QA@IT
«回答へ戻る

90
 この信頼されたルート証明機関の証明書を配布する方法として、ADのエンタープライズCAであれば自動配布が可能であり、スタンドアロンCAなどであれば手動での明示的な配布が必要になるということです。
 
 最初に質問された、クライアントへの証明書の配布といえば、この信頼されたルート証明機関として登録するための、CA証明書の配布やインストールがそれに当たるということです。
+
+追加で、IISとかで自己署名サーバ証明書を作成した場合は、サーバ証明書とCA証明書両方の役割を果たしているイメージになり、サーバ証明書自体をクライアントの信頼されたルート証明機関の証明書としてインストールすることになります(警告をなくす場合はですが)。

ちょっとだけ補足します、すでに出てる話も含んでいますが。

CA証明書とサーバ証明書が出てきていますが、クライアント側に事前に入手なりインストールなり配布が必要なのは、CA証明書の方ということです。
サーバ証明書は、SSL/TLSのネゴシエーション時にやりとりされます。

で、ベリサインその他の、信頼されているCAのCA証明書は、最初からマシンやブラウザにインストール済みになっているので、警告なくかつ安全に通信ができます。
自分でたてたCAはそのままでは信頼されていないので、警告が出ます。
CAが信頼されているとは、クライアントの信頼されたルート証明機関として、CA証明書がインストールされているかで判断されます(もっと細かい話はありますが今はザクッと割愛)。

この信頼されたルート証明機関の証明書を配布する方法として、ADのエンタープライズCAであれば自動配布が可能であり、スタンドアロンCAなどであれば手動での明示的な配布が必要になるということです。

最初に質問された、クライアントへの証明書の配布といえば、この信頼されたルート証明機関として登録するための、CA証明書の配布やインストールがそれに当たるということです。

追加で、IISとかで自己署名サーバ証明書を作成した場合は、サーバ証明書とCA証明書両方の役割を果たしているイメージになり、サーバ証明書自体をクライアントの信頼されたルート証明機関の証明書としてインストールすることになります(警告をなくす場合はですが)。

ちょっとだけ補足します、すでに出てる話も含んでいますが。

CA証明書とサーバ証明書が出てきていますが、クライアント側に事前に入手なりインストールなり配布が必要なのは、CA証明書の方ということです。
サーバ証明書は、SSL/TLSのネゴシエーション時にやりとりされます。

で、ベリサインその他の、信頼されているCAのCA証明書は、最初からマシンやブラウザにインストール済みになっているので、警告なくかつ安全に通信ができます。
自分でたてたCAはそのままでは信頼されていないので、警告が出ます。
CAが信頼されているとは、クライアントの信頼されたルート証明機関として、CA証明書がインストールされているかで判断されます(もっと細かい話はありますが今はザクッと割愛)。

この信頼されたルート証明機関の証明書を配布する方法として、ADのエンタープライズCAであれば自動配布が可能であり、スタンドアロンCAなどであれば手動での明示的な配布が必要になるということです。

最初に質問された、クライアントへの証明書の配布といえば、この信頼されたルート証明機関として登録するための、CA証明書の配布やインストールがそれに当たるということです。

追加で、IISとかで自己署名サーバ証明書を作成した場合は、サーバ証明書とCA証明書両方の役割を果たしているイメージになり、サーバ証明書自体をクライアントの信頼されたルート証明機関の証明書としてインストールすることになります(警告をなくす場合はですが)。

回答を投稿

ちょっとだけ補足します、すでに出てる話も含んでいますが。

CA証明書とサーバ証明書が出てきていますが、クライアント側に事前に入手なりインストールなり配布が必要なのは、CA証明書の方ということです。
サーバ証明書は、SSL/TLSのネゴシエーション時にやりとりされます。

で、ベリサインその他の、信頼されているCAのCA証明書は、最初からマシンやブラウザにインストール済みになっているので、警告なくかつ安全に通信ができます。
自分でたてたCAはそのままでは信頼されていないので、警告が出ます。
CAが信頼されているとは、クライアントの信頼されたルート証明機関として、CA証明書がインストールされているかで判断されます(もっと細かい話はありますが今はザクッと割愛)。

この信頼されたルート証明機関の証明書を配布する方法として、ADのエンタープライズCAであれば自動配布が可能であり、スタンドアロンCAなどであれば手動での明示的な配布が必要になるということです。

最初に質問された、クライアントへの証明書の配布といえば、この信頼されたルート証明機関として登録するための、CA証明書の配布やインストールがそれに当たるということです。

ちょっとだけ補足します、すでに出てる話も含んでいますが。

CA証明書とサーバ証明書が出てきていますが、クライアント側に事前に入手なりインストールなり配布が必要なのは、CA証明書の方ということです。
サーバ証明書は、SSL/TLSのネゴシエーション時にやりとりされます。

で、ベリサインその他の、信頼されているCAのCA証明書は、最初からマシンやブラウザにインストール済みになっているので、警告なくかつ安全に通信ができます。
自分でたてたCAはそのままでは信頼されていないので、警告が出ます。
CAが信頼されているとは、クライアントの信頼されたルート証明機関として、CA証明書がインストールされているかで判断されます(もっと細かい話はありますが今はザクッと割愛)。

この信頼されたルート証明機関の証明書を配布する方法として、ADのエンタープライズCAであれば自動配布が可能であり、スタンドアロンCAなどであれば手動での明示的な配布が必要になるということです。

最初に質問された、クライアントへの証明書の配布といえば、この信頼されたルート証明機関として登録するための、CA証明書の配布やインストールがそれに当たるということです。