FIPS 標準のいずれかの仕様に適合することが求められます。
ブラウザに対して FIPS を有効にするには、デバイス マネージャを使用します。
FIPS モードを無効にするには、[FIPS を使用しない]ボタンをクリックします。
SSL(Security Sockets Layer)プロトコルにより、暗号化された情報をインターネット上で別のコンピュータと交換することができます。転送中の情報はスクランブルされているため、誰も解読することができません。SSL は、証明書によって、インターネット上でコンピュータの身元を証明するためにも使われます。
TLS(Transport Layer Security)プロトコルは、SSL に基づく新しい基準です。ブラウザは標準で SSL と TLS の両方をサポートします。これにより、ブラウザは、どのバージョンの SSL または TLS でもサポートするインターネット上のおおよそのソフトウェアと動作するため、ほとんどの人に問題がありません。
ただし、場合によっては、システム管理者または知識が豊富なユーザが、特別なセキュリティの必要性や古いソフトウェアのバグ修正のために SSL 設定を調整しなければならないこともあります。
自分でその方法をよく知っているか、または誰か設定をよく知っている人が援助してくれるのでない限り、ブラウザの SSL 設定は変更しないようにしてください。どうしても変更する必要がある場合は、以下の手順を実行してください。
詳細については、[SSL]パネルの[ヘルプ]ボタンをクリックするか、「プライバシーとセキュリティ設定 - SSL」を参照してください。
「身分証明書を取得する」で説明したように、証明書は、運転免許証のような身分証明書で、インターネットやその他のネットワーク上で自分の身元を証明するために使用します。ただし、これも運転免許証と同様に、証明書は期限が切れたり、無効になることがあります。したがって、ブラウザ ソフトウェアは、与えられた証明書を信頼する前に、何らかの方法で有効性を確認する必要があります。
このセクションでは、証明書マネージャが証明書を確認し、そのプロセスを管理する方法について説明します。プロセスを理解するには、公開キー暗号化を多少知っている必要があります。証明書の使い方をよく知らない場合は、ブラウザの証明書確認の設定を変更する前に、システム管理者に相談してください。
このセクションの内容: |
証明書マネージャが保存している証明書を使用または表示するときは、いくつかの手順によって証明書を確認します。最低でも、証明書に記された認証局のデジタル署名は、次の条件を備えた認証局によって作成されていなければなりません。1. 認証局の証明書が、証明書マネージャの使用可能な認証局証明書リストにある。2. 認証局の証明書の発行が確認され、信頼できるものとして記されていること。
認証局証明書自体がない場合は、認証局証明書の証明書チェーンに、信頼できる高レベルの認証局証明書が含まれている必要があります。また、確認中の証明書が証明書ストア内で「信頼されていない」になっていないことも確認します。これらのチェックに失敗すると、証明書マネージャは証明書を確認不可とし、その証明書が証明する個人情報を認識しません。
証明書はこれらのすべてのテストに合格しても、まだ認識されない場合があります。たとえば、権限のない人が証明書の秘密キーにアクセスできる場合、証明書は破棄されます。認識されない証明書では、権限のない人(または Web サイト)が証明書の所有者になりすますことができます。
証明書マネージャのこの問題を解決する 1 つの方法に、証明書破棄リスト(CRL)を確認プロセスの一部として確認する方法があります(以下の「CRL を管理する」を参照)。 通常、CRL はリンクをクリックしてブラウザにダウンロードします。 CRL が存在する場合、証明書マネージャは同じ認証局によって発行された各証明書をこのリストと比較して確認します。CRL の信頼性は、どのくらい頻繁にサーバが CRL を更新して、クライアントが確認するかによって変わってきます。さらに、CRL のサイズによっては、この確認プロセスが遅れ、人によってはそれを待てないこともあります。
この問題に対応する別の方法としては、OCSP(オンライン証明書ステータス プロトコル)をサポートする特別なサーバを使う方法があります。こういったサーバは、個々の証明書に関するクライアントのクエリに回答します(以下の「OCSP に対して証明書マネージャを設定する」を参照)。OCSP レスポンダと呼ばれるサーバは、証明書を発行する認証局から、更新された CRL を定期的に受け取ります。証明書マネージャを設定して、OCSP レスポンダに証明書のステータス要求を送信し、OSCP レスポンダは証明書が有効かどうかを確認することができます。
証明書破棄リスト(CRL)は、破棄された証明書のリストです。 認証局(CA)が証明書を無効にすることもあります。たとえば、証明書が認識されない場合です。これは、クレジット カード会社にクレジット カードの盗難届けを出すと、そのカードが無効になるのと同じような状況です。
最新の CRL は、認証局からブラウザにダウンロードできます。 CRL をダウンロードするには、通常、認証局またはシステム管理者が指定する URL にアクセスし、リンクをクリックします。
ブラウザは CRL を使用して、認証局が発行した証明書が有効かどうかを確認します。 破棄された証明書としてリストされている場合、ブラウザはその証明書を識別の証明として受け入れません。
通常、認証局は更新された CRL を定期的に公開します。 各 CRL には、[次の更新]フィールドに日付が指定されています。これは、認証局がその CRL の次の更新を公開する日付です。 [次の更新]フィールドの日付が現在の日付より古い場合は、最新バージョンの CRL を取得する必要があります。
最新バージョンの CRL が存在しないために証明書が無効になることはありませんが、ブラウザが証明書を正しく処理できない場合があります。 場合によっては、[次の更新]フィールドの日付が現在の日付より古い CRL を削除する必要があります。 CRL 管理の詳細については、システム管理者に問い合わせてください。
ブラウザで使用できる CRL は、[次の更新]フィールドの日付を含め、ブラウザの[確認]設定を使用して表示および削除できます。
[確認]パネルで[CRL の管理]をクリックすると、証明書マネージャで使用できる CRL のリストが表示されます。
CRL を削除するには、それを選択して[削除]をクリックします。
CRL を管理する設定は、[確認]設定にあります。[確認]設定を表示するには、以下の手順を実行します。
OCSP のオプションについては、「プライバシーとセキュリティ設定 - 確認」を参照してください。
2001 年 8 月 31 日
Copyright 1994-2001 Netscape Communications Corporation.