S/MIME証明書
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/02/24 06:43 UTC 版)
上記のアプリケーションでS/MIMEを使う前に、自身の組織内認証局(CA: Certificate Authority)から、または以下に挙げているような公的な認証局(パブリックCA)から、個別の鍵ペア/証明書の両方を入手しインストールしなければならない。最も効果的な方法は、署名用と暗号化用に別々の鍵ペア(および関連する証明書)を使うことである。こうすることにより署名用の私有鍵の否認防止という特性を危険にさらすことなく、暗号文を復号する私有鍵を預託できる。暗号化には証明書の保存場所(証明書ストア)に送信相手(と、ふつうは送信者自身)の証明書が保存されている必要がある(一般的には有効な署名がされた証明書と一緒に電子メールを受信した時に自動的に保存される)。デジタル署名のための送信者自身の証明書を持たずに、(送信相手の証明書を用いて)暗号文を送信することは技術的には可能だが、実際には、S/MIMEクライアントは他者への暗号化を可能にする前に送信者自身の証明書を組み込むように要求するであろう。 よくある基本的な個人証明書は所有者を電子メールのアドレスに結び付ける観点でのみ所有者の身元を検証し、その人の名前や職業は検証しない。もし必要ならば(例えば契約書へ署名するため)、後者はより一層の検証(電子公証)サービスやPKI管理サービスを提供する認証局を通して入手できる。認証に関するさらに詳しい点については、デジタル署名を参照。 認証局の方針に従い、証明書およびその全ての内容は、参照と検証のために公に掲示される可能性がある。これはあなたの名前と電子メールのアドレスを全ての人が参照したり、あるいは検索できるようにする。それ以外の認証局は証明書の通し番号と失効状態しか掲示せず、個人情報は何も掲示しない。最低限、後者は公開鍵基盤の完全性を維持するために必須である。 S/MIME証明書は、EX.509v3のKeyUsage拡張属性の値にDigital SignatureとNon Repudiation (11) を、ExtendedKeyUsage拡張属性の値にE-mail Protection (1.3.6.1.5.5.7.3.4) を、SubjectAltName拡張属性の値に電子メールのアドレスを指定する。認証局によってはNetscapeCertType拡張属性の値を指定するかもしれない。
※この「S/MIME証明書」の解説は、「S/MIME」の解説の一部です。
「S/MIME証明書」を含む「S/MIME」の記事については、「S/MIME」の概要を参照ください。
- S/MIME証明書のページへのリンク