Red Hat LinuxのRPMパッケージからセキュアサーバーをインストールすると、ランダム鍵とテスト証明書が生成され、適切なディレクトリに 保存されます。ただし、セキュアサーバーの使用を開始する前に、独自の鍵を生成して、サーバーの身元を正しく示す証明書を 取得する必要があります。
セキュアサーバーを稼動させるには鍵と証明書が必要です。 — 自己署名証明書を作成するか、CA署名済みの証明書を購入するか のどちらかが必要です。では、この2つの相違は何でしょうか。
CA署名済み証明書によって得られるサーバーの重要な機能には、次のものがあります:
通常、ブラウザはユーザー操作を要求せずに自動的に証明書を認識し、安全な接続を許可します。
CAが署名済み証明書を発行するとき、ブラウザに対してWebページを提供する組織の身元をCAが保証することになります。
セキュアサーバーを公衆アクセスの対象とする場合は、このサーバーがCA署名済みの証明書を保有していれば、 Webサイトへの訪問者に対して、そのサイトを所有すると主張する組織の身元が保証されていることを示します。 CAは、証明書に署名する前に、証明書を要求する組織が本当にその組織であることを確認します。
SSLをサポートするWebブラウザのほとんどは、自動的に受け入れる証明書の発行元であるCAの一覧を保持しています。 この一覧にないCAからの証明書が検出された場合、ブラウザは、接続を受け入れるか、あるいは拒否するかを ユーザーに確認します。
セキュアサーバーで使用する自己署名証明書を生成することもできますが、自己署名証明書の機能は、 CAによって署名された証明書と同じではないことを認識しておいてください。自己署名証明書はユーザーの ブラウザによって自動的に認識されることはなく、Webサイトを所有する組織の身元を保証するものでもありません。 CAによって署名された証明書であれば、セキュアサーバーにとって重要なこの2つの機能を備えています。 セキュアサーバーを生産稼働環境で使用する場合は、おそらくCAによって署名された証明書が必要になります。
CAから証明書を取得する手順は非常に簡単です。以下にその概要を示します:
暗号化用の秘密鍵と公開鍵の組を作成します。
公開鍵に基づいて証明書の要求を作成します。証明書の要求には、サーバーやサーバーを 運用する企業に関する情報が含まれます。
証明書の要求を、自社の身元を証明する文書と共にCAに送付します。どの認証局を選択すべきかは、おそらく過去の経験、または友人や同僚の経験、あるいは純粋に金銭的要因によって決められるでしょう。
証明書を取得するCAを決定したら、各機関の証明書取得マニュアルに従ってください。
CAは、申請者の身元が主張どおりであることを確認すると、デジタル証明書を返送します。
この証明書をセキュアサーバーにインストールして、安全なトランザクションの処理を開始します。
CAから証明書を取得する場合も、自分自身の自己署名証明書を作成する場合でも、最初の手順として鍵を生成します。鍵の作成方法については、 項20.6を参照してください。