デジタル証明書の設定

デジタル証明書は、認証局 (CA) と呼ばれる信頼できるサードパーティーを介してユーザーを認証する方法を提供します。CA は、証明書所有者の身元を検証し、証明書が偽造または変更されていないことを証明するために証明書に「署名」します。

証明書には、次の情報が含まれています。

• 所有者の識別名 (DN)。DN は一意の識別子であり、所有者の共通名 (CN)、所有者の組織、およびその他の識別情報を含む完全修飾名で構成されます。

• 所有者の公開キー。

• 証明書が発行された日付。

• 証明書の有効期限が切れる日付。

• 発行元 CA の識別名。

• 発行元 CA のデジタル署名。

証明書の追加情報により、受信者は証明書を受け入れるかどうかを決定できます。受信者は、有効期限に基づいて証明書がまだ有効かどうかを判断できます。受信者は、発行元 CA に基づいて、CA がサイトによって信頼されているかどうかを確認できます。

証明書を使用すると、CA は所有者の公開キーを取得し、その公開キーに独自の秘密キーで署名し、これを証明書として所有者に返します。受信者は、所有者の公開キーを使用して証明書 (CA の署名を含む) を抽出できます。抽出された証明書で CA の公開キーと CA の署名を使用することにより、受信者は CA の署名と証明書の所有者を検証できます。

デジタル証明書を使用する場合は、最初に CA から証明書を取得する要求を送信します。次に、デジタル証明書とデジタル証明書IKEポリシーを設定します。最後に、CA からデジタル署名された証明書を取得します。

認証局(CA)は、証明書の要求を管理し、参加している IPsec ネットワーク デバイスに証明書を発行します。証明書の要求を作成するときは、証明書の所有者に関する情報を指定する必要があります。必要な情報とその形式は、証明機関によって異なります。

証明書は、読み取りアクセスと更新アクセスの両方を提供するディレクトリ アクセス プロトコルである X.500 形式の名前を使用します。名前全体を DN (識別名) と呼びます。これは一連のコンポーネントで構成され、多くの場合、CN (共通名)、組織 (O)、組織単位 (OU)、国 (C)、地域 (L) などが含まれます。

SCEP サーバーへの URL と、証明書が必要な証明機関の名前 (mycompany.com) を指定します。ファイル名 1 は、結果を格納するファイルの名前です。出力「受信したCA証明書:」には証明書の署名が提供され、証明書が本物であることを(オフラインで)確認できます。