デジタル証明書の設定

デジタル証明書は、CA(認証機関)と呼ばれる信頼できるサードパーティーを介してユーザーを認証する方法を提供します。CA は、証明書所有者の ID を検証し、証明書が鍛造または変更されていないことを証明するために証明書を「署名」します。

証明書には、次の情報が含まれています。

• 所有者の識別名(DN)DN は一意の識別子であり、所有者、所有者の組織、その他の識別情報の共通名(CN)を含む完全修飾名で構成されます。

• 所有者の公開キー。

• 証明書が発行された日付。

• 証明書の有効期限が切れる日付。

• 発行元 CA の識別名。

• 発行元 CA のデジタル署名。

証明書の追加情報により、受信者は証明書を受け入れるかどうかを決定できます。受信者は、有効期限日に基づいて証明書がまだ有効かどうかを判断できます。受信者は、CA が発行元の CA に基づいてサイトによって信頼されているかどうかを確認できます。

証明書を使用すると、CA は所有者の公開鍵を受け取り、その公開鍵に独自の秘密鍵を付けて署名し、これを証明書として所有者に返します。受信者は、所有者の公開キーを使用して証明書(CA の署名を含む)を抽出できます。CA の公開キーと、抽出された証明書で CA の署名を使用することで、受信者は CA の署名と証明書の所有者を検証できます。

デジタル証明書を使用する場合、最初に CA から証明書を取得する要求を送信します。次に、デジタル証明書とデジタル証明書 IKE ポリシーを設定します。最後に、CA からデジタル署名された証明書を取得します。

証明機関(CA)は、参加する IPsec ネットワーク デバイスに対する証明書要求を管理し、証明書を発行します。証明書要求を作成するときは、証明書の所有者に関する情報を提供する必要があります。必要な情報とその形式は、認証機関によって異なります。

証明書は、読み取りと更新の両方のアクセスを提供するディレクトリ アクセス プロトコルである X.500 形式の名前を使用します。名前全体を DN(識別名)と呼ばれます。CN(共通名)、組織(O)、組織ユニット(OU)、国(C)、地域(L)などを含む一連のコンポーネントで構成されています。

SCEP サーバーの URL と、mycompany.com する証明書を持つ証明機関の名前を指定します。filename 1 は、結果を格納するファイルの名前です。「Received CA certificate:」という出力は、証明書の署名を提供します。これにより、証明書が本物であることを(オフラインで)検証できます。