証明書を使用する

証明書とは、身分証明書のデジタル版です。運転免許証、社員証、クレジット カードなど、異なる目的で身分証明書を持っているように、自分自身を証明する証明書をいくつも持つことができます。

このセクションでは、証明書に関する操作方法について説明します。

このセクションの内容:

証明書を取得する

Web ページのセキュリティを確認する

証明書を管理する

スマートカードやその他のセキュリティデバイスを管理する

SSL 警告と設定を管理する

確認設定を管理する

証明書を設定する

 


証明書を取得する

証明書とは、クレジット カードや免許証のようなもので、インターネットや他のネットワーク上で身分を証明するために使用できる ID です。一般的な個人の身分証明書と同じように、証明書は、それを発行することが認められた組織によって通常発行されます。証明書を発行する組織は、認証局(CA)と呼ばれます。

公共の認証局、システム管理者、所属組織の特殊な認証局、または名前とパスワードよりも信頼できる証明手段を必要とする特別なサービスを提供する Web サイトから自分の身元を証明する証明書を手に入れることができます。

運転免許証の条件が運転する車種によって異なるように、証明書を手に入れる条件も用途によって異なります。場合によっては、証明書の取得は非常に簡単で、Web サイトにアクセスし、個人情報を入力して、ブラウザに証明書を自動的にダウンロードするだけで済みます。そうでない場合は、いくつかの手順を実行しなければなりません。

現在では、認証局の URL を入力し、画面の指示に従うと、証明書を入手することができます。認証局の一覧については、「クライアントの証明書」を参照してください。

証明書を取得したら、自動的にセキュリティ デバイスに保存されます。お使いのブラウザには、ソフトウェア セキュリティ デバイスが組み込まれています。セキュリティ デバイスは、スマート カードのようなハードウェアの場合もあります。

運転免許証やクレジット カードのように、証明書も大切な身分証明書で、他人の手に渡ると悪用されることもあります。自分の身分を証明する証明書を取得したら、バックアップし、マスター パスワードを設定して、保護する必要があります。

証明書を初めて取得したら、バックアップするよう指示されます。マスター パスワードをまだ設定していない場合は、作成するよう求められます。

証明書のバックアップおよびマスター パスワードの設定に関する詳細については、「身分証明書」を参照してください。

[ このセクションの最初に戻る

 


Web ページのセキュリティを確認する

Web ページを表示するたびに、[表示]メニューから[ページ情報]を選択して、[セキュリティ]タブをクリックすると、そのページで使用できるセキュリティに関する詳細を知ることができます。

[ページ情報]の[セキュリティ]タブでは、2 種類の情報が得られます。

表示されている情報の意味がよくわからない場合は、「SSL ページ情報」で関連するメッセージを参照してください。

[ このセクションの最初に戻る

 


証明書を管理する

証明書マネージャを使って、使用可能な証明書を管理できます。証明書は、お使いのコンピュータのハード ディスク、スマート カード、またはコンピュータに接続されたその他のセキュリティ デバイスに保存できます。

証明書マネージャを開くには、以下の手順を実行します。

  1. [編集]メニューから[設定]を選択します。
  2. [プライバシーとセキュリティ]カテゴリで、[証明書]をクリックします(サブカテゴリが表示されていない場合は、カテゴリをダブルクリックしてリストを展開表示します)。
  3. [証明書の管理]セクションで[証明書の管理]をクリックします。証明書マネージャが表示されます。

 

このセクションの内容:

身分証明書を管理する

Web サイトを証明する証明書を管理する

認証局を証明する証明書を管理する

 

身分証明書を管理する

証明書マネージャを最初に開くと、ウィンドウの一番上にいくつかのタブがあります。最初のタブは[身分証明書]で、自分の身元を証明するためにブラウザで使用できる証明書が表示されます。証明書は、発行された組織名を基にして表示されます。

証明書に操作を行うには、証明書をクリック(複数の証明書を選択する場合は、Ctrl キーを押したままクリック)し、[表示]、[バックアップ]、[削除]ボタンのいずれかをクリックします。これらのボタンにより、別のウィンドウが表示され、そのウィンドウで操作を行うことができます。ウィンドウで[ヘルプ]ボタンをクリックすると、そのウィンドウについての情報が得られます。

[身分証明書]にある次のボタンは、証明書を選択する必要がありません。これらのボタンを使って、次の操作を行うことができます。

スマート カードに保存されている証明書をバックアップすることはできません。証明書を選択して[バックアップ]や[すべてバックアップ]をクリックしても、作成されるバックアップ ファイルには、スマート カードやその他の外部セキュリティ デバイスに保存されている証明書は含まれません。 バックアップできるのは、内部ソフトウェア セキュリティ デバイスに保存されている証明書だけです。

これらの操作の詳細については、証明書マネージャの[ヘルプ]ボタンをクリックするか、「身分証明書」を参照してください。

[ このセクションの最初に戻る

 

Web サイトを証明する証明書を管理する

Web サイトによっては、証明書を使って、身元を証明するものがあります。Web サイトが情報を暗号化してサイトとコンピュータの間でその情報を転送する前に、証明が必要になります。それにより、誰も転送中のデータを読むことができなくなります。

Web サイトの URL が https:// で始る場合、その Web サイトには証明書があります。そういった Web サイトにアクセスしたとき、サイトの証明書が、証明書マネージャが知らないまたは信頼しない認証局によって発行された場合、サイトの証明書を受け入れるかどうかを尋ねられます。新しい Web サイトの証明書を受け入れると、証明書マネージャによって Web サイト証明書のリストにその証明書が追加されます。

ブラウザで使用できる Web サイトの証明書をすべて表示するには、証明書マネージャ ウィンドウの一番上にある[Web サイト]タブをクリックします。

Web サイトの証明書に操作を行うには、証明書をクリック(複数の証明書を選択する場合は、Shift キーを押したままクリック)し、[表示]、[編集]、[削除]ボタンのいずれかをクリックします。これらのボタンにより、別のウィンドウが表示され、そのウィンドウで関連する操作を行うことができます。

[編集]ボタンでは、選択した Web サイトの証明書を今後ブラウザが信頼するかどうかを指定します。

詳細については、証明書マネージャの[ヘルプ]ボタンをクリックするか、「Web サイトの証明書」を参照してください。

[ このセクションの最初に戻る

 

認証局を証明する証明書を管理する

一般的な身分証明書と同じように、証明書は、それを発行することが認められた組織によって発行されます。証明書を発行する組織は、認証局(CA)と呼ばれます。認証局(CA)の身元を証明する証明書は、認証局証明書と呼ばれます。

証明書マネージャは、一般に多数の認証局証明書をファイルとして持っています。これらの認証局証明書により、証明書マネージャが対応する認証局によって発行された証明書を認めて操作できるようになります。ただし、このリストに認証局証明書があるからといって、発行された証明書が信頼できるとは限りません。自分でまたはシステム管理者が、セキュリティの必要性に基づいて、どの証明書が信頼できるかを判断する必要があります。

ブラウザで使用できる認証局証明書をすべて表示するには、証明書マネージャ ウィンドウの一番上にある[認証局]タブをクリックします。

認証局証明書に操作を行うには、証明書をクリック(複数の証明書を選択する場合は、Ctrl キーを押したままクリック)し、[表示]、[編集]、[削除]ボタンのいずれかをクリックします。これらのボタンにより、別のウィンドウが表示され、そのウィンドウで操作を行うことができます。ウィンドウで[ヘルプ]ボタンをクリックすると、そのウィンドウについての情報が得られます。

[編集]ボタンでは、それぞれの証明書の信頼設定を表示および管理できます。認証局証明書の信頼設定を使って、認証局によって発行されたどの種類の証明書を信頼できるかを指定できます。

詳細については、証明書マネージャの[ヘルプ]ボタンをクリックするか、「認証局」を参照してください。

[ このセクションの最初に戻る

 


スマート カードやその他のセキュリティ デバイスを管理する

スマート カードは、一般に、マイクロプロセッサを搭載したクレジット カード程度の小さなデバイスで、日本では IC カードと呼ばれています。 スマート カードには、秘密キー証明書などの暗号情報が保存され、暗号処理を実行する機能が備わっています。

スマート カードを使用するには、通常、コンピュータにスマート カード リーダー(ハードウェア)が接続されており、リーダーを管理するソフトウェアがインストールされている必要があります。

スマート カードは、セキュリティ デバイスの 1 つです。セキュリティ デバイス(トークンとも呼ばれる)は、ユーザの身元に関する情報を暗号化して保存しておくハードウェアまたはソフトウェアです。デバイス マネージャを使って、スマート カードおよびその他のセキュリティ デバイスを操作します。

このセクションの内容:

セキュリティ デバイスとモジュールについて

セキュリティ デバイスを使用する

セキュリティ モジュールを使用する

FIPS モードを使用する

 

セキュリティ デバイスとモジュールについて

デバイス マネージャは、使用可能なセキュリティ デバイスをウィンドウに表示します。デバイス マネージャを使って、スマート カードなどの PKCS(Public Key Cryptography Standard) #11 をサポートするセキュリティ デバイスを管理できます。

PKCS #11 モジュール(セキュリティ モジュールとも呼ばれる)は、ソフトウェアのドライバがプリンタやモデムのような外部デバイスを制御するのと同じように、いくつかのセキュリティ デバイスを制御します。スマート カードをインストールする場合は、お使いのコンピュータにスマート カード用の PKCS #11 モジュールをインストールし、それをスマート カード リーダーに接続する必要があります。

デバイス マネージャは、3 つのセキュリティ デバイスを管理する 2 つの内蔵 PKCS #11 モジュールを標準で制御します。

[ このセクションの最初に戻る

 

セキュリティ デバイスを使用する

このセクションでは、デバイス マネージャを表示しているものとして説明します。

  1. [編集]メニューから[設定]を選択します。
  2. [プライバシーとセキュリティ]カテゴリで、[証明書]をクリックします(サブカテゴリが表示されていない場合は、カテゴリをダブルクリックしてリストを展開表示します)。
  3. [証明書]パネルで、[セキュリティ デバイスの管理]をクリックします。

デバイス マネージャは、使用可能な PKCS #11 を太字で示し、モジュール名の下に各モジュールが管理するセキュリティ デバイスを表示します。

セキュリティ デバイスを選択すると、それに関する情報がデバイス マネージャ ウィンドウの中央に表示され、右側にあるボタンのいくつかが使用できるようになります。たとえば、[ソフトウェア セキュリティ デバイス]を選択すると、以下の操作を行うことができます。

これらの操作は、ほとんどのセキュリティ デバイスで行うことができます。ただし、Builtin Object Token または Generic Crypto Services では行えません。これらのデバイスは、常に使用可能にしておく必要がある特別なデバイスです。

[ このセクションの最初に戻る

 

セキュリティ モジュールを使用する

スマート カードまたはその他の外部セキュリティ デバイスを使用する場合は、まずモジュール ソフトウェアをお使いのコンピュータにインストールし、必要に応じて、関連するハードウェアを接続する必要があります。この場合、ハードウェアに付属の説明書の指示に従ってください。

新しいモジュールをインストールしたら、以下の手順を実行して読み込みます。

  1. [編集]メニューから[設定]を選択します。
  2. [プライバシーとセキュリティ]カテゴリで、[証明書]をクリックします(サブカテゴリが表示されていない場合は、カテゴリをダブルクリックしてリストを展開表示します)。
  3. [証明書]パネルで、[セキュリティ デバイスの管理]をクリックします。
  4. [読み込み]をクリックします。
  5. [PKCS #11 デバイスの読み込み]ダイアログ ボックスで、[参照]ボタンをクリックし、モジュール ファイルを探し、[開く]をクリックします。
  6. [モジュール名]フィールドにモジュール名を入力して、[OK]をクリックします。

指定した名前の付いた新しいモジュールがモジュール リストに表示されます。

PKCS #11 モジュールの読み込みを解除するには、その名前を選択して、[読み込み解除]をクリックします。

 

FIPS モードを使用する

FIPS PUBS(Federal Information Processing Standards Publications)140-1 は、暗号化モジュール、つまり、データの暗号化と復号化、その他の暗号処理(デジタル署名の作成や確認など)を実行するハードウェアやソフトウェアを実装するためのアメリカ合衆国政府の規格です。アメリカ合衆国政府に対し販売される製品の多くは、FIPS 標準のいずれかの仕様に適合することが求められます。

ブラウザに対して FIPS を有効にするには、デバイス マネージャを使用します。

  1. [編集]メニューから[設定]を選択します。
  2. [プライバシーとセキュリティ]カテゴリで、[証明書]をクリックします(サブカテゴリが表示されていない場合は、カテゴリをダブルクリックしてリストを展開表示します)。
  3. [証明書]パネルで、[セキュリティ デバイスの管理]をクリックします。
  4. [FIPS を使用する]ボタンをクリックします。FIPS が使用可能になると、NSS Internal PKCS #11 Module という名前は NSS Internal FIPS PKCS #11 Module に変り、[FIPS を使用する]ボタンは[FIPS を使用しない]ボタンに変ります。

FIPS モードを無効にするには、[FIPS を使用しない]ボタンをクリックします。

[ このセクションの最初に戻る

 


SSL 警告と設定を管理する

SSL(Security Sockets Layer)プロトコルにより、暗号化された情報をインターネット上で別のコンピュータと交換することができます。転送中の情報はスクランブルされているため、誰も解読することができません。SSL は、証明書によって、インターネット上でコンピュータの身元を証明するためにも使われます。

TLS(Transport Layer Security)プロトコルは、SSL に基づく新しい基準です。ブラウザは標準で SSL と TLS の両方をサポートします。これにより、ブラウザは、どのバージョンの SSL または TLS でもサポートするインターネット上のおおよそのソフトウェアと動作するため、ほとんどの人に問題がありません。

ただし、場合によっては、システム管理者または知識が豊富なユーザが、特別なセキュリティの必要性や古いソフトウェアのバグ修正のために SSL 設定を調整しなければならないこともあります。

自分でその方法をよく知っているか、または誰か設定をよく知っている人が援助してくれるのでない限り、ブラウザの SSL 設定は変更しないようにしてください。どうしても変更する必要がある場合は、以下の手順を実行してください。

  1. [編集]メニューから[設定]を選択します。
  2. [プライバシーとセキュリティ]カテゴリで、[SSL]をクリックします(サブカテゴリが表示されていない場合は、カテゴリをダブルクリックしてリストを展開表示します)。

詳細については、[SSL]パネルの[ヘルプ]ボタンをクリックするか、「プライバシーとセキュリティ設定 - SSL」を参照してください。

[ このセクションの最初に戻る

 


確認設定を管理する

身分証明書を取得する」で説明したように、証明書は、運転免許証のような身分証明書で、インターネットやその他のネットワーク上で自分の身元を証明するために使用します。ただし、これも運転免許証と同様に、証明書は期限が切れたり、無効になることがあります。したがって、ブラウザ ソフトウェアは、与えられた証明書を信頼する前に、何らかの方法で有効性を確認する必要があります。

このセクションでは、証明書マネージャが証明書を確認し、そのプロセスを管理する方法について説明します。プロセスを理解するには、公開キー暗号化を多少知っている必要があります。証明書の使い方をよく知らない場合は、ブラウザの証明書確認の設定を変更する前に、システム管理者に相談してください。

このセクションの内容:

確認の機能

CRL を管理する

OCSP に対して証明書マネージャを設定する

確認の設定

 

確認の機能

証明書マネージャが保存している証明書を使用または表示するときは、いくつかの手順によって証明書を確認します。最低でも、証明書に記された認証局のデジタル署名は、次の条件を備えた認証局によって作成されていなければなりません。1. 認証局の証明書が、証明書マネージャの使用可能な認証局証明書リストにある。2. 認証局の証明書の発行が確認され、信頼できるものとして記されていること。

認証局証明書自体がない場合は、認証局証明書の証明書チェーンに、信頼できる高レベルの認証局証明書が含まれている必要があります。また、確認中の証明書が証明書ストア内で「信頼されていない」になっていないことも確認します。これらのチェックに失敗すると、証明書マネージャは証明書を確認不可とし、その証明書が証明する個人情報を認識しません。

証明書はこれらのすべてのテストに合格しても、まだ認識されない場合があります。たとえば、権限のない人が証明書の秘密キーにアクセスできる場合、証明書は破棄されます。認識されない証明書では、権限のない人(または Web サイト)が証明書の所有者になりすますことができます。

証明書マネージャのこの問題を解決する 1 つの方法に、証明書破棄リスト(CRL)を確認プロセスの一部として確認する方法があります(以下の「CRL を管理する」を参照)。 通常、CRL はリンクをクリックしてブラウザにダウンロードします。 CRL が存在する場合、証明書マネージャは同じ認証局によって発行された各証明書をこのリストと比較して確認します。

CRL の信頼性は、どのくらい頻繁にサーバが CRL を更新して、クライアントが確認するかによって変わってきます。You can configure your Automatic CRL Update Preferences so that a CRL will be updated automatically at regular intervals with the version currently on the server.

この問題に対応する別の方法としては、OCSP(オンライン証明書ステータス プロトコル)をサポートする特別なサーバを使う方法があります。こういったサーバは、個々の証明書に関するクライアントのクエリに回答します(以下の「OCSP に対して証明書マネージャを設定する」を参照)。

OCSP レスポンダと呼ばれるサーバは、証明書を発行する認証局から、更新された CRL を定期的に受け取ります。証明書マネージャを設定して、OCSP レスポンダに証明書のステータス要求を送信し、OSCP レスポンダは証明書が有効かどうかを確認することができます。

 

CRL を管理する

証明書破棄リスト(CRL)は、破棄された証明書のリストです。 認証局(CA)が証明書を無効にすることもあります。たとえば、証明書が認識されない場合です。これは、クレジット カード会社にクレジット カードの盗難届けを出すと、そのカードが無効になるのと同じような状況です。

This section describes how to import and manage CRLs.

For background information, see How Validation Works.

For detailed descriptions of CRL settings that you can control, see Validation Settings.

In this section:

About the "Next Update" Date

Importing CRLs

Viewing and Managing CRLs

 

About the "Next Update" Date

The browser uses the CRLs it has available to check the validity of certificates issued by the corresponding CAs. If a certificate is listed as revoked, the browser won't accept it as evidence of identity.

A CA typically publishes an updated CRL at regular intervals. Every CRL includes a date, specified in the Next Update field, by which the CA will publish the next update of that CRL. In general, if the date in the Next Update field is earlier than the current date, you should obtain the most recent version of the CRL. To view CRL information and set up automatic CRL updating, see Viewing and Managing CRLs.

Although the absence of the most recent CRL does not by itself invalidate a certificate, the browser may not handle such certificates correctly. In some situations, you may want to delete CRLs with Next Update dates earlier than the present. Speak to your system administrator for guidance on CRL management.

 

Importing CRLs

You can import the latest CRL from a CA into your browser. To import a CRL, follow these steps:

  1. Go to the URL specified by the CA or by your system administrator and click the link for the CRL that you want to import.

    The Import Status dialog box appears.

  2. Confirm that the CRL was imported successfully and that it's the one you wanted. In most cases you should also click Yes, which enables automatic updating of the CRL you just imported.
  3. The next step depends on whether you click Yes or No in the Import Status dialog box:
  4. Select the option labeled "Enable Automatic Update for this CRL".
  5. Decide how you want to schedule the automatic updates:
  6. Click OK to confirm your choices.

 

Viewing and Managing CRLs

You can view and manage CRLs available to the browser through the browser's Validation preferences:

  1. Open the Edit menu and choose Preferences.
  2. Under the Privacy & Security category, choose Validation. (If no subcategories are visible, double-click the category to expand the list.)
  3. Click Manage CRLs in the Validation panel to see a list of the CRLs available to Certificate Manager.

To delete or update a CRL, select it and click the appropriate button.

To set up automatic updates for a CRL, select the CRL and click Settings. The Automatic CRL Update Preferences dialog box appears:

  1. Select the option labeled "Enable Automatic Update for this CRL".
  2. Decide how you want to schedule the automatic updates:
  3. Click OK to confirm your choices.

 

Configuring OCSP

The settings that control OCSP are part of Validation preferences. To view Validation preferences, follow these steps:

  1. Open the Edit menu and choose Preferences.
  2. Under the Privacy & Security category, choose Validation. (If no subcategories are visible, double-click the category to expand the list.)

For information about the OCSP options available, see OCSP.

Return to beginning of Using Certificates section ]

[ このセクションの最初に戻る


2001 年 8 月 31 日


Original Japanese Translation was made for Netscape 6.2 by Netscape Communications Coporation.

Copyright © 1994-2001 Netscape Communications Corporation.

Translated for Mozilla by mozilla-gumi <http://mozilla.gr.jp> participants.