トレンド解説

プライベート認証局とは? 構築方法やパブリック認証局との違いを解説

アイキャッチ
目次

インターネット上のサービスを安全に利用するとき、身分証として「電子証明書(デジタル証明書)」が利用されます。電子証明書は「認証局」と呼ばれる機関が発行しますが、証明書の用途によって、認証局は2種類に分類されます。不特定多数が利用するサービスに対しては「パブリック認証局」が、社内などの限られた組織での利用は「プライベート認証局」が発行します。プライベート認証局を利用すると、社内システムを安全に利用するための環境が手軽に構築できます。

この記事では、プライベート認証局について、その概要からパブリック認証局との違い、より手軽に構築する方法などを紹介します。

そもそも認証局とは

CA(Certificate Authority)とも呼ばれる認証局は、電子証明書の運用に関わる機関です。認証局には2つの役割があります。1つ目は新たに電子証明書を発行することであり、2つ目は発行した電子証明書を必要に応じて失効することです。認証局はパブリック認証局とプライベート認証局に分けられますが、この役割に違いはありません。

プライベート認証局とは

プライベート認証局は社内などの限られた組織内で運用される認証局です。個人や企業が自由に構築できます。プライベート認証局を利用すると、例えば社内システム内で「誰が押印した電子印なのか」「いつ押印したのか」などを手軽に証明したりできます。

パブリック認証局とは

通常、認証局と聞くとパブリック認証局をイメージする人が多いかもしれません。厳しい基準での審査や国内の認定機関の指定を受けた事業者のみが開設できます。電子証明書を発行する第三者機関として、サーバー証明書やクライアント証明書を発行しており、高い信頼性を持つことが特長です。

インターネットブラウザなどにはパブリック認証局を信頼するための「証明機関の証明書」がはじめからインストールされており、利用者は別途インストールすることなく利用できます。しかし、自社のサーバー証明書やクライアント証明書を別途発行してもらう際には、数千円~数万円の費用が必要です。

プライベート認証局とパブリック認証局の違い

それぞれの認証局は名前のとおり、私的な認証局か公的な認証局かの違いです。また、パブリック認証局を利用する際には費用がかかりますが、プライベート認証局は自社内で自由に作成できるため、証明書を発行する際の費用は低く抑えることができます。

プライベート認証局の場合は、利用者にルート証明書の配布とインストールが必要があり、やや手間がかかりますが、(技術面での)機能的な違いはないと考えて良いでしょう。

プライベート認証局の構築方法

プライベート認証局はオープンソースのソフトウェアが使えるため、無料で利用することできます。ここでは、OpenSSLを使ったプライベート認証局の構築方法をかんたんに紹介します。

  1. OpenSSLをインストール
  2. コマンドを用いてルートCA証明書と中間認証局を作成
  3. サーバー証明書を作成
  4. Webサーバーに証明書を設定
  5. クライアントにルート証明書をインストール

おおまかな流れは上記のとおりですが、基本的にはすべてコマンドを用いて設定していきます。専門的な知識も求められるため、構築の難易度はそれなりに高いといえるでしょう。

より手軽にプライベート認証局を構築する方法

OpenSSLを使う方法以外にも、プライベート認証局を構築する方法が存在します。例えば、プライベート認証局の機能を持ったアプライアンス製品を導入すると、より手軽に構築することができるでしょう。

例えば、弊社のNetAttest EPSは、電子証明書を使用したネットワーク認証に必要な機能をオールインワンで備えるアプライアンス製品です。NetAttest EPSの導入により、正しい端末・正しいネットユーザーのみがネットワークに接続できる安全な環境を実現します。

NetAttest EPSのプライベート認証局機能を利用すれば、2クリックで電子証明書をかんたんに発行できます。Web管理画面から操作できるため、コマンド操作は不要で専門的な知識も必要ありません。

複数の電子証明書を大量発行することもでき、社内環境に適した独自のプライベート認証局をかんたんに構築できます。

認証局はサーバー証明書やクライアント証明書などの電子証明書を発行・失効する役割を担います。パブリック認証局で証明書などを発行してもらう際には費用が発生しますが、プライベート認証局であれば費用は発生しません。

プライベート認証局は運用規定を自由に設定できるため、独自に構築して運用したほうが便利です。OpenSSLなどでも構築することは可能ですが、専門的な知識が必要であり、構築には手間がかかります。

そのため、プライベート認証局機能を持ったアプライアンス製品を導入することで構築の手間を大幅に減らし、その他のネットワークセキュリティの強化も実現することをおすすめします。

記事を書いた人

ソリトンシステムズ・マーケティングチーム