公開キー基盤 (PKI) とは、デジタル証明書、証明機関 (CA)、および公開キー暗号化の使用を通じて電子取引にかかわる各エンティティの有効性を確認し、認証する登録機関のシステムのことです。PKI の標準は、電子商取引の必須要素として広く実装されている現在でも発展途上にあります。PKI の計画および公開キー暗号化の使用方法の詳細については、「Active Directory 証明書サービスのリソース」を参照してください。
Microsoft PKI では、スケーラブルで、商用およびその他の CA 製品数が増加しても一貫性を保つことができる、階層型の CA モデルをサポートしています。
最も単純な形式では、証明書階層は単一の CA から構成されます。ただし、階層には親子関係が明確に定義された複数の CA が含まれることが少なくありません。このモデルでは、子の下位 CA は、自分の親の CA が発行した証明書によって証明されます。親の CA が発行した証明書は、CA の公開キーを ID に結び付けます。階層の最上部の CA は、ルート CA と呼ばれます。ルート CA の子 CA は、下位 CA と呼ばれます。詳細については、「証明機関の種類」を参照してください。
Windows では、信頼されたルート証明機関の証明書ストアにルート CA の証明書を置くことによってルート CA を信頼すると、階層内に有効な CA 証明書を持つすべての下位 CA を信頼することになります。つまり、ルート CA は、組織内で重要な信頼の要であり、適切にセキュリティ保護する必要があります。詳細については、「CA 証明書」を参照してください。
複数の下位 CA をセットアップすることには、次のような実用上の理由があります。
-
使用方法 : 証明書は、セキュリティで保護された電子メールやネットワーク認証など、さまざまな目的で発行されることがあります。これらの用途の発行ポリシーは異なる場合があるため、分離することによって、ポリシーごとに管理する基盤を得ることができます。
-
組織上の区分 : 組織内のエンティティのロールによって、証明書の発行ポリシーが異なることがあります。ここでも、下位 CA を作成することによって、ポリシーごとに分離して管理することができます。
-
地理上の区分 : 組織には、複数の物理的な拠点がある場合があります。多くの拠点またはすべての拠点では、これらの拠点間のネットワーク接続に、個別の下位 CA が必要なことがあります。
-
負荷分散 : 大量の証明書を発行および管理するために PKI が使用されている場合、CA が 1 つだけでは、その CA に対するネットワーク負荷が非常に大きくなります。同じ種類の証明書を発行するために複数の下位 CA を使用することにより、ネットワーク負荷を複数の CA に分散できます。
-
バックアップおよびフォールト トレランス : 複数の CA を持つことにより、ユーザーの要求に応答するために使用できる稼働中の CA が常にネットワークに存在する確立が高まります。
CA 階層には、次のような管理上の利点もあります。
-
セキュリティと操作性のバランスを調整できるように柔軟に構成された CA セキュリティ環境。たとえば、ルート CA に対して特別な目的の暗号化ハードウェアを採用し、物理的に保護された領域やオフラインで運用することができます。これは、コストや操作性の関係で、下位 CA に対しては適用できない場合があります。
-
確立された信頼関係に影響を与えることなく、CA 階層の特定の部分を "オフにする" 機能。たとえば、組織の他の部分に影響を与えることなく、特定のビジネス ユニットに関連する CA 証明書の発行を簡単にシャットダウンしたり拒否したりできます。