証明書ビューアを開くと、[全般] タブにその証明書の全般的な情報が表示されます。「にょずら」の「証明書ビューア」は、「政府認証基盤 (GPKI)」が用いている表記に沿って訳してあります。
ただし、GPKI の仕様書は PDF 形式しかないため、文中では「IPA(独立行政法人 情報処理推進機構)」のページにリンクしています。
両者の表記の違いは 文末 にまとめてあります。
スクリーンショットは Firefox 3.5 のものです。
[全般] タブ - 全景
証明書ビューアを開くと、[全般] タブにその証明書の全般的な情報が表示されます。
Firefox 3 以降は OCSP(オンライン証明書状態プロトコル)が既定でオンになっており、証明書ビューアを開いたときに OCSP による証明書の有効性の検証が行われます。
通常のセキュア接続(SSL/TLS)では、使用目的として「SSL サーバー証明書」と記された証明書がサーバーから提示されます。
「主体者」がその証明書の発行先となる所有者(サイトの運営者)で、「発行者」がその証明書を発行した「認証局」です。
証明書が改ざんされていないことを確認する手段として、「フィンガープリント(拇印)」が用意されています。
[全般] タブ - 証明書の目的
「証明書の目的」として表示されるのは、セキュア接続のときにサーバーがクライアント(利用者)に提示する「SSL サーバー証明書」「ステップアップ対応 SSL サーバー証明書」のほか、「OCSP レスポンダ証明書」「コードサイニング証明書」「SSL クライアント証明書」「電子メール署名者証明書」などがあります。
SeaMonkey 1.1 では証明書の目的の省略形が、「証明書マネージャ」の「目的」に表示されます(このスクリーンショットのみ SeaMonkey 1.1 のものです)。
[詳細] タブ - 全景
「証明書ビューア」の「詳細」タブには、「証明書の階層 (認証パス)」「証明書のフィールド」「フィールドの値」のセクションがあります。
「証明書の階層」はその証明書からルート認証局証明書(トラストアンカー/信頼点)までの階層(証明書チェーン)のことで、IPA では「認証パス」としています(「証明書パス」としているページもあり)。
[詳細] タブ - 証明書のフィールド
「証明書のフィールド」を、IPA の「PKI 関連技術解説 - 3.3 電子証明書 - 3.3.5 X.509 証明書のプロファイル」の図と並べてみます。
[詳細] タブ - 証明書のフィールド - 拡張領域
証明書の拡張領域については、IPA の「PKI 関連技術解説 - 3.3 電子証明書 - 3.3.6 X.509証明書の拡張領域」で説明されています。
その説明に合わせて、pipnss.properties ファイルのエンティティを並べ直してみます。
それぞれのフィールドに critical(重要度)ビットがあり、TRUE か FALSE のどちらかが指定されています。
CertDumpCritical = critical:TRUE (重要である) CertDumpNonCritical = critical:FALSE (重要ではない)
Subject Type Extensions(主体タイプ拡張)
CertDumpBasicConstraints = 基本制約 CertDumpIsCA = cA:TRUE (認証局である) CertDumpIsNotCA = cA:FALSE (認証局ではない) CertDumpPathLen = 中間認証局の最大数: %S CertDumpPathLenUnlimited = 制限なし
Name Extensions(名前拡張)
CertDumpIssuerAltName = 発行者代替名 CertDumpRFC822Name = 電子メール アドレス CertDumpSubjectAltName = 主体者代替名 CertDumpRFC822Name = 電子メール アドレス CertDumpDirectoryName = X.500 識別名 CertDumpNameConstraints = 名前制約
Key Attributes(鍵属性)
IPA の「PKI 関連技術解説 - 3.3 電子証明書 - 3.3.6 X.509証明書の拡張領域」に「表 3-6 鍵使用目的の種類」があります。GPKI では「鍵用途」になっています。
CertDumpKeyUsage = 鍵用途 CertDumpKUSign = digitalSignature (署名者の署名検証) CertDumpKUNonRep = nonRepudiation (否認防止サービスの署名検証) CertDumpKUEnc = keyEncipherment (鍵の暗号化) CertDumpKUDEnc = dataEncipherment (データの暗号化) CertDumpKUKA = keyAgreement (鍵合意) CertDumpKUCertSign = keyCertSign (証明書の署名検証) CertDumpKUCRLSigner = cRLSign (CRL の署名検証) CertDumpExtKeyUsage = 拡張鍵用途 CertDumpEKU_1_3_6_1_5_5_7_3_1 = TLS Web サーバー認証 CertDumpEKU_1_3_6_1_5_5_7_3_2 = TLS Web クライアント認証 CertDumpEKU_2_16_840_1_113730_4_1 = Netscape Server Gated Crypto CertDumpEKU_1_3_6_1_4_1_311_10_3_3 = Microsoft Server Gated Crypto CertDumpSubjectKeyID = 主体者鍵識別子 CertDumpRawBytesHeader = サイズ: %S バイト / %S ビット CertDumpAuthKeyID = 機関鍵識別子 CertDumpRawBytesHeader = サイズ: %S バイト / %S ビット
Policy Information(ポリシー情報)
CertDumpCertPolicies = 証明書ポリシー CertDumpCPSPointer = 認証実施規程 (CPS): URI CertDumpPolicyOidEV = EV SSL サーバー証明書 CertDumpUserNotice = ユーザー通知 CertDumpPolicyMappings = ポリシー マッピング CertDumpPolicyConstraints = ポリシー制約
Additional Information(追加情報)
CertDumpCrlDistPoints = CRL 配布点 CertDumpURI = URI CertDumpSubjectDirectoryAttr = 主体者ディレクトリ属性
Private Internet Extensions(独自インターネット拡張)
CertDumpAuthInfoAccess = 機関情報アクセス (AIA) CertDumpOCSPResponder = OCSP レスポンダ CertDumpCAIssuers = 発行者の証明書 CertDumpCertType = Netscape 証明書タイプ <- Netscape 7.1 より VerifySSLCA = SSL 認証局証明書 CertDumpEmailCA = S/MIME 認証局証明書 VerifyObjSign = コードサイニング証明書 CertDumpLogotype = ロゴタイプ CertDumpRawBytesHeader = サイズ: %S バイト / %S ビット
【参考資料】
GPKI <-> IPA 表記の違い:
keyUsage = 鍵用途 <-> 鍵使用目的 extendedKeyUsage = 拡張鍵用途 <-> 拡張鍵使用目的 issuerAltName = 発行者代替名 <-> 発行者別名 subjectAltName = 主体者代替名 <-> 主体者別名 AuthorityInfoAccess = AIA (Authority Information Access) <-> 機関アクセス情報 CPS = 認証実施規程 <-> 認証局運用規程 keyCompromise = 鍵の危殆 <-> 鍵危殆化 cACompromise = CA 鍵の危殆 <-> 認証局危殆化 affiliationChanged = 所属の変更 <-> 所属変更 superseded = 上書き <-> 破棄 cessationOfOperation = 業務の停止 <-> 運用停止 certificateHold = 証明書の保留 <-> 証明書保留 Server = サーバ <-> サーバー Policy = ポリシ <-> ポリシー
「にょずら」では「サーバー」「ユーザー」を用いているので、この 2 点は GPKI の表記と異なります。