PKI(Public Key Infrastructure)とクライアント証明書
PKI(Public Key Infrastructure)認証とは
PKI(Public Key Infrastructure・公開鍵基盤)認証は、BtoBなどインターネットを利用した取引において、なりすましや改ざん、盗聴その他のリスクを回避し、安全な取引を確保するため、電子署名と暗号技術を用いて、相手が正しい取引相手かどうか(本人認証)を厳密に行う方式です。しくみとしては、正しい本人であることを証明する必要のある者が、信用できる第三者機関の「認証局(CA: Certification Authority)」に申請して公開鍵証明書(有効期限あり)を発行してもらい、その証明書発行申請者が本人であることを確認した「登録局(RA: Registration Authority)」によりデータベースに登録されます。
PKI(Public Key Infrastructure)による電子認証
- 本人認証を行いたい者が、取引相手に大して自分のみが所有する私有鍵(秘密鍵)で作成した署名を送ります。
- 受け取った相手は、送信者の公開鍵証明書(公開鍵)から作成者の署名を検証し、相手を確認することができます。
クライアント証明書とは
クライアントの身元を証明し、サーバー側がクライアントの身元を確認する為に使用します。そのため、クライアントは、あらかじめ認証局の公開鍵証明書を自分のPCにインストールしておきます。
クライアント証明書による電子認証
- サーバー側は、SSL接続を受け付けるとサーバー証明書を送り返します。同時にクライアント証明書を要求します。
- クライアントは、サーバーの公開鍵証明書からサーバー証明書を確認し、自分の秘密鍵を用いて電子署名を生成し、クライアント証明書とともに送り返します。
- サーバー側は、クライアント証明書の公開鍵を使って電子署名を検証します。
