証明書のインストール
Question
ある取引先が電子メールでテキスト形式のデジタル証明書を送ってきました。FTPS で取引先とファイル交換するにはその証明書をインストールする必要があるそうです。*SYSTEM 証明書ストアを Digital Certificate Manager (DCM) にセットアップしました。TCP/IP FTP クライアントの証明書割り当てを更新しようとすると、DCM's Manage Applications、Update certificate assignment、Client メニューに「No certificates are available for selected request type (選択した要求タイプの証明書がありません)」というメッセージが表示されます。何がいけないのでしょうか。
Answer
どうやらクライアント証明書ではなく、認証局 (CA) 証明書のようですね。そのため、別の場所にインストールする必要があるのです。SSL サーバーに接続すると、サーバーは常にその公開証明書をあなたに送信します。これは SSL プロトコルの基本的な部分です。あなた (クライアント) は、この公開証明書を検査することでそのサーバーを信頼するかどうか判断することになっています。
では、どうやったらその証明書、つまりサーバーが信頼できるかわかるのでしょうか。SSL は「私が信頼する人があなたを保証するなら、あなたは信頼できる」というアプローチを採用しています。結局、SSL は元々 Web 向きに作成されました。インターネット上にあらゆる Web ページを暗号化して認識するようブラウザーを手動で設定したいと思っている人などいません。それを行うには永遠に時間が必要ですし、数十億を超えるサイトがある中で、あっという間にディスク・スペースがなくなってしまいます。混乱するだけでしょう。ですから、一握りの特殊な証明書を信頼するよう SSL クライアントを設定すればよいだけで、その一握りがその他を「保証する」のです。保証されないものは、信用できないと見なされ、接続するべきではありません。
「保証」は実際、暗号方式の言葉でサイン・インと呼ばれています。その他を署名するのに使用する特殊な証明書は、認証局、略して CA と呼ばれています。信頼のおける証明書が必要なユーザーは、多数の公開商用 CA のいずれかに申請することになっています。CA は多少の下調べをして、申請が正当なものであり、申請者が申請どおりの者であることを確認します。すべてクリアすると、CA はその申請者の証明書を作成し、署名します。それには公開鍵暗号方式を使用します。CA の証明書がある場合、CA が本当に申請者の証明書を発行したことを、暗号化方式を使用して確認できます。証明書が正真正銘 CA により発行されたことがわかれば、証明書の所有者を信頼できます。
公開署名プロセスの代替方法として、自己署名証明書を使用する方法があります。この場合、証明書の作成者が自分自身の専用 CA をセットアップして、証明書を発行します。彼等は自分の CA 証明書をあなたに送付し、SSL の CA 証明書データベースにあらかじめインストールされた一握りの特殊証明書に追加します。その証明書の中では、その証明書に署名した人が記載されています。SSL 経由で、後でベンダーに接続し、その公開証明書を受信する場合、システムは DCM に署名者の CA 証明書がないかどうか検索し、あると想定して、ベンダーの専用 CA により署名されているため、信頼できると暗号化方式を使用して証明します。FTPS は暗号化 SSL セッションを確立し、通信を開始します。したがって、ベンダーなど自分自身の CA の役割を果たしている他者と作業している場合、接続するには、その専用 CA 証明書を入手して、インストールする必要があります。
同様のメカニズムを使用してあなたをベンダーのサーバーに認証させる、このプロセスに対する別のオプション・レイヤーがあります。いったん正常に接続したら、リモート FTPS サーバーは任意にクライアント証明書を要求できます。これは、その開発時に後で SSL プロトコルに追加されたもので、プロトコルの中核部分ではありません。SSL 接続の大部分で、クライアント証明書は使用しませんが、ハイ・セキュリティーな状況によっては、クライアントがサーバーを信頼する必要があるのと同程度に、サーバーはクライアントを信頼しなければならない場合があります。したがって、クライアント証明書を送付でき、サーバーはそれを受け取るかどうか判断できます。
実際ベンダーが、あなたにクライアント証明書を使用させたいと思っている場合、ベンダーから CA 証明書とクライアント証明書の 2 つの証明書を受け取っているはずです。1 つだけ受け取った場合は、CA 証明書の確率が高いです。これは、DCM の CA インポート機能を使用してインストールする必要があります。次に FTP クライアントのアプリケーション・プロファイルに移動し、トラステッド CA とマークを付けます。
