クライアント証明書の読み方と解析方法


すべてのユーザーは、Microsoft Windows Server 2003 で実行されるインターネット インフォメーション サービス (IIS) 6.0 にアップグレードすることを強く推奨します。 IIS 6.0 は、Web インフラストラクチャのセキュリティを大幅に強化します。 IIS のセキュリティ関連トピックの詳細については、次のマイクロソフト Web サイトを参照してください。

概要


この資料では、証明書の重要な部分の読み方について説明します。 証明書ファイルの内容を解析する必要がある場合は、次の「サポート技術情報」 (Microsoft Knowledge Base) を参照してください。
216830 証明書の内容の表示方法

詳細情報


証明書の内容をダンプすると、次のような内容のファイルが生成されます。

PKCS7 Message Certificates:
================ Begin Nesting Level 1 ================
X509 Certificate:
Version: 3
Serial Number: 25f51e4e0000115a
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.4
Algorithm Parameters:
05 00 ..
Issuer: CN=MS CertSrv Test Group CA, OU=Windows NT, O=Microsoft, L=Redmond, S=WA, C=US
NotBefore: 10/23/1998 3:33 PM
NotAfter: 10/23/1999 3:33 PM
Subject: CN=Name (Signing), OU=IASG, O=Microsoft, L=Redmond,
S=WA, C=US, E=name@domain.com
Public Key Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.1
Algorithm Parameters:
05 00 ..
PublicKey: UnusedBits=0
30 48 02 41 00 d4 c1 0e 6f 0b 86 54 b8 9b 08 de 0H.A....o..T....
41 87 b5 e8 62 83 a6 42 a6 63 de 5a 9e cc 17 f6 A...b..B.c.Z....
72 95 52 1f 56 7a 95 ad 33 f0 8e c2 e8 c6 d4 95 r.R.Vz..3.......
0d ce c4 7a 1a f3 10 28 ca 15 46 4e 48 52 8c 89 ...z...(..FNHR..
87 f8 5d 0d 1b 02 03 01 00 01 ..].......
Certificate Extensions: 6
2.5.29.15: Flags = 0(), Length = 4
Key Usage
Digital Signature, Key Encipherment, Data Encipherment, Key Agreement(B8)
2.5.29.37: Flags = 0(), Length = c
Enhanced Key Usage
Client Authentication(1.3.6.1.5.5.7.3.2)

2.5.29.35: Flags = 0(), Length = a9
Authority Key Identifier
KeyID=2A58 2026 5B9F CFB1 E328 F42A EA4D F8CA 19CB F3C4
Certificate Issuer: Directory Address:
CN=MS CertSrv Test Group CA
OU=Windows NT
O=Microsoft
L=Redmond
S=WA
C=US
Certificate SerialNumber=1113 6100 AA00 2B86 11D2 5EF8 DDA0 99B4

2.5.29.31: Flags = 0(), Length = 91
CRL Distribution Points
[1]CRL Distribution Point Distribution Point Name:
Full Name:
URL=http://CERTSRV/CertSrv/CertEnroll/MS CertSrv Test Group CA.crl
[2]CRL Distribution Point Distribution Point Name:
Full Name:
URL=file://\\CERTSRV\CertSrv\CertEnroll\MS CertSrv Test Group CA.crl
2.5.29.19: Flags = 0(), Length = 2
Basic Constraints
Subject Type=End Entity Path Length Constraint=None
1.3.6.1.5.5.7.1.1: Flags = 0(), Length = 56
Authority Information Access
[1]Authority Info Access
AccessMethod=Certification Authority Issuer(1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://CERTSRV/CertSrv/CertEnroll/CERTSRV_MS CertSrv Test Group CA.crt
Non-root Certificate
注: この証明書はウィンドウ内に収まるように編集されています。

証明書の重要な部分の意味について、次に説明します。

PKCS7 Message (PKCS7 メッセージ)
PKCS は、RSA によって設計された暗号メッセージ用のメッセージ形式です。 詳細については、以下の RSA Security Web サイトを参照してください。 X509 Certificate
証明書の標準フォーマットです。

バージョン
現在のバージョンは 3.0 です。

Serial Number (シリアル番号)
証明書が発行されたエントリに固有の番号。
注: 2 つの発行者に同一のシリアル番号を割り当てることも可能ですが、そのようなケースはまれです。


Signature Algorithm (署名アルゴリズム)
ObjectID または OID は、アルゴリズム、アプリケーション、本文の種類、文字セット、外部パラメータ、メッセージの種類などの定義に使用される番号です。 この例の 1.2.840.113549.1.1.4 は、MD5 ハッシュ アルゴリズムを意味します。 暗号関連の OID の一覧は、VC に含まれている WinCrypt.h ヘッダー ファイルで確認できます。

発行者
証明書を作成した機関です。

NotBefore/NotAfter (この日以降/この日以前)
証明書の有効期間です。


表題
証明書の所有者です。


Public Key Algorithm (公開キーのアルゴリズム)
1.2.840.113549.1.1.1 は、公開キーが RSA のアルゴリズムを使用して生成されたことを意味します。


Public Key (公開キー)
この証明書の最も重要なデータである、公開キー自体です。

Certificate Extensions (証明書の拡張機能)
これらは、バージョン 3.0 の証明書でのみサポートされるオプションです。 拡張機能には、キー使用法 (公開キーの使用目的)、 拡張キー使用法 ("キー使用法" と同様です)、機関キー識別子 (発行者により証明書の識別に使用されるデータ)、CRL 配布ポイント (証明書が失効されたかどうかを示す情報の格納場所) などがあります。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
216830 証明書の内容の表示方法

216829 IIS 4.0 でクライアント認証証明書をファイルに書き出す方法