証明書情報と決定

このセクションでは、証明書マネージャで表示される各種ウィンドウについて説明します。各ウィンドウで[ヘルプ]ボタンをクリックすると、さらに詳しい情報が表示されます。

このセクションの内容:

証明書の詳細

セキュリティ デバイスの選択

証明書のバックアップ

ユーザ識別を要求する

新規認証局の追加

ブラウザが CRL を受け入れない場合

Web サイトの証明書

 

証明書の詳細

[証明書の詳細]ウィンドウには、[証明書マネージャ]のいずれかのタブで選択した証明書に関する情報が表示されます。ほとんどの場合は、[一般]タブで十分な情報が得られます。[詳細]タブには、証明書の内容に関する詳細情報が表示されます。これは通常、IS の専門家が必要とするような情報です。

このセクションの内容:

[一般]タブ

[詳細]タブ

 

[一般]タブ

[証明書の詳細]ウィンドウを最初に開くと、[一般]タブに選択した証明書に関する情報が表示されます。

 

[詳細]タブ

[証明書の詳細]ウィンドウの最上部にある[詳細]タブをクリックすると、選択した証明書の詳細が表示されます。[証明書の階層]領域にあるいずれかの証明書情報を調べるには、名前を選択し、[証明書のフィールド]でフィールドを選択して、[フィールドの値]のフィールド値を確認します。

[証明書の詳細]タブは、可能な限り、判読可能な基本 ANSI 形式で表示されます。証明書マネージャが解読できない内容については、証明書に含まれている実際の値を表示します。

 

セキュリティ デバイスの選択

セキュリティ デバイス(トークンと呼ばれることもあります)は、暗号化や復号化のような暗号処理サービスを行うハードウェアまたはソフトウェアから構成されるデバイスで、証明書とキーを保管します。証明書やキーをインポートしたり、新しい証明書用のキーを生成したりするなど、暗号化処理を実行する際に使用するセキュリティ デバイスを決定するときに、[セキュリティ デバイスの選択]ウィンドウが表示されます。このウィンドウで、ユーザのコンピュータから検出された複数のセキュリティ デバイスの中から目的のものを選択します。

セキュリティ デバイスの一例が、スマート カードです。たとえば、コンピュータに接続されたスマート カード リーダーにスマート カードが挿入されている場合、そのスマート カードの名前がドロップダウン メニューに表示されます。この場合、メニューからスマート カードの名前を選択して、それを使用することを証明書マネージャに知らせる必要があります。

また、証明書マネージャには独自の標準セキュリティ デバイスも備わっています。このデバイスは、他のデバイスが使用可能である/ないに関わらず、常に使用できます。

 

証明書のバックアップ

証明書を受信したら、その証明書と秘密キーのバックアップをとり、そのコピーを安全な場所に保管してください。たとえば、コピーをフロッピー ディスクに格納し、他の貴重品と同様にキーのかかる場所に保管するとよいでしょう。こうすれば、ハード ディスクやファイルが損傷した場合でも、簡単に証明書を復元することができます。

用途によっては、証明書や関連する秘密キーの紛失は不便だけでなく深刻な問題をもたらすこともあります。例として、次の状況が考えられます。

他の貴重なデータと同様に、証明書のバックアップをとり、トラブルや不要な出費を避けるようにしてください。忘れないうちに、今すぐバックアップを実行しましょう。

 

ユーザ識別を要求する

Web サイトの中には証明書によってユーザ識別を行う Web サイトもあります。これは、名前やパスワードよりも証明書の方がより信頼性の高い ID と考えられるためです。インターネット上でのこのユーザ識別方法は、クライアント認証設定とも呼ばれます。

ただし、Web サイトに対してユーザ ID を証明する証明書が複数個ある場合は、[ユーザ ID の要求]ウィンドウが表示され、アクセスする Web サイトに対して適切な証明書を選択できます。

Web サイトも、自己識別のために証明書を使用します。ユーザがアクセスしようとする Web サイトが提示する証明書は、このウィンドウの最上部に表示されます。ここでの情報には、証明書を発行した認証局の名前も含まれます(「発行:」というラベルが付いています)。

Web サイトに対してユーザが ID を証明するのに使用できる証明書は、このウィンドウの最下部のドロップダウン メニューに表示されます。アクセスしたい Web サイトによって、最も認識される可能性の高い証明書を選択してください。

 

新規認証局の追加

証明書マネージャがファイルに格納している証明書には、コンピュータまたはスマート カードのような外付けセキュリティ デバイスのどこに格納されているかに関わらず、認証局(CA)を識別する証明書が含まれています。ファイルされたその他の証明書を認識する上で、証明書マネージャは、それらの証明書を発行した CA または認定発行者の証明書を必要とします。特定の CA を信頼することにした場合、証明書マネージャは CA の証明書をファイルし、その CA が発行する証明書を認識するようになります。

新しい CA 証明書を受け入れる前に、証明書の信頼方法を指定するためのウィンドウが表示されます。[表示]をクリックして CA 証明書を確認するか、または [証書]をクリックして CA の方針に関する情報を確認できます。

新しい認証局を信頼する前に、誰がその認証局を運営しているかを確認しましょう。発行される証明書にとって認証局の方針や手順が適切かどうか、たとえば、認証局が金銭のやり取りに使用される Web サイトの証明書を発行する場合は、その認証局の保証レベルが満足すべきものであることを確認してください。

さらに、CA が発行する証明書のうち信頼するものの種類を決める必要があります。次のうち、いずれかのオプションを選択できます。

 

ブラウザが CRL を受け入れない場合

証明書破棄リスト(CRL)とは、破棄された証明書のリストです。 ブラウザは CRL を使用して、認証局(CA)が発行した証明書が有効であるかどうかを確認します。 破棄された証明書としてリストされている場合、ブラウザはその証明書を ID 証明として受け入れません。

通常、認証局は定期的に更新された CRL を公開します。 各 CRL には、[次の更新]フィールドに日付が指定されています。これは、認証局がその CRL の次の更新を公開する日付です。 [次の更新]フィールドの日付が現在の日付より古い場合は、最新バージョンの CRL を取得するようにしてください。

最新バージョンの CRL が存在しないために証明書が無効になることはありませんが、最新バージョンの CRL が利用可能になるまで、ブラウザはサーバ証明書を受け入れることができません。 場合によっては、[次の更新]フィールドの日付が現在の日付より古い CRL を削除する必要があります。 CRL 管理の詳細については、システム管理者に問い合わせてください。

CRL、および CRL の表示と削除については、「CRL を管理する」を参照してください。

 

Web サイトの証明書

SSL を使用した認証および暗号化をサポートする Web サイトにアクセスしようとすると、次のいずれかのウィンドウが開きます。

このセクションの内容:

新規 Web サイト証明書

有効期限切れの Web サイト証明書

Web サイト証明書はまだ有効ではありません

予期しない証明書名

 

新規 Web サイト証明書

Web サイトの中には、ユーザがアクセスしたときに、サイト自体の ID 証明書を使用するサイトが数多くあります。証明書マネージャが、Web サイトの証明書を発行する認証局(CA)を認識できない場合は、新しい Web サイト証明書を調べ、何をすべきかを決定するための警告が表示されます。

証明書を検証するには、[表示]をクリックします。

以下の操作を実行します。

[この証明書を永続的に記憶する]を選択すると、この Web サイト証明書に対する問題は解消されますが、同じ認証局から発行された証明書を使用するその他の Web サイトにアクセスすると、同じ警告が表示されます。

指定した認証局が発行するすべての証明書を信頼するように証明書マネージャを設定するには、該当する認証局の証明書の信頼設定を編集する必要があります。信頼設定を編集するには、以下の手順を実行します。

  1. [編集]メニューから[設定]を選択します。
  2. [プライバシーとセキュリティ]カテゴリで、[証明書]をクリックします(サブカテゴリが表示されていない場合は、カテゴリをダブルクリックしてリストを展開します)。
  3. [証明書]をクリックします。
  4. [認証局]タブをクリックします。
  5. 信頼設定を編集する認証局の証明書を選択します。
  6. [編集]ボタンをクリックして、適切な信頼設定を選択します。

選択すべき信頼設定を判断するには、[編集]ダイアログ ボックスの[ヘルプ]ボタンをクリックするか、「認証局の証明書の信頼設定を編集する」を参照してください。

 

有効期限切れの Web サイト証明書

クレジット カード、運転免許証、その他の多くの ID 証明書と同様、証明書は指定された期間だけ有効です。有効期限が切れた場合は、新規に証明書を取得する必要があります。

ユーザが証明書の有効期限が切れた Web サイトにアクセスすると、証明書マネージャは[有効期限切れの Web サイト証明書]ウィンドウを表示します。このウィンドウの指示に従い、まずはじめに日時表示が正確かどうかをチェックしてください。コンピュータの時刻がこの期限以降の日付になっている場合、証明書マネージャは、Web サイトの証明書を期限切れとして処理します。

[表示]ボタンをクリックすると、有効期限などの証明書に関する情報を調べることができます。

サイトを信頼すべきかどうかは、サイトで何を行おうとするか、サイトについてどのような知識があるかによって決まります。ほとんどの商用サイトは、証明書の有効期限が切れる前に証明書の更新を行っています。

証明書の期限切れが不注意によるものであると判断した場合は、今回のセッションで証明書を受け入れ、Web サイトの管理者にこの問題を通知することもできます。

深刻な問題があると考えられる場合でも、証明書を受け入れることができます。その場合は、サイトへのアクセスに十分な注意を払うようにしてください。それ以外の場合は、証明書を受け入れないようにします(この場合、ブラウザはサイトに接続しません)。

 

Web サイト証明書はまだ有効ではありません

クレジット カード、運転免許証、その他の多くの ID 証明書と同様、証明書は指定された期間だけ有効です。

証明書がまだ有効ではない Web サイトにアクセスすると、証明書マネージャは、[Web サイト証明書はまだ有効ではありません]ウィンドウを表示します。まず、コンピュータの日付が正確かどうかチェックしてください。コンピュータの日付および時刻表示が間違っている場合、証明書マネージャは、その時間設定に従って、Web サイトの証明書はまだ有効でないと判断する可能性があります。

[表示]ボタンをクリックすると、有効期限などの証明書に関する情報を調べることができます。

サイトを信頼すべきかどうかは、サイトで何を行おうとするか、サイトについてどのような知識があるかによって決まります。ほとんどの商用サイトは、証明書の使用を開始する前に、証明書の有効期間が開始したことを確認しています。

証明書の期限切れが不注意によるものであると判断した場合でも、今回のセッションで証明書を受け入れ、Web サイトの管理者にこの問題を通知することができます。

深刻な問題があると考えられるる場合でも、証明書を受け入れることができます。その場合は、そのサイトへのアクセスに十分な注意を払う必要があります。それ以外の場合は、証明書を受け入れないようにします(この場合、証明書マネージャはサイトに接続しません)。

 

予期しない証明書名

Web サイト証明書では、サイトのホスト名 を使ってWeb サイトの名前を指定します。Web サイトの証明書内のホスト名が Web サイトの実際のホスト名と一致しないということは、ユーザと Web サイト間の通信を、第三者が妨害している可能性があることを意味します。

サイトを信頼すべきかどうかは、サイトで何を行おうとするか、サイトについてどのような知識があるかによって決まります。ほとんどの商用サイトでは、Web サイト証明書に載ったホスト名が Web サイトの実際のホスト名と一致しています。

現在のセッションで証明書を受け入れる場合は、Web サイトでの操作を慎重に行い、そのサイトで取得した情報を慎重に取り扱うようにしてください。


2001 年 9 月 6 日

Original Japanese Translation was made for Netscape 6.2 by Netscape Communications Coporation.

Copyright © 1994-2001 Netscape Communications Corporation.

Modified for Mozilla by mozilla-gumi <http://mozilla.gr.jp> participants.