最終更新日:2005年 4月22日
複数の CA を階層型に構成する方式を、「階層型モデル」といいます。階層型モデルの頂点に位置する CA を「ルー ト CA (Root CA)」といい、ルート CA に よって証明される CA を下位 CA(下位認証局)といいます。ルート CA は、下位 CA の証明書を発行し、下位 CA は、さらに下位の CA に証明書を発行します(図 5-6)。
図 5-6 階層型モデル
上図において、CA01 を信用する R1 が H1 の証明書を検証する場合、構築される認証パスは「CA01→CA11→CA21→H1」となります。
「CA の証明書」と「証明書所有者の証明書」の区別は、拡張領域の「基本制限 (basicConstraints) フィールド」において行われます。また、 基本制限フィールドにおいては、下位の CA の深さも指定できます。
下位の CA が持つことができる CP の種類は、「ポリシー制限 (Policy Constraints) フィールド」において制限できます。
階層型モデルにおける認証パスは、上位の CA に向かって順にたどることで構築できるため、クライアントでの処理が容易です。証明書利用者は、ルート CA の証明書を信用点として保持しておくことで、ルート CA を基点とするすべての CA から発行された証明書を検証できます。そのため、大規模な PKI において、しばしばこのモデルが採用されています。
しかし、階層型モデルにおいては、上位の CA のポリシーが下位の CA に継承されていくため、異なるポリシーの組織同士を接続することが難しくなっています。また、万一 、ルート CA の信用が失われると、配下の全ての下位 CA の信用も失われてしまいます。
前のページ 目次 次のページ Copyright © 2005 Information-technology Promotion Agency, Japan. All rights reserved.