7.2.1 Webサーバの認証機能
Webサーバの機能には,サーバ認証の機能とクライアント認証の機能があります。
- サーバ認証
-
サーバ認証では,サーバにインストールされた鍵交換用の証書を用いて,ブラウザからサーバあてに共通鍵の基となる乱数情報を暗号化して送ります。
この暗号を解くための秘密鍵は,鍵交換用の証書の持ち主であるサーバだけが知っているので,クライアントから見て正当なサーバの場合だけ,ハンドシェイクが成立します。この過程では,サーバは電子署名をしませんが,ハンドシェイクの成立後にサーバが正当であるかどうかの見直しができます。
- クライアント認証
-
クライアント認証では,サーバからブラウザに乱数データを送ってクライアントで電子署名を付与させて,ブラウザにインストールされた電子署名用の証書とともにサーバに送り返させます。
乱数データにブラウザが電子署名を付けて見せることで,ブラウザ自身が秘密鍵を保有していることをサーバに証明します。これによって,サーバ側では,クライアントが証明書に対応した秘密鍵を所有していることを確認できます。
なお,ここで説明するSSL関連の機能を使用する場合,あらかじめWebサーバであるHTTP ServerまたはMicrosoft IISにSSLの設定をしておく必要があります。HTTP ServerのSSLの設定方法については,次を参照してください。
-
HTTP Serverを使用する場合
「7.2.2 HTTP ServerのSSLの設定」を参照してください。