ルート証明書の正当性を確認する方法

###実現したいこと
ルート証明書の正当性を確認する方法を知りたい。

###現状
BigIPでは対象VirtualServerにSSL Profile (Client)の欄にサーバ証明書を設定しています。

###ルート証明書の発行フロー
証明書の全体像の話はここでは割愛させていただきまして、本件に関係するルート証明書の発行フローだけ抜粋して記載しますと、
BigIPからWindowsPCへ送られてきたサーバ証明書はBigIPの秘密鍵で暗号化され、公開鍵を添付して送られてきた状態であると認識しております。
そして、WindowsPCは受け取ったサーバ証明書を公開鍵で復号し、WindowsPCの秘密鍵で暗号化したものがルート証明書になると認識しております。
ルート証明書は送られてくるサーバ証明書の正当性を担保するためのものだと理解しております。
よって、サーバ証明書とルート証明書は復号化した状態では中身が一致する認識です。

###質問内容
①ルート証明書を発行するためにBigIPからWindowsPCへサーバ証明書を送り、秘密鍵で暗号化し、「信頼されたルート証明機関」の欄に適用したいと考えているのですが、具体的な方法が分かりません。

②サーバ証明書とルート証明書のどちらも復号化した状態では、中身は一致する認識なのですが、間違っていますでしょうか。確認してみたいのですが、復号化する方法が分かりません。

上記の認識で何か間違いはありますでしょうか。

設定方法に関するアドバイス、もしくは、何か参考URLなどでもありましたら情報いただけますと助かります。

以上、よろしくお願いいたします。

行動規範の内容に同意します

回答2件

BigIPからWindowsPCへ送られてきたサーバ証明書はBigIPの秘密鍵で暗号化され、公開鍵を添付して送られてきた状態であると認識しております。

各ノード間で証明書のやり取りは発生しません。
PKIにおいてはデータのやり取り時に公開鍵で暗号化され秘密鍵で復号化されます。

①ルート証明書を発行するためにBigIPからWindowsPCへサーバ証明書を送り、秘密鍵で暗号化し、「信頼されたルート証明機関」の欄に適用したいと考えているのですが、具体的な方法が分かりません。

自己証明局を構築することをいわれていますか?
それとも、自己証明局、またはWindowsでデフォルトに用意されている信頼された証明機関外の証明局を信頼するための設定のことを言われていますか?
後者であれば他ご回答者様の回答の通りですが、ご記載頂いている文面からは何をしたいのかが読み取れずにおります。

②サーバ証明書とルート証明書のどちらも復号化した状態では、中身は一致する認識なのですが、間違っていますでしょうか。確認してみたいのですが、復号化する方法が分かりません。

こちらも他ご回答者様の言われている通り、証明書に関しては暗号/複合化は発生しません。
ただし、WindowsPCに導入するためにバイナリ形式に変換する等はあります。
この場合、記載内容は閲覧できなくなるため、形式を変更した上で中身を見ることが可能です。
ちなみにルート証明書とサーバ証明書は別物です。中身は一致しません。

「PKI 仕組み」等で検索すればご期待のサイトが見つかるはずです。

投稿2019/06/04 08:21

over

総合スコア4309

narururu

2019/06/12 12:30

ご回答ありがとうございます！overさん☺ 「自己証明局、またはWindowsでデフォルトに用意されている信頼された証明機関外の証明局を信頼するための設定のことを言われていますか?」 →はい、そのことを申しております。ルート証明書とサーバ証明書の中身は別物なんですね。。。正当性を担保するものだということで、中身は一致するものだと勘違いしておりました。証明書の仕組みについて、私はまだきちんと理解できていないようなので、改めて勉強します。ご回答ありがとうございました。

行動規範の内容に同意します