🎉

[SC] 学習ノート⑬：デジタル証明書とPKI

2026/02/28に公開

 初めに情報処理安全確保支援士（SC）試験対策として、著者の学習アウトプットを兼ねて作成している

必要に応じて追記等を行う予定である

 デジタル証明書とはデジタル証明書 とは、公開鍵とその所有者（サーバや組織）の情報を結び付け、認証局（CA）がその正当性を署名で保証したものである

簡潔に言うと、 公開鍵の身分証明書 となる
公開鍵暗号方式では公開鍵を用いて暗号化等を行うが、公開鍵自体は誰でも作成・配布可能なため、なりすまし等を防ぐためにデジタル証明書が必要となる

 デジタル証明書利用の流れデジタル証明書には以下3つの段階がある
証明書の発行
証明書の利用
証明書の検証
図解すると以下のようになる

 証明書の失効管理デジタル証明書には有効期限があるが、その有効期限内に秘密鍵が漏洩してしまうと信頼性が損なわれる

このような状況に対処するために、証明書失効管理（証明書を期限前に失効させる仕組み）が必要となる

 CRL証明書の失効を管理にするために CRL (Certificate Revocation List：証明書失効リスト)が用いられる

CRLは「ブラックリスト方式」で管理しているイメージとなる
CRLでは証明書失効後にリスト記載となるため、リアルタイム性に欠けるという欠点がある

 OCSPCRLの欠点を解消するため、 OCSP (Online Certificate Status Protocol)というプロトコルが用意されている

OCSPは、「特定の証明書が現在有効かどうかを、オンラインで 問い合わせる （クライアントがCRLを取得する必要がない）方式」である

 PKIとはデジタル証明書を用いて公開鍵の正当性を保証する仕組み（インフラ）の総称を PKI（Public Key Infrastructure） という
PKIは、以下のような役割分担によって構成される
認証局（CA：Certification Authority）
登録局（RA：Registration Authority）
検証局（VA：Validation Authority）
それぞれについて以下で解説する

 認証局（CA：Certification Authority）公開鍵の検証やデジタル証明書の発行/失効の管理、他記事で解説しているデジタル署名の付与などを担当している

 登録局（RA：Registration Authority）証明書の登録を受け付け、証明書を発行しても良いか審査を行う

 検証局（VA：Validation Authority）デジタル証明書の有効性を確認（CRLの管理）する

CAとは異なり、証明書の発行は行わない

 信頼性の連鎖PKIでは、証明書の信頼性は 1枚の証明書だけで判断されない

そのため、連鎖的に証明書を確認し、正当性を判断する

 試験対策ポイント追記予定

初めに

デジタル証明書とは

デジタル証明書利用の流れ

証明書の失効管理

CRL

OCSP

PKIとは

認証局（CA：Certification Authority）

登録局（RA：Registration Authority）

検証局（VA：Validation Authority）

信頼性の連鎖

試験対策ポイント

Discussion