CSRとは何か? -悶々とされている方へ。サーバー証明書を理解するための最重要ポイント

これから最重要事項をのべる。記憶に極印していただきたい。

CSRには公開鍵がふくまれている。
以上だ。

サーバー証明書に公開鍵がふくまれている旨の記述は見かけるが、CSRについて同様に言及したものは少ない。
このかゆーいところを、もったいぶってかハッキリと説明されていない場合がほとんどなのだ。
CSRとは、公信力を欠いたサーバー証明書といえようか。暗号通信に関してはサーバー証明書と同等なのだ。
ただ、公信力、つまり認証局経由の拇印がおされていないので世間一般の信用がないだけである。
よって、認証サービスを提供している会社なりサイトなりにCSRを提供しておカネを支払うと拇印つきのCSR(つまりサーバー証明書)を作成してくれる流れだ。
おおざっぱに言えば、CSRはノーブランドのサーバー証明書と表現してもいいかも知れない。

「https化 (SSL化)」のテーマを理解するうえで、上記の理解が画竜点睛となる。
ここをはじめに押えておくと、広大なサーバー証明書のロジックを旅するうえで支点がしっかりとさだまる。
CSRには公開鍵がふくまれていることを声を大にして説明してくれている書籍にめぐり合えていたら苦労しなかった。
ネットワーク技術者になりたてのころのわたしは「CSR」と聞いただけで苦手意識が高じて気持ちがブルーになった
だから、もう一度おおきな声で(文字で)言いたい!
CSRには公開鍵(コ・ウ・カ・イ・カ・ギ)がふくまれている!

SSLボックス

サーバー証明書を受領するまでの流れを簡単におさらいしておこう。
まず、IISなりOpenSSLなりのサーバー環境を用意してCSRを作成する。
冒頭で力説したとおり、CSRには公開鍵がふくまれているので当然ながら対応する秘密鍵も同時に作成されていることも頭の片隅においておく。(公開鍵、秘密鍵はともに単独では存在しえない)
作成したCSRを認証局サービスを提供するサイトに送り、支払いを済ませると拇印がおされたCSR、つまりはサーバー証明書を送付してくれる。
あとはサーバー証明書を目的のサーバーにインストールすればよい。

おすすめの認証局サービス
ほとんどの場合、SSLBOXで事足りるだろう。
とりわけ、「CoreSSL」は格安なうえ使い勝手が大変よろしい。
あなたが会社でサーバー証明書を取得するように指示をうけたら、まずはSSLBOXで「CoreSSL」1年ものを入手するとよいだろう。
ストレスなく受領できるはずだ。

もっともお伝えしたいことは言い切った。
以降はよくある解説です。

運営されているサイト(以下、単に「サイト」)にサーバー証明書をインストールすると暗号化通信が可能になる。
具体的には、ユーザーがサイトを閲覧する際にやりとりされるパケットを盗み見される可能性が原理的になくなるのだ
要は、セキュリティが向上する。

「盗み見ってどうやるの?」と疑問に思われた方へ。
もっとも露骨な方法として、インターネット網にあまた存在するL2スイッチでパケットキャプチャーをおこなう方法がある。
一般的にでっかいL2スイッチで、一般家庭の床にころがっているスイッチとは機能・性能がおおはばに異なる製品群だ。
ここでパケットキャプチャー(インターネット上をながれているパケットを根こそぎパソコンなどに取り込む)をおこない、それを解析ソフトでみれば簡単に盗み見できてしまう。
解析ソフトでは「Wireshark」が有名

【宣伝】おすすめ!「ファイヤーウォール (字幕版)」 / Amazonプライムビデオ

暗号化されていれば、上述のキャプチャーを実行されても内容は暗号化されていて分からない。また、復号化をこころみても事実上不可となる。

SSL化はセキュリティを向上させる基本的な手法であり、今や導入必須といってもよい。
なぜなら、SSL化されていないサイトでは、ブラウザによってはユーザーに警告を表示させたりして不安をあおってしまう。
さらに、これがもっとコワいのだが、基本的なセキュリティ対策もできていないのでクラッカーにねらわれやすくなると考えられる。

アドレス欄の表示。sslなしの場合
Safariの場合 (iPad)

実ハ、サーバー証明書をインストールするともうひとついいことがある。
こちらは「暗号化」にくらべると地味な役割であまり知られていない。
それは、サイトの「(公的な)認証」が付与される役割だ。

認証

「認証?」といってもピンとこないかも知れない。
要は、インターネット界にはサイトの健全性を保証する協会のようなものがあり、そこから「あなたのサイトは安心・安全です」とのお墨付きをもらえると考えればよい。
なお、お墨付きにも格付けがある。最上位の格付けを得るには、登記簿などをこの協会に提出するなどの手続きを経なければならない。

以上がサーバー証明書の概要だ。

わたしがサーバー証明書をはじめて作成したころのはなし

いまから15年以上前、職場のパソコンで手順書をみながらサーバー証明書をはじめて作成した。
ほとんど写経のようなもので何も理解できなかった。
とりわけ、「CSR」が何なのかが分からなかった。その後、「CSR」で検索してしらべても難解な説明がおおく一向に理解はすすまなかった。

おなじような疑問を持たれている方へ。
ここでも、「CSR」イコール「公開鍵」と考えてよい。
実際には電子署名以外のおおくの情報がふくまれている。でも、やはり最も重要なのは「公開鍵」なのだ。
「CSR」と「サーバー証明書」とのちがいは、電子署名の有り無しと考えればよい。前者が無し、後者が有りだ。

エレベーターピッチ

エレベーターピッチ。30秒でPKIの基本を説明する。
つづき執筆中

サーバー証明書を購入先は「SSLボックス」がおすすめ

初心者の方や、ネットワーク担当となって日のあさい方は、「SSLボックスの利用を推奨。
とってもつかいやすいサイト。わたしも愛用している。
メール認証のサーバー証明書なら受領まで1時間もかからない。

サーバー証明書を購入するなら「SSLボックス」

最初は「CoreSSL」を購入するとよいだろう。「www」のありなしにも対応している使い勝手のよいサーバー証明書だ。
絶対おすすめ!

技術ブログのトップページにもどる