今回はSSL/TLSサーバ証明書に含まれる拡張キー使用法についてのお話です
拡張キー使用法 Extended Key Usage (EKU) 拡張領域とは
SSL/TLSサーバ証明書には拡張キー使用法(Extended Key Usage:以下EKU)という拡張領域があります。
このEKUは何のためにあるかというと、その前にキー使用法(Key Usage)というものがありまして、その説明を軽くしてからにします。
Key Usageとは?
Key Usageは証明書の使用方法を指定しているものです。
Key Usageには以下のようなものがあります。
- Digital Signature (0) 電子署名
- Non Repudiation (1) 否認防止
- Key Encipherment (2) 鍵暗号
- Data Encipherment (3) データ暗号
- Key Agreement (4) 鍵交換
- Key Cert Sign (5) 電子証明書の検証
- CRL Sign (6) CRLの署名検証
- Encipher Only (7) 鍵交換時のデータ暗号用
- Decipher Only (8) 鍵交換時のデータ復号用
そして、このKeyUsageを重要(Critical)と指定されている場合は、指定された用途以外で使用してはいけないことになります。
グローバルサイン社のWebサイトに導入されているEV証明書のキー使用法は、
- Digital Signature 電子署名
- Key Encipherment 鍵暗号
が指定されています。
そして、アイコンのところにビックリマークがついていますので、Criticalで設定されているということになります。
これが鍵の基本的な使用方法、Key Usageです。
Extended Key Usageとは?
そして、EKUですが、これはKey Usageの拡張領域となります。
要は、鍵の追加的な用途情報を指定することができる項目です。
グローバルサインのWebサイトで導入されているEV証明書では、
- サーバー認証 (1.3.6.1.5.5.7.3.1)
- クライアント認証 (1.3.6.1.5.5.7.3.2)
が指定されています。
そして、ビックリマークがついてませんので、「Criticalではない」ということになります。
Criticalではないということは、SSL/TLSアプリケーションは確認しても、しなくてもよいということになります。
この項目で言うとこのSSL/TLS証明書は、サーバ認証やクライアント認証にも使える証明書ということになりますね。
証明書によってEKUは違う
上記で紹介したのはEnd Entity証明書ですが、ルート証明書だと設定内容が変わったりと証明書によってEKUの内容は異なります。
グローバルサイン社のルート証明書「GlobalSign Root CA – R3」に設定されているEKUは
- サーバー認証
- クライアント認証
- コード署名
- 電子メールの保護
- タイム スタンプ
- 暗号化ファイル システム
- IP セキュリティ トンネル終端
- IP セキュリティ ユーザー
これだけのEKUが設定されています。
よってこのルート証明書はいろんな用途に使うことができるルート証明書ということになりますね。
ついでなのでほかの認証局のルート証明書も見てみました。
デジサート DigiCert High Assurance EV Root CA のEKU
デジサートのサイトに導入されているEV証明書のルート証明書となる「DigiCert High Assurance EV Root CA」には以下のEKUが設定されていました。
- サーバー認証
- クライアント認証
- 電子メールの保護
- コード署名
- タイム スタンプ
基本的な構成ですね。
サイバートラスト Security Communication RootCA2のEKU
サイバートラストのWebサイトに導入されているEV証明書のルート証明書「Security Communication RootCA2」も
- サーバー認証
- クライアント認証
- 電子メールの保護
- コード署名
- タイム スタンプ
でした。デジサートと同じですね。
EKUのまとめ
EKUについてまとめると
- キー使用法からさらに細かく使用方法を指定できる拡張領域
- Criticalではない
- End Entity証明書やルート証明書で設定内容が異なる
- 認証局によっても設定が異なる
ということでした。
以上、「拡張キー使用法 Extended Key Usage (EKU) 拡張領域とは」でした。
コメント