ルート証明書

このドキュメントの内容は、以下の通りです。

• はじめに
• ルート証明書とは
• ルート証明書のパッケージ
• ルート証明書の中身を確認する方法

はじめに

インターネットでは、暗号化通信やHTTPSが利用されています。暗号化通信では、SSLやTLSと呼ばれるものが利用されていました。通信を暗号化することで、盗聴を防ぐことができます。通信相手の真正性を確認することで、正しいサイトにアクセスしていることを確認できます。TLS/SSLでは、ルート証明書と呼ばれるファイルを利用して、サーバ証明書を検証しています。暗号化通信は、以前は、SSL (Secure Socket Layer, セキュアソケットレイヤー) が利用されていましたが、その後、 TLS に置き換えれます。

ルート証明書とは

ルート証明書(Root Cerificate)は、他から署名されていない、または、自分自身を署名した公開鍵証明書のことです。

デジタル証明書が正当なものであるかを調べるには、証明書の発行機関を調べ、その機関が信用できるかを確認するために、発行機関の証明書を調べ、再帰的に上位の証明局を辿ります。
この信頼の大元として使われる証明書をルート証明書と呼ばれます。

ルート証明書は、ユーザが必要に応じてインストールすることができるますが、通常は大手認証機関のルート証明書がOSやウェブブラウザなどに組み込まれています。Javaなどのミドルウェアなどに組み込まれているケースもあります。TLS/SSL対応のウェブブラウザは、VeriSign などの大手CAのルート証明書がバンドルされています。
アプリケーションによって参照するルート証明書が異なってくるので、注意が必要なケースがあります。

ルート証明書を発行した認証局をルート証明局(ルートCA)と呼ばれます。
PKIの認証局が自分自身を証明するために作る証明書もルート証明書です。自分で自分の証明書に電子署名を行います。それは、自己署名証明書とも呼ばれます。

ルート証明書のパッケージ

FreeBSD や Linux には、ルート証明書をインストールするパッケージがあります。

• FreeBSD は ca_root_nss を利用します。
• Ubuntu は ca-certificates を利用します。
• CentOS は ca-certificates を利用します。

ルート証明書の中身を確認する方法

ルート証明書は、 PEM certificates という形式で保存されていて、人間が見ても、何が入っているのか理解できません。 PEM 形式は、Base 64 で符号化されています。 BEGIN CERTIFICATE と END CERTIFICATE というので囲まれています。

OpenSSL コマンドを利用して、デコードして表示することができます。

openssl x509 -text -in /usr/share/ca-certificates/mozilla/Amazon_Root_CA_1.crt

---