Terms and concepts for AWS Private CA - AWS Private Certificate Authority
信頼
具体例: GoogleのWebサイト
Chrome → DigiCert(ルートCA)を信頼 → google.comの証明書を自動で信頼
認証局(CA)
認証局には以下の2種類がある
- パブリック認証局
- プライベート認証局
パブリック認証局
パブリック認証局は、幅広い利用者に対して審査を行って証明書を発行するもの。
パブリック認証局が発行した証明書をパブリック証明書と呼ぶ。
- パブリック認証局の例
- Let’s Encrypt
- DigiCert
- AWS Certificate Manager
プライベート認証局
プライベート認証局は、事業会社などが独自の運用の基準を設けて構築するもの。
プライベート認証局は、組織内でのみ利用するプライベート証明書を発行する。
- プライベート認証局の例
- 企業や組織が内部用に独自運用する認証局
- openssl で構築可能
- AWS Private Certificate Authority
- 企業や組織が内部用に独自運用する認証局
ルート認証局
ルート認証局(ルートCA)とは、電子証明書を発行する認証局の中で最も上位に位置する機関のこと。
ルート認証局は、自分自身で正当性を証明する自己署名証明書を発行し、他の認証局(中間認証局やエンドユーザの証明書)の信頼性を保証する役割を担う。
また、パブリックなルート認証局とプライベートなルート認証局がある
- パブリックなルート認証局の具体例
- DigiCert Root CA
- GlobalSign Root CA
- Amazon Root CA(AWS ACMのルート)
- Let’s Encrypt Root CA
- プライベートなルート認証局の具体例
- AWS PCAで構築
- OSSなどを用いて組織内で独自に構築
証明書
関係性は以下
証明書
├── CA証明書
│ ├── ルートCA証明書
│ └── 中間CA証明書
└── エンドエンティティ証明書
├── サーバー証明書
└── クライアント証明書
CA証明書(認証局証明書)
認証局(CA: Certification Authority)が発行する電子証明書で、その認証局自身が正当な認証局であることを証明するための証明書。
ルートCA証明書は自己署名されており、証明書チェーンの信頼性を保証する。
自身がルート認証局(自己署名の最上位CA)であれば自己署名証明書として存在し、中間認証局の場合はルート認証局など上位CAから署名を受けた証明書となる
証明書の機能
├── 署名機能あり(CA証明書)
│ ├── ルートCA証明書: 自己署名
│ └── 中間CA証明書: 他社署名
└── 署名機能なし(エンドエンティティ証明書)
├── サーバー認証用(サーバー証明書)
└── クライアント認証用(クライアント証明書)
信頼チェーンの様子↓
ルートCA証明書(信頼の起点)
↓ 署名
中間CA証明書(権限の委譲)
↓ 署名
エンドエンティティ証明書(実際の利用)
ブラウザはあらかじめ多数のルートCA証明書を内蔵しており、そのルートCA証明書を基にサーバー証明書を検証して安全性を判断する