SSL ハンドシェイクでのサーバー認証プロセスに関する説明

文書翻訳 文書翻訳
文書番号: 257587 - 対象製品
この記事は、以前は次の ID で公開されていました: JP257587
すべて展開する | すべて折りたたむ

概要

この資料では、SSL (Secure Sockets Layer) ハンドシェイクを使用したサーバー認証プロセスについて説明します。

詳細

SSL ハンドシェイク中に、サーバーはクライアントに証明書を送信して認証を受けます。クライアントは証明書を使用して証明書が提示する身元を認証します。

SSL を有効にしたクライアントでは、以下の手順を実行してサーバーの身元を認証します。
  1. 現在の日付が有効期間内にあるかどうかを確認します。クライアントはサーバー証明書の有効期間を確認します。現在の日付と時刻が有効期間内にない場合、認証プロセスはここで終了します。現在の日付と時刻が証明書の有効期間内にあれば、クライアントは手順 2. に進みます。

  2. 発行元の認証機関 (CA) が信頼されている CA であることを確認します。SSL を有効にしたクライアントは、それぞれ信頼された CA 証明書の一覧を保持しています。クライアントはこの一覧を使用してどのサーバー証明書を受け入れるかを判断します。発行元の CA の識別名 (DN) が、クライアントの信頼された CA の一覧にある CA の DN と一致すれば、発行元の CA は信頼された CA であると確認され、クライアントは手順 3. に進みます。発行元 CA が一覧にない場合、一覧にある CA で終了する証明書チェーンを確認できない限りサーバーは認証されません。

  3. 発行元 CA の公開キーにより、送信者のデジタル署名を検証します。クライアントは、(手順 2. の信頼された CA の一覧にある) CA 証明書の公開キーを使用して、提示されているサーバー証明書のデジタル署名が CA のものであることを検証します。CA が署名してからサーバー証明書の情報が変更されている場合、または CA 証明書の公開キーと CA がサーバー証明書の署名に使用した秘密キーとが対応していない場合、クライアントはサーバーの身元を認証しません。CA のデジタル署名が有効であることが確認されると、クライアントはサーバーの証明書を CA からの有効な "紹介状" と見なし、次の手順に進みます。この時点で、クライアントはサーバー証明書が有効であると判定しています。クライアントは、手順 5. に進む前に手順 4. を実行する必要があります。

  4. サーバーの証明書のドメイン名がサーバー自体のドメイン名と一致するかどうかを確認します。この手順では、サーバー証明書のドメイン名によって指定されているネットワーク アドレスにサーバーが実際に存在することを確認します。この手順は技術的には SSL プロトコルの一部ではありませんが、これは "Man-in-the-Middle 攻撃" として知られているセキュリティ攻撃に対する唯一の防御策となります。クライアントはこの手順を実行して、ドメイン名が一致しない場合にサーバーの認証または接続の確立を拒否する必要があります。サーバーの実際のドメイン名がサーバー証明書のドメイン名と一致すると、クライアントは手順 5. に進みます。

  5. サーバーが認証されます。クライアントは SSL ハンドシェイクを続行します。何らかの理由でクライアントが手順 5. に進めない場合は、証明書により識別されたサーバーが認証されておらず、ユーザーはその問題の警告と、暗号化および認証された接続を確立できないという通知を受けます。

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
257591 Description of the Secure Sockets Layer (SSL) Handshake
257591 [IIS]SSL (Secure Sockets Layer) ハンドシェイクの概要

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 257587 (最終更新日 2003-05-20) を基に作成したものです。

プロパティ

文書番号: 257587 - 最終更新日: 2003年8月25日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
キーワード:?
kbinfo KB257587
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com