プロセルピナ
Top Internet
Mail
Private
Proxy
Capture
Device
Download Config
and
Words
Online
Help
Online
Home
[BACK]
Top > 目的別Help > 自己署名証明書


自己署名証明書 (Selfsigned certificate)


自己署名証明書は、証明局(CA)に発行してもらうのではなく、自分が自分自身に対して発行する X.509証明書(.cerファイル) です。 X.509証明書には、証明局(CA)のデジタル署名の代わりに、自分自身のデジタル署名が入っているので、 自己署名証明書と呼ばれます。
公開鍵の機能としては普通のX.509証明書と同じです。 自己署名証明書と秘密鍵のペアは、 「プロセルピナ」で簡単に作成することができます。

自己署名証明書と秘密鍵のペアは、
  1. https通信において、「プロセルピナ」のプライベートプロキシ機能を利用する、
  2. S/MIMEのデジタル封書(Digital envelop)で暗号化したメールを送ってもらう、
  3. 送信するメールに S/MIMEのデジタル署名 をする、
などの場合に使用します。

S/MIMEで使用する場合は、X.509証明書(.cerファイル)を 相手に直接手渡す、直接受け取るといった、 確実な方法が望まれます。 これは、自己署名証明書が正しく本人に帰属するものかどうかを、 証明局(CA)によって保証されない為です。
このような特性から商用のメールには不向きな証明書ですが、 プライベートユースには十分な場合が殆どです。 その場合でも、メール添付などの間接的な方法で自己署名証明書を受け取った時は、 証明書の サムプリント(Thumbprint,拇印) などを直接本人に確認します。

「プロセルピナ」のプライベートプロキシ機能では、 .pfxファイル(PKCS#12ファイル、秘密鍵ファイル) を使用してhttps通信を中継します。 この.pfxファイルには 公開鍵を保持する自己署名証明書と、 それとペアになる秘密鍵 が含まれています。
IEやFirefoxなどのWebブラウザと、「プロセルピナ」との間のhttps通信は、同じPC内ですが 暗号化されたものになります。 「プロセルピナ」は.pfxファイルに含まれている公開鍵をWebブラウザに送り、 秘密鍵はWebブラウザとの間で共有する共通鍵を生成するのに使用します。 Webブラウザでは、受信したデータを、共通鍵でデコードして表示します。

プライベートプロキシを経由するhttps通信の場合、Webブラウザにおいて「アクセス先のサーバと、証明書を発行したサーバが違う」 といった内容の警告が出ることがあります (下の Fig.1, Fig.2 の図を参照)。
これは、Webブラウザが受信する証明書が、「プロセルピナ」で作成した自己署名証明書であり、 インターネット上のサーバから送られたものではない為に表示されます。 この警告で表示される証明書は、「プロセルピナ」で作成したものになります。



Fig.1: Firefox 1.5, Firefox 2.0 で表示される警告の例



Fig.2: InternetExplorerで表示される警告の例

注: Fig.2のダイアログにおいて、証明書が「信頼された証明機関から発行」されていると表示されているのは、 作成した自己署名証明書を「信頼された証明機関から発行」されたものとして Windowsに手動で登録している為です。



Fig.3: Firefox 3.0で表示される警告の例

FirefoxでFig.3の警告 "Secure Connection Failed" が表示された場合の対処は、 Firefox3.0のhttps(SSL/TLS通信)でプライベートプロキシを使う を参照してください。



自己署名証明書の作成

「プロセルピナ」のView部メインフォームのメニューから行います。
→ 自己署名証明書の作成



自己署名証明書の登録

作成した自己署名証明書を、Windowsの証明書ストアに 「信頼された証明機関から発行」されたもの として登録する手順を示します。
登録は、「プロセルピナ」のView部メインフォームのメニューから行います。
→ 自己署名証明書の登録


[BACK]
プロセルピナ