にょずら証明書ビューア

「にょずら」の「証明書ビューア」は、「政府認証基盤 (GPKI)」が用いている表記に沿って訳してあります。
ただし、GPKI の仕様書は PDF 形式しかないため、文中では「IPA(独立行政法人 情報処理推進機構)」のページにリンクしています。
両者の表記の違いは 文末 にまとめてあります。
スクリーンショットは Firefox 3.5 のものです。

[全般] タブ - 全景

certview01.png証明書ビューアを開くと、[全般] タブにその証明書の全般的な情報が表示されます。

Firefox 3 以降は OCSP(オンライン証明書状態プロトコル)が既定でオンになっており、証明書ビューアを開いたときに OCSP による証明書の有効性の検証が行われます。
通常のセキュア接続(SSL/TLS)では、使用目的として「SSL サーバー証明書」と記された証明書がサーバーから提示されます。
「主体者」がその証明書の発行先となる所有者(サイトの運営者)で、「発行者」がその証明書を発行した「認証局」です。

証明書が改ざんされていないことを確認する手段として、「フィンガープリント(拇印)」が用意されています。

[全般] タブ - 証明書の目的

certview02.png「証明書の目的」として表示されるのは、セキュア接続のときにサーバーがクライアント(利用者)に提示する「SSL サーバー証明書」「ステップアップ対応 SSL サーバー証明書」のほか、「OCSP レスポンダ証明書」「コードサイニング証明書」「SSL クライアント証明書」「電子メール署名者証明書」などがあります。

SeaMonkey 1.1 では証明書の目的の省略形が、「証明書マネージャ」の「目的」に表示されます(このスクリーンショットのみ SeaMonkey 1.1 のものです)。

[詳細] タブ - 全景

certview03.png「証明書ビューア」の「詳細」タブには、「証明書の階層 (認証パス)」「証明書のフィールド」「フィールドの値」のセクションがあります。

「証明書の階層」はその証明書からルート認証局証明書(トラストアンカー/信頼点)までの階層(証明書チェーン)のことで、IPA では「認証パス」としています(「証明書パス」としているページもあり)。

[詳細] タブ - 証明書のフィールド

「証明書のフィールド」を、IPA の「PKI 関連技術解説 - 3.3 電子証明書 - 3.3.5 X.509 証明書のプロファイル」の図と並べてみます。

certview04.png

[詳細] タブ - 証明書のフィールド - 拡張領域

証明書の拡張領域については、IPA の「PKI 関連技術解説 - 3.3 電子証明書 - 3.3.6 X.509証明書の拡張領域」で説明されています。
その説明に合わせて、pipnss.properties ファイルのエンティティを並べ直してみます。
それぞれのフィールドに critical(重要度)ビットがあり、TRUE か FALSE のどちらかが指定されています。

CertDumpCritical = critical:TRUE (重要である)
CertDumpNonCritical = critical:FALSE (重要ではない)

Subject Type Extensions(主体タイプ拡張)

CertDumpBasicConstraints = 基本制約
CertDumpIsCA = cA:TRUE (認証局である)
CertDumpIsNotCA = cA:FALSE (認証局ではない)
CertDumpPathLen = 中間認証局の最大数: %S
CertDumpPathLenUnlimited = 制限なし

Name Extensions(名前拡張)

CertDumpIssuerAltName = 発行者代替名
CertDumpRFC822Name = 電子メール アドレス
CertDumpSubjectAltName = 主体者代替名
CertDumpRFC822Name = 電子メール アドレス
CertDumpDirectoryName = X.500 識別名
CertDumpNameConstraints = 名前制約

Key Attributes(鍵属性)
IPA の「PKI 関連技術解説 - 3.3 電子証明書 - 3.3.6 X.509証明書の拡張領域」に「表 3-6 鍵使用目的の種類」があります。GPKI では「鍵用途」になっています。

CertDumpKeyUsage = 鍵用途
CertDumpKUSign = digitalSignature (署名者の署名検証)
CertDumpKUNonRep = nonRepudiation (否認防止サービスの署名検証)
CertDumpKUEnc = keyEncipherment (鍵の暗号化)
CertDumpKUDEnc = dataEncipherment (データの暗号化)
CertDumpKUKA = keyAgreement (鍵合意)
CertDumpKUCertSign = keyCertSign (証明書の署名検証)
CertDumpKUCRLSigner = cRLSign (CRL の署名検証)
CertDumpExtKeyUsage = 拡張鍵用途
CertDumpEKU_1_3_6_1_5_5_7_3_1 = TLS Web サーバー認証
CertDumpEKU_1_3_6_1_5_5_7_3_2 = TLS Web クライアント認証
CertDumpEKU_2_16_840_1_113730_4_1 = Netscape Server Gated Crypto
CertDumpEKU_1_3_6_1_4_1_311_10_3_3 = Microsoft Server Gated Crypto
CertDumpSubjectKeyID = 主体者鍵識別子
CertDumpRawBytesHeader = サイズ: %S バイト / %S ビット
CertDumpAuthKeyID = 機関鍵識別子
CertDumpRawBytesHeader = サイズ: %S バイト / %S ビット

Policy Information(ポリシー情報)

CertDumpCertPolicies = 証明書ポリシー
CertDumpCPSPointer = 認証実施規程 (CPS): URI
CertDumpPolicyOidEV = EV SSL サーバー証明書
CertDumpUserNotice = ユーザー通知
CertDumpPolicyMappings = ポリシー マッピング
CertDumpPolicyConstraints = ポリシー制約

Additional Information(追加情報)

CertDumpCrlDistPoints = CRL 配布点
CertDumpURI = URI
CertDumpSubjectDirectoryAttr = 主体者ディレクトリ属性

Private Internet Extensions(独自インターネット拡張)

CertDumpAuthInfoAccess = 機関情報アクセス (AIA)
CertDumpOCSPResponder = OCSP レスポンダ
CertDumpCAIssuers = 発行者の証明書
CertDumpCertType = Netscape 証明書タイプ <- Netscape 7.1 より
VerifySSLCA = SSL 認証局証明書
CertDumpEmailCA = S/MIME 認証局証明書
VerifyObjSign = コードサイニング証明書
CertDumpLogotype = ロゴタイプ
CertDumpRawBytesHeader = サイズ: %S バイト / %S ビット

【参考資料】

GPKI <-> IPA 表記の違い

keyUsage = 鍵用途 <-> 鍵使用目的
extendedKeyUsage = 拡張鍵用途 <-> 拡張鍵使用目的
issuerAltName = 発行者代替名 <-> 発行者別名
subjectAltName = 主体者代替名 <-> 主体者別名
AuthorityInfoAccess = AIA (Authority Information Access) <-> 機関アクセス情報
CPS = 認証実施規程 <-> 認証局運用規程
keyCompromise = 鍵の危殆 <-> 鍵危殆化
cACompromise = CA 鍵の危殆 <-> 認証局危殆化
affiliationChanged = 所属の変更 <-> 所属変更
superseded = 上書き <-> 破棄
cessationOfOperation = 業務の停止 <-> 運用停止
certificateHold = 証明書の保留 <-> 証明書保留
Server = サーバ <-> サーバー
Policy = ポリシ <-> ポリシー

「にょずら」では「サーバー」「ユーザー」を用いているので、この 2 点は GPKI の表記と異なります。


Valid HTML 4.01 Strict