![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
認証
認証は識別を検証します。
サーバーは以下の 2 つの方法で認証を使用します。
- デジタル署名。 デジタル署名は、責任能力を保証する数学的に計算された固有の署名です。 デジタル署名は、写真が表示されたクレジット・カードと似たものと考えることができます。 メッセージを送信している人の身元を検査するには、送信者のデジタル証明書を調べます。
- デジタル証明書。デジタル証明書 (デジタル ID) は、銀行の頭取がユーザーに腕を回している写真が
付いているクレジット・カードを持つことに似ています。ユーザーがクレジット・カードの写真と同じであるだけでなく、銀行
の会長がユーザーを信頼していることで、マーチャントはユーザーをさらに信頼します。
送信者の認証性を信頼するかどうかは、サード・パーティー、担当者、または 送信者を認証する代理店を信頼するかどうかに基づきます。デジタル証明書を発行するサード・パーティーは、 認証局 (CA) または証明書署名者 と呼ばれます。
デジタル証明書には、以下のものが含まれています。- 認証される担当者の公開鍵
- 認証される担当者または組織の名前およびアドレス。 識別名 としても知られます。
- CA のデジタル署名
- 証明書の発行日
- 証明書の有効期限
認証要求の一部としてユーザーの識別名を入力します。 デジタル署名が付いた証明書には、ユーザーの識別名と CA の識別名が含まれます。
以下の証明書の 1 つを要求できます。- VeriSign や他の CA からインターネット上で商業ビジネスを行うためのサーバー証明書。サポートされる CA のリストについては、『外部 CA プロバイダーからの証明書の購入』を参照してください。
- プライベート Web ネットワークのために作成するサーバー証明書
CA は、トラステッド CA 証明書として担当者が Web サーバーとブラウザーに追加するように、公開鍵と識別名を一括してブロードキャストします。公開鍵と CA からの証明書がトラステッド CA 証明書になることを指定する場合、ご使用のサーバーはその CA からの証明書を持つすべての人を信頼します。ご使用のサーバーの一部として多数のトラステッド CA を持つことができます。HTTP Server には、複数のデフォルトのトラステッド CA 証明書が含まれています。
ご使用のサーバーに組み込まれている IBM® 鍵管理ユーティリティー (ikeyman) を使用して、トラステッド CA を追加または除去することができます。
z/OS® のネイティブ鍵管理ユーティリティー (gskkyman) を使用して、トラステッド CA を追加または除去できます。
通信を安全に行うには、伝送の受信側は送信側証明書を発行した CA を信頼する必要があります。受信側が Web サーバーまたはブラウザーである場合も、同様に CA を信頼する必要があります。送信側がメッセージに署名する場合、受信側はトラステッド CA 証明書として指定された対応する CA が署名した証明書と公開鍵を持つ必要があります。