none
証明書って毎回上位証明書の署名を確認するのでしょうか? RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ルート証明書からEFS証明書が発行されているとします。

    暗号化とか復号化をするたびに、上位のルート証明書の署名が公開鍵で

    あけられることを確認しているのでしょうか?

    2012年3月14日 2:42
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    ご質問の件につきましては、したの@ITの資料を読んでみてください。
    http://www.atmarkit.co.jp/fnetwork/rensai/pki02/pki01.html

    (簡単に抜粋すると)
    1.その認証局が自分で発行する
    2.さらに上位の認証局が存在し、その認証局が発行する

    ・「信頼された証明機関」一覧にある証明書の詳細は、発行先と発行元が同じだということ。
    ・「中間証明機関」による証明書は、発行先と発行元が異なる。証明書の発行元は「信頼された証明機関」のものである。
     この認証局はさらに上位のルート認証局から証明書の発行を受けた認証局であることを示している。

    どの証明書ストアに発行されているかにもよりますが。

    (参考MSベージ)
    証明書ストアを表示する
    http://technet.microsoft.com/ja-jp/library/cc725751(v=ws.10).aspx
    証明書ストア
    http://technet.microsoft.com/ja-jp/library/cc757138(v=ws.10).aspx

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)


    2012年3月14日 12:53
    |
  • Question
    サインインして投票
    0
    サインインして投票

    (体系的に学習されたいということでしたら)まず、検証環境としてADを構築し、1台のメンバー(推奨)かDCにエンタープライズルートCAをインストール構築してみれば分かります。
    ドメインのグループポリシー暗号化を禁止してなく(既定ではそうなっています。)、回復エージェントの回復証明書が有効期限内であれば、EFS証明書はそのCAでも発行されたことが確認できます。
    Webサーバー証明書は、グループポリシーて自動登録ができない証明書テンプレートのバージョン(サーバーOSのエディションにもよる?)ではWebサーバー(IISをインストールしたサーバー)のWebサイトより、CAに対して、手動で発行の要求をします。CAで発行されたWebサイトの証明書をWebサーバーのWebサイトに手動でインストールするといったフローになります。
    自動登録が可能な証明書テンプレートのバージョン(サーバーOSのエディション)についてはすでに他の方が回答されています。(体系的に学習されたいということでしたら、参考書籍や回答されているMSページで学習してください。)
    (MSページ)
    http://technet.microsoft.com/ja-jp/library/cc725838.aspx
    http://technet.microsoft.com/ja-jp/library/cc731429.aspx

    ご質問の、上位CAの署名を確認するかにつきましては、
    参考書籍で学習され、実際に検証されたうえで、実際にユーザーに対して発行された証明書の「発行者」、「発行先」、「証明書テンプレート」、「有効期間」などを実際にみられて学んでいただくしかありません。

    ユーザーに対して発行された
    EFS証明書は「発行者」=CA名、「発行先」=暗号化したユーザー名 となっており異なっている。(秘密鍵はユーザーがローカルコンピュー上のフォルダを暗号化した場合は、そのユーザーのローカルコンピュータ上の「個人」の証明書ストアにある。)
    Webサーバー証明書は「発行者」=CA名、「発行先」=Webサーバーのコンピュータ名 となっており異なっている。。(秘密鍵はWebサーバーのWebサイトにある。)

    となっていましたが。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)





    2012年3月17日 2:12
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    ご質問の件につきましては、したの@ITの資料を読んでみてください。
    http://www.atmarkit.co.jp/fnetwork/rensai/pki02/pki01.html

    (簡単に抜粋すると)
    1.その認証局が自分で発行する
    2.さらに上位の認証局が存在し、その認証局が発行する

    ・「信頼された証明機関」一覧にある証明書の詳細は、発行先と発行元が同じだということ。
    ・「中間証明機関」による証明書は、発行先と発行元が異なる。証明書の発行元は「信頼された証明機関」のものである。
     この認証局はさらに上位のルート認証局から証明書の発行を受けた認証局であることを示している。

    どの証明書ストアに発行されているかにもよりますが。

    (参考MSベージ)
    証明書ストアを表示する
    http://technet.microsoft.com/ja-jp/library/cc725751(v=ws.10).aspx
    証明書ストア
    http://technet.microsoft.com/ja-jp/library/cc757138(v=ws.10).aspx

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)


    2012年3月14日 12:53
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ありがとうございます。!!!

    CRLとOCSPについては書いてありますが、上位CAの署名を確認するかどうかはかいてないですね。

    失効してないか確認するぐらいだから、EFSでもきちんと署名されていることも確認しているのでしょうか?

    そういえばWebサーバの証明書は信頼しているルート以外から発行されている場合は警告がでますね。

    2012年3月16日 8:03
    |
  • Question
    サインインして投票
    0
    サインインして投票

    (体系的に学習されたいということでしたら)まず、検証環境としてADを構築し、1台のメンバー(推奨)かDCにエンタープライズルートCAをインストール構築してみれば分かります。
    ドメインのグループポリシー暗号化を禁止してなく(既定ではそうなっています。)、回復エージェントの回復証明書が有効期限内であれば、EFS証明書はそのCAでも発行されたことが確認できます。
    Webサーバー証明書は、グループポリシーて自動登録ができない証明書テンプレートのバージョン(サーバーOSのエディションにもよる?)ではWebサーバー(IISをインストールしたサーバー)のWebサイトより、CAに対して、手動で発行の要求をします。CAで発行されたWebサイトの証明書をWebサーバーのWebサイトに手動でインストールするといったフローになります。
    自動登録が可能な証明書テンプレートのバージョン(サーバーOSのエディション)についてはすでに他の方が回答されています。(体系的に学習されたいということでしたら、参考書籍や回答されているMSページで学習してください。)
    (MSページ)
    http://technet.microsoft.com/ja-jp/library/cc725838.aspx
    http://technet.microsoft.com/ja-jp/library/cc731429.aspx

    ご質問の、上位CAの署名を確認するかにつきましては、
    参考書籍で学習され、実際に検証されたうえで、実際にユーザーに対して発行された証明書の「発行者」、「発行先」、「証明書テンプレート」、「有効期間」などを実際にみられて学んでいただくしかありません。

    ユーザーに対して発行された
    EFS証明書は「発行者」=CA名、「発行先」=暗号化したユーザー名 となっており異なっている。(秘密鍵はユーザーがローカルコンピュー上のフォルダを暗号化した場合は、そのユーザーのローカルコンピュータ上の「個人」の証明書ストアにある。)
    Webサーバー証明書は「発行者」=CA名、「発行先」=Webサーバーのコンピュータ名 となっており異なっている。。(秘密鍵はWebサーバーのWebサイトにある。)

    となっていましたが。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)





    2012年3月17日 2:12
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。
    フォーラム オペレーターの田中夢です。
     
    試験問題作成委員会 さん
    参考になるアドバイスをありがとうございます。
     
    miyagiken さん
    最後に投稿されてからしばらく経過しましたが、その後 試験問題作成委員会 さんからの投稿をご覧になっていただけましたでしょうか?

    今回のご質問につきましては、試験問題作成委員会 さんからのアドバイスを参考にしていただけたのではないかと思われますので、勝手ながら私のほうで [回答としてマーク] とさせていただきますね。


    今後とも TechNet フォーラムをどうぞよろしくお願いします。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢

    2012年3月28日 8:17
    |