Red Hat Linuxのインストールプログラムを使用してセキュアWebサーバーをインストールした場合は、ランダム鍵とテスト証明書が生成され、適当なディレクトリの中に保存されています。ただし、セキュアサーバーの使用を開始する前に、独自の鍵を生成して、サーバーの身元を正しく示す証明書を取得する必要があります。
セキュアWebサーバーを運用するためには鍵と証明書が必要です。自己署名証明書を作成しても、署名付き認定書をCAから購入してもかまいません。では、この2つの違いは何でしょうか。
CAの署名付き証明書は、サーバーに対して2つの重要な機能を提供します。
通常、ブラウザはユーザーの介入なしに、証明書を自動的に認識して安全な接続の確立を許可します。
CAが署名付き証明書を発行する場合、CAはブラウザに対してWebページを提供する組織の身元を証明していることになります。
貴社のセキュアWebサーバーを公衆アクセスの対象とする場合は、貴社のWebサイトを訪問する人々が「このWebサイトの所有者の身元は証明されている」と信用できるようにするために、CAの署名付き証明書が必要となります。証明書に署名する前に、CAは証明書を要求した組織の身元が、本当にその組織の主張したとおりのものであることを検証します。
SSLをサポートするWebブラウザのほとんどは、自動的に受け付けられる証明書の発行元であるCAの一覧を持っています。この一覧に記載されないCAによって発行された証明書に遭遇した場合、ブラウザはその接続を受け付けるのか断るのかを選択するようにユーザーに求めます。
セキュアWebサーバーの自己署名証明書を生成することができますが、自己署名証明書はCA 署名の証明書と同じ機能を提供しないことを認識しておいてください。自己署名証明書は、ユーザーのブラウザに自動的に承認されないとともに、自己署名証明書はWebサイトを提供する組織の身元を保証するものではありません。CA署名の証明書はセキュアサーバーにとって重要なこれら両方の機能を提供します。セキュアサーバーを生産環境で使用する場合は、おそらくCA署名の証明書が必要となります。
CAから証明書を取得するためのプロセスはとても簡単です。以下にその概要を示します。
暗号用の秘密鍵と公開鍵の組を作成します。
公開鍵に基づいて認定要求を作成します。認定要求には、サーバーとそのサーバーをホストする会社に関する情報が含まれます。
認定要求を、身元を証明する文書と共にCAに送付します。Red Hatはどの認定機関を選択すべきか述べることはできません。その決定は、おそらく過去の経験、または友人や同僚の経験に基づいて行われるでしょう。あるいは純粋に金銭的な要素に基づくかもしれません。
CAの一覧を表示するには、 Navigator ツールバーの [セキュリティ] ボタンまたはウィンドウの左下にあ鍵アイコンをクリックし、次いで [署名者] を選ぶと、ブラウザが受け付ける証明書の署名者の一覧が表示されます。Web上でCAを検索することもできます。証明書を取得するCAを決定したら、それぞれの証明書取得マニュアルにしたがてください。
申請者の身元が、申請者の主張するとおりのものであると納得した場合、CAはデジタル証明書を送り返します。
この証明書をWebサーバー上にインストールし、安全な取引を開始します。
本ガイドの指示にしたがってCAから証明書を購入するか、自己署名証明書を作成した場合の最初の手順は、鍵を生成することです。鍵の生成に関する詳細についてはthe section called 鍵の生成を参照してください。