公開鍵暗号方式は、通信相手の公開鍵を使って暗号化を行います。この方式は鍵の秘密性を確保しなくて良いのが利点ですが、鍵を作成したのが本当に通信相手なのかを確認する手立てがありません。
　そこで、この鍵の正当性を保証するため、後述する認証局などが発行する鍵の証明書（デジタル証明書）を利用します。この証明書には、通信相手の情報と公開鍵そのもの、認証局の情報、さらに証明書の正当性を保証するために付与した認証局のデジタル署名などの情報が含まれます。

　上図は、「特定ユーザー情報」、「特定ユーザーの公開鍵」、「公開鍵の利用認証局名」の情報を記載するとともに、認証局のデジタル署名生成手段（それらの情報をハッシュ関数でダイジェストを生成し、認証局の鍵(秘密鍵)で暗号化する）にて「認証局のデジタル署名」として作成し、併せて記載して全体をデジタル証明書としたものです。
　

コース （A  B  C  D  E）

暗号化された通信を特定企業内などの狭い範囲で利用している場合、認証局は1つで十分です。  しかし、グローバルな通信環境で通信する場合、認証局の選択が問題になってきます。すべての認証局が、世界中の利用者の正当性を保証する情報をもつことは不可能といえます。世界統一の認証局が設立されれば、問題は解決しますが、この方法は難しいといえます。
　そこで、認証局同士の信頼関係によってこれを解決する方法が、証明書パスです。
　この方法では、特定ユーザーの正当性を保証する情報は、どこか信頼できる特定の認証局にあればよく、あとは特定の認証局を別の信頼できる認証局が保証するというチェイン連携で、鍵の正当性が保証されることになります。

　上図は、公開鍵がyamadaのものであるか確認する場合に、認証局Aが発行したデジタル証明書１を見ると認証局Bがチェインされており、認証局Bが発行したデジタル証明書2を見ると認証局Cがチェインされており、認証局Cではyamadaが認証されています。これによって、信頼関係が確保されたことになります。
　

コース （A  B  C  D  E）

認証局同士（またはユーザー）の信頼を確立するためには、分散する認証局を一元管理する方法が必要になります。通常このような分散環境の一元化には、階層構造をもったディレクトリサービスが利用されます。X.500ディレクトリサービスとは、上図のような階層構造をITU-T（国際電気通信連合-電気通信標準化部門）が国際標準として制定したものです。ディレクトリ概念やその階層構造、サービスやオブジェクトの定義などがルール化されています。
　証明書の情報にこのサービスを利用すれば、世界統一規格によって認証局やユーザーの正当性を保証することが可能になります。

　上図のようなディレクトリサービスを定義した場合、ユーザー名Yamadaを特定するためには、Root→Japan→ddd.Inc→Yamadaの流れとなります。
　Root以下のJapan、ddd.Inc、Yamadaなどのエントリーが相対識別名（RDN）であり、これらを並べて表記したものが識別名(DN)となります。
　識別名(DN)は次のように表現できます。
　DN=｛C=Japan,O=ddd.Inc,CN=Yamada｝
　さらに、Yamadaには個別の識別情報(名前、電話番号、メールアドレス、肩書きなど)が含まれています。
　

コース （A  B  C  D  E）

LDAP（Lightweight Directory Access Protocol）は、TCP/IPネットワーク上でディレクトリデータベースにアクセスするためのプロトコルです。
　ディレクトリデータベースとしてX.500ディレクトリサービスなどがあり、これに対してクライアント・サーバーモデルで連携し、クライアント・サーバー間で要求と回答を送受信することにより、データベースから必要な情報を入手し、認証や検索や比較などを行うことができます。
　このプロトコルは、特にディレクトリに対する対話的な読込み・書き込みアクセスを提供する管理アプリケーションやブラウザアプリケーション向けに提供されています。従って、Webブラウザやメールソフトウェアなどからも簡単に利用できるように簡素化したプロトコルとして提供されています。このプロトコルでメールなどを送信するときに使用するアドレス帳として、PCの中のデータではなくLDAPサーバーからアドレス帳データを検索獲得することも可能となります。

　また、TCP/IP上で動作しAPI(アプリケーション・プログラミング・インタフェース)がはっきり規定されており導入が簡易などの利点がありますので、ユーザー認証の共通基盤としてLDAPを使用するものが多数あります。例えば、UNIX/Windows OSやWebサーバーのログイン時のユーザーIDとパスワードのチェックにもLDAPが使用されています。マイクロソフト社ではActive DirectoryでLDAPを採用しています。

　なお、大規模システムにおいては、一つ以上のディレクトリデータベースサーバーが、LDAP ディレクトリツリーあるいは LDAP バックエンドデータベースを構成してデータを保有しています。 LDAP クライアントは LDAP サーバーに接続し、そのサーバーに対して問合せします。サーバーは回答を返すか、クライアントがさらに情報を探し出せる場所への案内(通常は別のLDAPサーバー)を返します。これにより、最終的にクライアントは回答を得ることができる仕掛けになっています。
　

コース （A  B  C  D  E）

CA（Certification Authority）とは、認証局または認証機関を示し、電子メールやWebページなどにデジタル署名を付ける時に添付する公開鍵やIDの証明書などを発行するサーバーや機関を表します。
　電子メールなどのメッセージに対して、デジタル署名を付けると、メッセージ作成者が正しく本人であることや、メッセージが改ざんされていないことが確認できます。
　この確認には、一般に公開鍵を使いますが、CAが発行する証明書は、この公開鍵の正当性を保証するものです。

　日本のCAには、政府認証基盤のもとで「府省認証局」があり、これらを束ねる「ブリッジ認証局」があります。さらに民間系のCAとして、いくつかの法人の民間認証局があります。これらが、相互認証を行うことができますので、これらの認証のもとで電子文書の相互送受信が可能になっています。

　なお、代表的な民間認証局として、下記のようなCAがあります。

コース （A  B  C  D  E）

PKI（Public Key Infrastructure）は、公開鍵基盤と訳され公開鍵暗号技術と電子署名を使って、インターネットや特定ネットワークを安全な通信ができるようにするための環境をあらわします。
　ECやEDIといったネットワーク上での商取引が本格化してくると、なりすましやデータの盗聴、改ざんといった危険性が浮き彫りになってきます。PKIはこうしたリスクをなくすネットワークインフラの技術です。

　利用者は、ネットワーク上で自分の身分証明書を作成して、相互に信頼関係を結ぶことによって、信頼の下での商取引が可能となります。
　この身分証明書のことを「証明書」と呼び、この入手・利用方法は以下のとおりです。

　利用者は、登録局に証明書発行を申請します。
　登録局は本人確認の他、クレジットカードによるサービス等何らかの権限付与を行うことがあります。登録局はそういった権限付与を行っている自治体やカード会社・銀行、さらに高度な情報技術や設備あるいは暗号等の技術をもっているシステムインテグレータやコンピューターベンダーなどがその役割を担うことがあります。
　登録局は、登録を申請した利用者が間違いなく本人であり、登録局の要求する認証条件を充足しているかどうかを確認した後、認証局へ証明書の発行を依頼します。
　ディレクトリ（リポジトリ）は、認証局が発行した証明書を集中管理して利用者に配布する役割を持ちます。
　利用者は、お互いに信頼できる認証局が発行した証明書を入手して、証明書の公開鍵を取り出して情報を暗号化します。暗号化された情報は、相手が持つ秘密鍵以外では解読できないことになりますから安心して商取引などができることになります。
　

コース （A  B  C  D  E）

コース （A  B  C  D  E）