前のページ 目次 次のページ

 


6  証明書の配布・交換

本章では、証明書を PKI ユーザに配布・交換する必要性について取り上げ、「個人配布モデル」、「イン・バンド・プロトコルモデル」、「リポジトリの利用」の 3つの配布モデルについて解説します。

「リポジトリの利用」では、代表的なリポジトリとして、LDAP, X.500 などのディレクトリを中心に解説します。

6.1  概要

デジタル署名を検証 [64] する場合、検証者 [65] は署名者の証明書を何らかの方法で取得し、署名の検証を行います。また、通信の暗号化を行う場合、送信者は受信者の証明書を何らかの方法で取得し、証明書に含まれる公開鍵を用いて暗号化処理を行います。

また、検証者や送信者などの証明書利用者(Relying Party) は、取得した証明書が失効されていないことを確認しなければなりません。証明書の失効状態を確認するためには、証明書失効リスト(CRL)の取得、オンラインでの証明書検証 (OCSP) といった方法があります [66] が、CRL を用いる場合は、証明書利用者は証明書を利用する時点での最新の CRL を取得しなければいけません。

このため、PKI においては、証明書や CRL を証明書利用者に配布する仕組みが必要になります。証明書および CRL を証明書利用者に配布する手段としては、以下の 3種類があります。 :

(1)  個人配布モデル

証明書や CRL を個人間で直接配布する方法です。

(2)  イン・バンド・プロトコルモデル

証明書を利用するプロトコル上で、証明書や CRL を配布する方法です。

(3)  リポジトリ [67] の利用

サーバー上に証明書や CRL をまとめて格納し、証明書利用者が必要に応じて参照する方法です。

次節以降においては、それぞれの配布方法について解説します。


前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.