ネットワークセキュリティ
X.509 証明書
別称: デジタル証明書, PKI 証明書
定義
信頼された CA の署名によって公開鍵と身元を結びつける、標準化されたデジタル証明書の構造。
X.509 は、TLS、S/MIME、コード署名、IPsec などインターネット上の公開鍵証明書の構文を定義する ITU-T 標準です。証明書には主体の識別名(DN)、公開鍵、シリアル番号、有効期間、発行者、署名アルゴリズム、発行者の署名、Subject Alternative Name、Key Usage、Extended Key Usage、Basic Constraints、CRL/AIA 配布点などの拡張が含まれます。依存当事者は証明書から信頼するルートまでのパスを構築し、各ステップで署名・有効期限・名前制約・失効状態を検証します。現在は v3 が用いられ、DER でエンコードされ、PEM 形式で配布されるのが一般的です。
例
- www.example.com 用に発行され、SAN に example.com と api.example.com を持つ TLS 証明書。
- Windows インストーラーの署名に使用されるコード署名用 X.509 証明書。
関連用語
公開鍵基盤(PKI)
ポリシー・ソフトウェア・ハードウェア・信頼された機関の総体で、身元と公開鍵を結びつけるデジタル証明書を発行・配布・検証・失効させる。
認証局(CA)
公開鍵をドメイン名や組織などの検証済みの身元と結びつけ、デジタル証明書を発行・署名する信頼された機関。
デジタル署名
メッセージや文書の真正性・完全性・否認防止を証明する公開鍵暗号方式のメカニズム。
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
自己署名証明書
外部の CA を介さず、証明書に含まれる公開鍵に対応する秘密鍵自身で署名されたデジタル証明書。
EV(Extended Validation)証明書
申請組織の法的身分・物理的存在・申請権限を CA が厳格な標準手続きで検証したうえで発行される TLS 証明書。