R2年 午後1問2

ケンさん  
(No.1)
設問3 d、eに入れる字句
「デジタル署名を検証することができない。」

そのあと、(ア)で「R社CAのルート証明書をPCに登録しなくてもいいことが分かった」となっていますが、d、eは間違いとなるので矛盾しているかと思います。

そもそも、S/MIMEはプライベート認証局で登録するものではないかと思います。

解説いただければ幸いです。
2023.10.05 20:47
pixさん 
SC ダイヤモンドマイスター
(No.2)
S/MIMEはクライアント証明書を利用して
・メール暗号化
・デジタル署名
を行います。

その際のクライアント証明書の発行元としては
・プライベート認証局
・外部の認証局サービス事業者
などです。
大手の外部の認証局サービス事業者であれば、そのルート証明書がPCに登録されて
います。

設問3 d、eに入れる字句「デジタル署名を検証することができない。」の段階では
プライベート認証局から発行されたクライアント証明書を利用しています。
プライベート認証局なのでPCには事前にルート証明書を登録しておく必要が
あります。
これが課題(ア)となります。

課題(ア)をまとめると、
「プライベート認証局のルート証明書をPCに登録できない。」
になります。
『(ア)については』という文言は、『課題(ア)を解決する方法は』という意味の
日本語です。
課題(ア)の解決方法は文中にあるとおり、外部の認証局サービス事業者が発行する
クライアント証明書を利用するというものです。

>そもそも、S/MIMEはプライベート認証局で登録するものではないかと思います。
これについては、絶対にプライベート認証局からクライアント証明書を発行しては
いけないという決まりはないです。

S/MIMEの利用が閉じた環境と限定されるのであれば、プライベート認証局から
クライアント証明書を発行しても問題ありません。

プライベート認証局から発行するメリットとしては
・費用がタダ(外部のものは1枚ごとに購入する必要がある)
・発行が速い(外部のものは発行に時間がかかる)
・失効なども自社でできる(これはデメリットになるかもしれません)
など、クライアント証明書の取り扱いでのメリットがあります。
2023.10.05 21:20
ケンさん  
(No.3)
返信ありがとうございます。

設問3 d、eに入れる字句
「デジタル署名を検証することができない。」

この時点でS/MIME利用に向けているので、課題(ア)の解決方法と言うのが矛盾しているのではないか、という質問です。

即ち、S/MIMIを利用するなら、最初からプライベート認証局のルート証明書をPCに登録する必要がないと思います。
2023.10.05 21:31
pixさん 
SC ダイヤモンドマイスター
(No.4)
流れを意識してみます。
1.当初はS/MIMEを利用するために、プライベート認証局から発行したクライアント
   証明書を利用することを計画した。その前提としてプライベート認証局のルート
   証明書をPCに登録する必要がある。

2.しかし、とある委託先ではPCにプライベート認証局のルート証明書をPCに登録
   することがPCの運用ルールで禁止されていた。
   そのため、1.の案が破綻してしまった。

3.解決策として、プライベート認証局から発行したクライアント証明書の利用を
   やめ、大手の外部の認証局サービス事業者からクライアント証明書を発行し、
   利用することにした。
という流れになると思われます。

>設問3 d、eに入れる字句
>「デジタル署名を検証することができない。」
>この時点でS/MIME利用に向けているので、課題(ア)の解決方法と言うのが
>矛盾しているのではないか、という質問です。
>即ち、S/MIMIを利用するなら、最初からプライベート認証局のルート証明書を
>PCに登録する必要がないと思います。
申し訳ありませんが、この疑問の意図をくみ取れませんでした。
想像になりますが、S/MIMEとクライアント証明書の関係について誤解があるのでは
ないでしょうか?

S/MIMEの利用にはS/MIME証明書が必要になります。
S/MIME証明書とは、クライアント証明書をS/MIME専用に利用するというものです。
すなわち
「S/MIME証明書 = クライアント証明書」ということになります。
2023.10.05 21:49

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop