信頼モデル

背景

一般的なウェブ公開鍵基盤(PKI)では、世界中の何百万ものクライアントが証明書に ID(ドメイン名など)を表明する一連の独立した認証局(CA)を信頼しています。CA は、その責任の一環として、証明書の ID を個別に検証した場合にのみ証明書を発行することを確約します。たとえば CA は通常、ドメイン名 example.com の証明書をリクエストしている人が、そのドメインを実際にコントロールしていることを、実際に証明書を発行する前に確認する必要があります。これらの CA は、既存の直接関係を持たない可能性がある数百万の顧客に対して証明書を発行できるため、公開検証可能な ID のアサーションに限定されます。これらの CA は ウェブ PKI 全体に一貫して適用される、明確に定義された特定の検証プロセスに限定されます。

ウェブ PKI とは異なり、プライベート PKI は通常、組織によって直接管理される小さい CA 階層からなります。プライベート PKI は、適切な制御を行う組織を本質的に信頼しているクライアント(その組織が所有するマシンなど)にのみ証明書を送信します。CA 管理者は、証明書を発行する ID を検証する独自の方法(従業員に証明書を発行するなど)を持つことが多いため、ウェブ PKI と同じ要件による制限がありません。この柔軟性は、ウェブ PKI に対するプライベート PKI の主な利点の 1 つです。プライベート PKI は、名前の一意の所有権を必要とせずに、短いドメイン名を持つ内部ウェブサイトを保護する、または別の ID 形式(SPIFFE ID など)を証明書にエンコードするなど、新しいユースケースを可能にします。

Certificate Authority Service は、CA の作成と管理を容易にすることで、プライベート PKI の管理プロセスを簡素化することを目的としています。そのため、CA Service では証明書内の ID の検証方法を定義しません。ただし、CA Service には、CA プールのきめ細かい構成を可能にする堅牢なポリシー コントロールのセットが用意されています。詳細については、ポリシー管理をご覧ください。

次のステップ