SSLに関する補足説明
ページ数の制約から,より詳しく説明したい部分を補足説明します。SSL(Secure Sockets Layer)による暗号化通信では,WWWサーバ認証のみの方式と,WWWサーバ認証とクライアント認証の両方を行う方式があります。平成13年度秋期初級シスアド試験の午後問4では,WWWサーバ認証のみの方式が出題されました。その問題の"図1 SSL暗号化通信の流れ"(下図参照)をベースに,SSLによる暗号化通信の流れを解説します。
| (1) | SSLを採用しているサーバにアクセスします。 |
| (2) | SSLを採用しているWWWサーバから,アクセスしたWWWブラウザに暗号化通信に関する問い合わせ情報が送られ,合致する暗号化通信方式の中で最もセキュリティの高い方式(下図参照)を採用するよう決定します。 |
| (3) | SSLを採用しているWWWサーバが,自分を証明するサーバ証明書を送ります(下図参照)。サーバ証明書には,認証局の情報(下図の「発行者」),認証したサーバ(下図の発行先),公開かぎなどが入っています。 |
| (4) | WWWブラウザが(3)で送られてきた公開かぎを使い,暗号化通信で利用する共通かぎを暗号化してWWWサーバに送ります。 |
| (5) | WWWサーバが,(4)で送られてきた暗号化された共通かぎを秘密かぎで復号し,共通かぎを取り出します。後は,共通かぎ方式による暗号化通信が始まり,WWWブラウザではSSLによる暗号化通信を示すかぎのマーク(下図参照)が表示されます。 |
このようにSSLでは,最初に公開かぎ方式を使って共通かぎを送り,以後共通かぎ方式による暗号化通信を行う,ハイブリッド方式を採用しています。
SSLでのサーバ証明書,クライアント証明書について
WWWブラウザ(Internet Explorer,Netscape Navigator)では,主要な認証局の証明書があらかじめ入っており,またダウンロード(Internet Explorerの用語表記ではインポート)することもできます。Internet Explorerでは,「ツール(T)」→「インターネットオプション(O)」→「コンテンツ」で,証明書の項目があります。そこで「証明書(C)」をクリックすると,WWWブラウザに入っている証明書が表示されます(下図参照)。
初級シスアド試験の範囲を超えますが,認証局は階層構成をとっており,最上位のルート認証局(上図のタブでは,「信頼されたルート証明機関」)や,それから認証を受けた下位認証局(上図のタブでは,「中間証明機関」)があります。これらは,最初から入っているものが多いです。
追加して入れる場合,図では「インポート」の操作でフロッピーディスク等から証明書をダウンロードできます。上図や下図のeBANKは,インポートしています。ちなみに下図の"kimura-kouichi"は,同じSSLでもWWWサーバ認証とクライアント認証の両方を行う方式のために作成した証明書で,自分の他のパソコンにもエクスポートしています。
「初級シスアド受験マニュアル」サポート情報のページに戻る