RapidSSL などから取得した、あるドメイン用のサーバ証明書を使用して、他のドメインやサブドメイン用のサーバ証明書を自分で作成することは可能でしょうか?

このような場合、新たな証明書を作成するために使用された証明書のことを中間証明書と呼ぶようですが、中間証明書もブラウザにインストールされている必要がありますか?

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2012/05/14 23:56:14
  • 終了:2012/05/18 14:03:13

ベストアンサー

id:JULY No.1

JULY回答回数966ベストアンサー獲得回数2472012/05/15 00:39:06

ポイント34pt

できません。

X.509 - Wikipedia
上記ページは、証明書の形式を規定している X.509 に関する説明ですが、この中の「X.509証明書の例」の章に、下記のような記述があります。

はじめに、検証者は2つ目の証明書が認証局のものである、すなわち他の証明書を発行するのに使用できることを検証する。この動作はX509v3 extensionセクションにあるCA属性の値を調べることによって行われる。

つまり、その証明書が認証局用かどうかを示す属性値があり、認証局用の証明書でなければ、サーバ証明書の検証用に使われる事はありません。

検証処理を自前で実装して、この「CA属性」を無視してサーバ証明書を検証する事は出来るかもしれませんが、基本的には出来ないと考えるのが妥当です。

中間証明書は、ある認証局が別の認証局の証明書に署名しているものです。このときに、中間証明書をブラウザ側にインストールする必要はありません。ただし、サーバ側には、サイトの証明書に署名してもらった中間認証局の証明書をインストールし、サーバ証明書と一緒にブラウザ側に渡す様に設定する必要があります。
中間CA証明書はなぜ必要なのでしょうか|FAQ|ヘルプデスク|サーバID|日本ベリサイン

id:norisuke3

なるほど。非常に良くわかりました。このCA属性がポイントなわけですね。ありがとうございます。

2012/05/18 13:58:30

その他の回答(2件)

id:JULY No.1

JULY回答回数966ベストアンサー獲得回数2472012/05/15 00:39:06ここでベストアンサー

ポイント34pt

できません。

X.509 - Wikipedia
上記ページは、証明書の形式を規定している X.509 に関する説明ですが、この中の「X.509証明書の例」の章に、下記のような記述があります。

はじめに、検証者は2つ目の証明書が認証局のものである、すなわち他の証明書を発行するのに使用できることを検証する。この動作はX509v3 extensionセクションにあるCA属性の値を調べることによって行われる。

つまり、その証明書が認証局用かどうかを示す属性値があり、認証局用の証明書でなければ、サーバ証明書の検証用に使われる事はありません。

検証処理を自前で実装して、この「CA属性」を無視してサーバ証明書を検証する事は出来るかもしれませんが、基本的には出来ないと考えるのが妥当です。

中間証明書は、ある認証局が別の認証局の証明書に署名しているものです。このときに、中間証明書をブラウザ側にインストールする必要はありません。ただし、サーバ側には、サイトの証明書に署名してもらった中間認証局の証明書をインストールし、サーバ証明書と一緒にブラウザ側に渡す様に設定する必要があります。
中間CA証明書はなぜ必要なのでしょうか|FAQ|ヘルプデスク|サーバID|日本ベリサイン

id:norisuke3

なるほど。非常に良くわかりました。このCA属性がポイントなわけですね。ありがとうございます。

2012/05/18 13:58:30
id:y-kawaz No.2

y-kawaz回答回数1421ベストアンサー獲得回数2262012/05/15 01:12:58

ポイント33pt

出来ません。

発行されたSSL証明書は「あなたがそのドメインの正当な所有者であるとCA(RapidSSLなどの認証局)が認めた証として発行されたファイル」なだけです。


下手な例えは理解を妨げてしまうかもしれませんが…あえて例えてみます。

RapidSSLが市役所なら発行されるSSL証明書は印鑑証明です。
今回の質問は「自分の印鑑証明があれば、他人の印鑑証明を作れますか?」と言っているようなものです。こう言えば「そんなことは出来ない」ということが分かりますでしょうか?
ちなみにこの例えだと中間CA証明書は「市役所の出張所」のようなものと考えて良いかと、あなたが発行しらもらう証明書は市役所で直接発行してもらったもの以外に、出張所で発行してもらったものでも有効ですよ。みたいな感じです。

どちらにしろ、あなたがRapidSSLから発行してもらうSSL証明書は、名前は似てますが中間CA証明書とは全くの別物です。当然ながら他の証明書を発行するような機能はありません。

id:norisuke3

なるほど。その例え、わかり易かったです。ありがとうございます。

2012/05/18 13:59:44
id:pretaroe No.3

pretaroe回答回数531ベストアンサー獲得回数752012/05/15 01:27:45

ポイント33pt

できません。

ただし、同一ドメインのサブドメインなどは、以下のようなサービスを選択しているのなら可能です。


RapidSSLワイルドカードのサブドメイン適用範囲について
http://www.rapid-ssl.jp/rapidssl-support/faq/index.php?action=artikel&cat=4&id=17&artlang=ja


■中間CA証明書
https://www.verisign.co.jp/ssl/help/faq/110089/

確かに、中間CA証明書がインストールされている必要がありわけですが
Windowsなどの場合ははじめから入っていて自動更新されています。

ただ、はじめから入っていない「中間CA証明書」を使用する場合は
インストールする必要があるわけですが、
通常はそういうものを使用しません。

自己CA局で「セキュリティ警告」の確認を無くす
http://takaq1.plala.jp/freebsd/la10/ca.htm

こういうことも可能ですが、信頼できない中間CA証明書を導入するのはセキュリティ上問題があります。

id:norisuke3

あー、なるほど。RapidSSL ワイルドカードっていうのはそういう意味だったんですね。何も考えずに安い方選んでいました。ありがとうございます。

2012/05/18 14:02:39

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません