デジタル証明書の発行サービスを手がけるグローバルサインは,Webサイトで申し込むだけでSSLサーバー証明書を作成して入手できるサービス「スキップ申込サービス」を,1月15日に開始した。公開鍵/秘密鍵のキー・ペア作成や証明書発行依頼書(リクエスト)の発行/送付といった面倒な手続きが不要になる。デジタル証明書の価格は,最も安い用途で1つ2万5620円から。

 スキップ申込サービスは,公開WebサーバーにSSLを導入したいユーザー企業などに向いた,SSLサーバー証明書の発行サービスの一種。特徴は,Webサイトの申込みフォームに必要事項を記入して申し込むだけで,WebサーバーをSSL化するために必要な2つのデータ,つまりサーバー証明書と秘密鍵を入手できる点である。これにより,従来のデジタル証明書発行サービスでは必須となっていた,各種の面倒な手続きが必要なくなる。

 そもそも,デジタル証明書の発行手続きは,一般に,以下の通りである。(1)ユーザー企業が,Webサーバー上で秘密鍵と公開鍵のキー・ペアを作成する。(2)作成した公開鍵を含んだ,デジタル証明書の発行依頼書(リクエスト)を作成し,証明書発行機関に渡す。(3)証明書発行機関が,証明書発行機関の秘密鍵(署名鍵)を用いて発行依頼書に電子署名を施す。これがWebサーバーのSSLサーバー証明書となる。これをユーザー企業に渡す。(4)ユーザー企業は,2つのデータ,つまりサーバー証明書(第三者の電子署名を施したサーバー公開鍵)と,最初にWebサーバー上で作った秘密鍵を,運用する。

 このように,通常はキー・ペアの作成とリクエストの作成というシステム管理者のコンピュータ操作が必要になってしまう。ところが,スキップ申込サービスを利用して申し込むことで,これらの作業をグローバルサインに任せてしまうことが可能になる。ただし,本来はユーザーが作成する秘密鍵をグローバルサインに作らせることになるので,この秘密鍵を安全に受け取る必要が生じる。この問題を解決する方法としてグローバルサインが採用したのが,PKCS#12と呼ぶ文書形式と,PKCS#12ファイルの暗号化である。

 PKCS#12とは,デジタル証明書と秘密鍵の2つのデータをアーカイブしてまとめた配布パッケージ・ファイルの標準形式である。主に,企業内CA/RAソフトなどにおいて,証明書の発行手続きを簡略化し,一度に大量の証明書をLDAPディレクトリや人事データベースなどと連携してバッチ処理で生成して配布するといった用途で用いられる。キー・ペアの作成からリクエストの作成,電子署名といった一連の証明書発行手順をサーバー側で一括処理し,何の前触れもなく,完成品としてのデジタル証明書と秘密鍵をまとめたファイルをいきなり配布するというものだ。

 PKCS#12ファイルには秘密鍵が含まれるため盗聴や盗難に遭わないように安全に渡す必要があるが,グローバルサインのスキップ申込サービスでは,PKCS#12ファイルをユーザーに安全に引き渡すため,ファイルの暗号化を利用する。暗号化されたPKCS#12ファイルをWebからダウンロードする仕組みだ。暗号化/複合化に用いる鍵は,ユーザーがWebサイトで証明書を申し込んだ際に入力してグローバルサインに通知したパスワードと,グローバルサイン側で生成してダウンロード画面に表示したパスワードの2つを合わせたものとなる。