前のページ 目次 次のページ

 


3.2  認証局および周辺要素

3.2.1  構成要素

PKI は、CA をはじめとするいくつかの要素から構成されています(図 3-4)。

図 3-4 PKI 構成要素

以下に、PKI を構成する主な要素を解説します。

(1)  認証局 (CA: Certification Authority)

証明書所有者(Certificate Holder)に証明書を発行します。

  • エンドエンティティ(End Entity) [35] に対して、公開鍵と対応する秘密鍵の所有者を結びつける証明書(公開鍵証明書)を発行します。
  • 発行した証明書の信頼性が失われた場合は、その証明書を失効させ、証明書失効リスト (CRL) を発行します。
  • 証明書利用者が取得できるように、証明書と CRL をリポジトリに公開します。

(2)  登録局 (RA: Registration Authority)

PKI を大規模で運用する際に、発行権限の分散管理を可能にして運用コストを削減します。

  • PKI ユーザからの証明書申請が発生した場合に、本人性の確認を行います。
  • CA に対して証明書の発行や失効を要求します。

(3)  リポジトリ (Repository)

証明書および CRL を格納し、PKI ユーザへ公開します。

  • CA が発行した証明書や CRL を格納します。
  • 証明書や CRL を証明書利用者が検索して取得をできるようにします。

(4)  アーカイブ (Archive)

証明書の長期保存や秘密鍵のバックアップを行います。

  • 電子署名の長期保存に適用するため、有効期限が切れた証明書や CRL を保持します。
  • 暗号目的で利用される秘密鍵のバックアップを行います。

(5)  証明書所有者 (Certificate Holder)

証明書を発行される人(エンティティ)を指します。加入者 (Subscriber) ともいいます。証明書および対応する秘密鍵を用いて、電子文書へのデジタル署名や暗号文の復号を行います。

  • RA へ証明書の申請を行います。
  • 証明書に対応する秘密鍵を安全に保持し、デジタル署名や暗号文の復号に使用します。

(6)  証明書利用者 (Relying Party)

証明書所有者の証明書を入手し、デジタル署名の検証や文書の暗号化を行います。

  • 信頼できる CA (トラストポイント) の一覧を安全に管理します。
  • リポジトリから証明書や CRL を取得し、それらの有効性を検証します。
  • 取得した証明書を使い、署名検証や文書の暗号化を行います。

前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.