OpenSSLで認証局(CA)を構築・・・の前に理解しておくこと
Apache+mod_sslでSSL通信をしベリサインやグローバルサイン(ジオトラスト)でサーバ証明書を取得しインストールすることはやったことはありますが、サーバ証明書を発行する認証局を自分で構築してしまえばベリサインにお金払わなくてもいいんじゃねぇと思って調べたメモ。
まず認証局(CA, Certification Authority)となるのはOpenSSLがインストールされていれば、どのサーバでもなることは可能。
ただし、私がやりたいのはIEなどでエラーがでない証明書を発行する認証局の構築。これはWebTrustという制度(審査)に合格しないと駄目らしい。
3ヶ月ごとに行う厳正な監査らしい。(もちろん個人では無理)
WebTrustに合格すると世界的に認証局として認められて各ブラウザに「信頼されたルート証明機関」として登録される。
つまりベリサインやグローバルサイン(ジオトラスト)で取得したサーバ証明書をインストールするとエラーとならないのはブラウザが既にその認証局を信頼しているから。
↓IEのインターネットオプションからコンテンツを選ぶと見ることができます。
ちなみにシェアはベリサインが53%、グローバルサインが25%、その他22%(wikipediaより)。
グローバルサインの方が安い・・・。
ただ携帯電話用のサーバ証明書を取得する場合、古い携帯電話のブラウザだとベリサインしか信頼してないのもあるらしく、グローバルサインの証明書だと閲覧できない機種が出てきてしまいます。
ベリサインは高いんですけど・・・。
次回は実際に認証局の構築と証明書の発行とインストールをやってみる予定(いつになるか分からないけど)。