証明書の実例

167 (4) デジタル署名+暗号化

To: Hiroyuki Sawano <[email protected] >

From: Taro Yamada <[email protected] >

Subject: Digital Sign And Digital Envelop MIME-Version: 1.0

Content-Type: application/x-pkcs7-mime; name="smime.p7m"

Content-Transfer-Encoding: base64

Content-Disposition: attachment; filename="smime.p7m"

Content-Description: S/MIME Encrypted Message

MIAGCSqGSIb3DQEHA6CAMIACAQAxgc8wgcwCAQAwdjBiMREwDwYDVQQHEwhJbnRlcm5ldDEX MBUGA1UEChMOVmVyaVNpZ24sIEluYy4xNDAyBgNVBAsTK1ZlcmlTaWduIENsYXNzIDEgQ0Eg LSBJbmRpdmlkdWFsIFN1YnNjcmliZXICEDiRxE/hAYLtFOrYVkpkXRMwDQYJKoZIhvcNAQEB

（中略）

BJ/HfTc8/7A5BBBpHHa3fZXWmE4T/uRhx4NiBDCGvxP7QFMih9lWyt6FPuCfmwwHJOrjqBkQ eORM8+HsW8F50a47Pk7VZ6cEBs7NXw8ECIhY5KF/fCVhAAAAAAAAAAAAAA==

168 OU = Terms of use at www.verisign.co.jp/rpa (c)03

OU = Application Service CA O = VeriSign Japan K.K.

証明書所持者名の公開鍵情報

アルゴリズムのID RSA(1024ビット)

公開鍵 30 81 89 02 81 81 00 B4 B6 30 57 A5 57 C9 40 9C

B4 DA 47 50 5B D3 13 6F 30 E4 1E 6F 36 97 5D 59

….

73 1A 05 67 D5 AC FF F1 06 86 4D EB 63 2F 57 70 X.509 V3 拡張

基本制限 Subject Type=End Entity Path Length Constraint=None

証明書ポリシー Policy Identifier=2.16.840.1.113733.1.7.23.1 [1,1]Policy Qualifier Info:

Policy Qualifier Id=CPS Qualifier:

https://www.verisign.co.jp/rpa キー使用法 Digital Signature , Key Encipherment(A0)

Netscape Cert Type SSL クライアント認証(80)

CRL配布ポイント URL=http://onsitecrl.verisign.co.jp/VeriSignJapanKKApplicationServ iceCA/LatestCRL.crl

拡張キー使用法 電子メールの保護 (1.3.6.1.5.5.7.3.4) クライアント認証 (1.3.6.1.5.5.7.3.2)

署名

アルゴリズムのID md5withRSAEncryption

署名データ 49 AB 1D AC 7A BF 6D 54 09 E0 53 0C DB CF 53 8E 32 7D 0E 1E EB 17 F9 A6 BC 5B 12 D2 8A 6D C3 DE

….

CC 7C 4B 47 A9 20 DA 31 3F B9 C6 50 46 26 31 36

7.3. 証明書チェーンの実例

階層形モデルのＣＡの構造をもつ証明書チェーンの例として、米国ベリサインの構造を以 下に示します。

169 米国ベリサインでは、セキュリティのレベルに応じて、クラス1～4の４つのルート認証 局が存在します。

それぞれのルート認証局を根として、以下のような階層構造が実現されています。

証明書を発行する際の本人確認の仕方などによって、Class1(簡易)～Class4(厳密)に分れ ています。例えば、Class1では受信したメール中の送信元メールアドレスと認証データ中 のメールアドレスが一致していれば、OKとなります。

図 7-2証明書チェーンの例

A) ルート証明書の所持者のX.500名前 OU = VeriSign Trust Network

OU = (c) 1998 VeriSign, Inc. - For authorized use only OU = Class 1 Public Primary Certification Authority - G2 O = VeriSign, Inc.

C = US

B) 中間のCAの証明書の所持者のX.500名前 CN = VeriSign Japan Class 1 CA - G2

OU = VeriSign Trust Network O = VeriSign Japan K.K.

170 C) 中間のCAの証明書の所持者のX.500名前

CN = Application Service CA

OU = Class 1 OnSite Individual Subscriber CA

OU = Terms of use at https://www.verisign.co.jp/rpa (c)03 OU = VeriSign Trust Network

O = VeriSign Japan K.K.

D) エンドユーザーの証明書の所持者のX.500名前 E = [email protected]

CN = Hiroyuki Sawano T = Nippon Jimuki CO.,LTD.

OU = 1 - 808016 OU = VS - 100035273

OU = for - Seplus Secure Mail

OU = Terms of use at www.verisign.co.jp/rpa (c)03 OU = Application Service CA

O = VeriSign Japan K.K.

米国ベリサインの 証明書チェーンの階層の詳細は米国ベリサインのWebサイト

「Repository /VeriSign PKI Hierarchy」

http://www.verisign.com/repository/hierarchy/hierarchy.pdf を参照してください。

171

7.4. その他の公開鍵管理機構

～Javaの証明書管理～

「4.3.1Windowsでの証明書管理」 や「4.4.6Macメール」で取り上げたOSでの証明書 管理や「4.4.3Mozilla Thunderbird」で取り上げたアプリケーションでの証明書管理の他 に、アプリケーションの動作環境であるJavaにも証明書管理機構もあります。ここでは、

J2RE（Sun Java 2 Runtime Environment）の証明書管理機構について紹介します。

(1) 証明書の一覧

下図は、Javaコントロールパネルでルート認証局の証明書一覧を表示しているところです。

172 図 7-2 J2REの証明書管理機能

(2) 証明書の表示

一覧から証明書を選択して「詳細」をクリックすると、図 7-3のような画面で証明書の内 容が確認できます。Windowsの証明書表示と異なり、認証局のデジタル署名も確認でき ます。図 7-3の例では、ルート認証局の証明書ですから「発行者」と「被認証者」が同じ 自己署名となります。

173 図 7-3 J2REの証明書の詳細表示画面