PKI は、CA をはじめとするいくつかの要素から構成されています(図 3-4)。
図 3-4 PKI 構成要素
以下に、PKI を構成する主な要素を解説します。
(1) 認証局 (CA: Certification Authority)
証明書所有者(Certificate Holder)に証明書を発行します。
- エンドエンティティ(End Entity) [35] に対して、公開鍵と対応する秘密鍵の所有者を結びつける証明書(公開鍵証明書)を発行します。
- 発行した証明書の信頼性が失われた場合は、その証明書を失効させ、証明書失効リスト (CRL) を発行します。
- 証明書利用者が取得できるように、証明書と CRL をリポジトリに公開します。
(2) 登録局 (RA: Registration Authority)
PKI を大規模で運用する際に、発行権限の分散管理を可能にして運用コストを削減します。
- PKI ユーザからの証明書申請が発生した場合に、本人性の確認を行います。
- CA に対して証明書の発行や失効を要求します。
(3) リポジトリ (Repository)
証明書および CRL を格納し、PKI ユーザへ公開します。
- CA が発行した証明書や CRL を格納します。
- 証明書や CRL を証明書利用者が検索して取得をできるようにします。
(4) アーカイブ (Archive)
証明書の長期保存や秘密鍵のバックアップを行います。
- 電子署名の長期保存に適用するため、有効期限が切れた証明書や CRL を保持します。
- 暗号目的で利用される秘密鍵のバックアップを行います。
(5) 証明書所有者 (Certificate Holder)
証明書を発行される人(エンティティ)を指します。加入者 (Subscriber) ともいいます。証明書および対応する秘密鍵を用いて、電子文書へのデジタル署名や暗号文の復号を行います。
- RA へ証明書の申請を行います。
- 証明書に対応する秘密鍵を安全に保持し、デジタル署名や暗号文の復号に使用します。
(6) 証明書利用者 (Relying Party)
証明書所有者の証明書を入手し、デジタル署名の検証や文書の暗号化を行います。
- 信頼できる CA (トラストポイント) の一覧を安全に管理します。
- リポジトリから証明書や CRL を取得し、それらの有効性を検証します。
- 取得した証明書を使い、署名検証や文書の暗号化を行います。
前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.