証明書の「サブジェクト」とはどういう意味ですか?
関連リンクはこれです MSDN記事 。
「サブジェクト」という用語について常に混乱しています。たとえば、skオプション「サブジェクトのキーコンテナの場所を指定する」、srオプション「サブジェクトの証明書ストアの場所を指定する」などです。ここでサブジェクトとはどういう意味ですか?証明書の所有者ですか?証明書の発行者(証明書を発行するルートCAなど)または、他の何か?
セキュリティ上のサブジェクトは保護されています。この場合、個人の電子メール、Webサイト、またはマシンである可能性があります。
電子メールの例、たとえば私の電子メールを取り上げると、サブジェクトキーコンテナは、プライベートキーを含む保護された場所になります。
証明書ストアは通常、信頼されたルート、ネットワーク上のマシン、人などからの証明書を含むMicrosoft証明書ストアを指します。私の場合、サブジェクト証明書ストアは、このストア内で証明書を保持する場所です。
Microsoftドメイン内で作業している場合、サブジェクト名は常にサブジェクトの識別名を保持します。これは、ドメインがサブジェクトを参照してディレクトリに保持する方法です。例えばCN = Mark Sutton、OU = Developers、O = Mycompany C = UK
Microsoftマシンで証明書を確認するには:
実行時にログイン> mmc [ファイル]、[スナップインの追加/削除]、[証明書の選択]の順に選択し、ユーザーアカウントを選択して[完了]をクリックしてから[閉じる]をクリックします。ストアの個人用エリアを見てください。
ストアの他の領域には、署名の検証などに使用される他の信頼できる証明書が表示されます。
私の典型的な期待は、「サブジェクト」がこのようなコンテキストで使用される場合、証明書のターゲットを意味することです。証明書をthing(人、デバイス、通信チャネルなど)の暗号で保護された説明と考える場合、サブジェクトはそれに関連するものですthing。
それ自体ではありません。たとえば、「被験者がスマートカードを受け取り、PINを認証する」と言う人はいません。それが「ユーザー」になります。
ただし、通常は、そのことに関連するさまざまなデータ項目に関連しています。例えば:
- Subject DN = Subject Distinguished Name =このものの一意の識別子。一般名、組織、組織単位、国コードなど、認証されるものに関する情報が含まれます。
- サブジェクトキー =証明書の秘密/公開キーペアの一部(またはすべて)。証明書からのものである場合は、公開キーです。安全な場所にあるキーストアから送信された場合は、おそらく秘密キーです。キーのいずれかの部分は、証明書を受け取ったものが使用する暗号化データです。
- サブジェクト証明書-トランザクションのエンドポイント-これは、完全性チェック、認証、プライバシーなどの安全な機能を要求するものです。
通常、PKIの世界で他のプレーヤーを区別するために使用されます。つまり、「発行者」と「ルート」。発行者は(サブジェクトに)証明書を発行したCAであり、ルートは階層内のすべての信頼のエンドポイントであるCAです。典型的な関係は、ルート--->発行者---->対象です。
証明書のサブジェクトは、公開鍵が関連付けられているエンティティ(つまり、証明書の「所有者」)です。
サブジェクトフィールドは、サブジェクト公開キーフィールドに格納されている公開キーに関連付けられたエンティティを識別します。サブジェクト名は、サブジェクトフィールドおよび/またはsubjectAltName拡張で伝達される場合があります。
X.509証明書にはサブジェクト(識別名)フィールドがあり、サブジェクトの別名の拡張子に複数の名前を含めることもできます。
サブジェクトDNは、「CN = yourname」や「O = yourorganization」など、複数の相対識別名(RDN)(それら自身 属性アサーション値で構成 )で構成されています。
リンクしている記事のコンテキストでは、件名は証明書のユーザー/所有者になります。
サブジェクトは証明書の共通名であり、多くの場合、サーバー証明書であり、クライアントが確実な識別を探している場合、証明書の重要なプロパティです。
WebサイトのSSL証明書の例として、サブジェクトはWebサイトのドメイン名になります。