LinuCレベル3 303試験の出題範囲「325.1 X.509 証明書と公開鍵の基礎」の技術的内容についての解説をまとめました。
重要度 5 説明 X.509 証明書と公開鍵の基礎について理解していることが求められる。OpenSSLを使用しての認証局を作成したり、さまざまな目的にSSL証明書の発行する方法も含まれる。 主要な知識範囲 X.509 証明書、X.509 証明書のライフサイクル、X.509 証明書のフィールドおよびX.509v3 証明書の拡張についての理解。
トラストチェーンと公開鍵の基礎についての理解。
公開鍵と秘密鍵の生成と管理。
セキュアな認証局の作成と運用。
サーバー証明書とクライアント証明書の要求、署名、管理。
証明書と認証局の廃止。重要なファイル、
用語、ユーティリティopensslとそのサブコマンドOpenSSL の設定PEM, DER, PKCSCSRCRLOCSP
X.509証明書の概要
X.509証明書はサーバー認証、クライアント認証で使用されるデジタルドキュメントです。
- サーバー認証
- クライアント認証
- データ署名と暗号化
X.509 証明書は、ユーザー、コンピューター、サービス、またはデバイスを表すデジタル ドキュメントです。 証明機関 (CA)、下位 CA、または登録機関が X.509 証明書を発行します。 証明書には、証明書のサブジェクトの公開キーが含まれています。 サブジェクトの秘密キーは記録されていません。秘密キーは、セキュリティで保護された場所に保存する必要があります。 RFC 5280 は、フィールドと拡張機能を含む公開キー証明書を文書化したものです。 公開キー証明書はデジタル署名されており、通常、次の情報が含まれます。
証明書サブジェクトに関する情報
サブジェクトの秘密キーに対応する公開キー
発行元 CA に関する情報
暗号化やデジタル署名についてサポートされているアルゴリズム
証明書の失効と有効性の状態を判断するための情報
X.509証明書は公開鍵証明書の標準フォーマットです。
公開鍵の概要
秘密鍵と公開鍵については以下の引用分を理解しておきましょう。
「秘密鍵・公開鍵」は以下のような法則を持っています。
(A) 秘密鍵と公開鍵は1対で生成され、同じ対を再度生成するのは(理論上)難しい
(B) 公開鍵で暗号化した情報は、対となる秘密鍵で復号(情報の取り出し)できる
(C) 秘密鍵で暗号化した情報は、対となる公開鍵で復号できる(電子署名とも呼ぶ)
X.509証明書は、SSLでも使用されます。紛らわしいですが、SSH接続する際にもX.509を使用できます。LinuCレベル3 303ではSSLについて主に問われます。
X.509のフィールド
X.509証明書のフィールドと拡張フィールドについて出題されます。
X.509 v3 証明書には、証明書に任意の数の追加フィールドを追加できる拡張フィールドが含まれています。証明書拡張機能は、代替サブジェクト名や使用制限などの情報を証明書に追加する方法を提供します。
opensslコマンドの概要
opensslコマンドは、OpenSSLを管理するコマンドです。X.509証明書の作成も可能です。
以下はRed Hat Enterprise Linux 7系の公式ドキュメントです。
LinuC公式の例題の解説では以下のように説明されています。
opensslはSSL/TLSプロトコルを利用するために必要な機能を実装した暗号化ツールキットです。暗号化することで送信先と安全にデータのやり取りを行うことができます。
コマンドによる主な使い方としては以下の通りです。秘密鍵、公開鍵の作成
SSL/TLS接続の確認
証明書署名要求(CSR)の作成
自己証明書作成
証明書の検証
