Vincent Danen は、OS X システムに証明機関のルート証明書を追加して、SSL と OS X キーチェーンを使用するすべての OS X サービスが CA によって発行されたすべての証明書を信頼できるようにする方法を説明します。
—————————————————————————————
ここ数年、Web上での安全な通信は当たり前のものとなってきました。HTTPS(HTTP over SSL)は、Webサイトへのログイン、オンラインバンキング、eコマースなどに利用されています。しかし残念なことに、暗号化を必要とするオンラインサービスを運営している方、あるいはサイトの暗号化を希望している方にとって、認定されたSSL証明書の取得には高額な費用が伴います。
自己署名証明書を作成するのは簡単ですが、その場合、サイト訪問者は証明書が有効であり、実際にサイトに接続しているという信頼を得る必要があります。これが証明機関が不可欠となる理由です。証明機関はサイトの所有者を確認するという面倒な作業を行い、またすべての主要ブラウザにルート証明書が搭載されています。つまり、ブラウザが証明書に署名した証明機関を認識し、その有効性を確認できるため、ユーザーは確認メッセージを表示せずにサイトに接続できます。
SSL の使用は銀行業務や電子商取引以外にも多くの用途があり、また非常に高価であるため、他の認証局も安価または無料の証明書を提供するようになりました。しかし、それらの認証局はオペレーティングシステムやブラウザにルート証明書を持っていない可能性があります。そのため、特定の認証局のルート証明書をシステムにインストールすることが望ましい場合があります。これは特に、社内サイトに社内認証局を使用しているような業務環境では当てはまります。
まず、認証局(CA)のSSL証明書を(管理者またはCAのウェブサイトから)入手します。.crtファイルをダブルクリックすると、キーチェーンアクセスが開き、「証明書を追加」ウィンドウが表示されます。証明書を追加するキーチェーンの選択を求められたら、プルダウンメニューから「システムキーチェーン」を選択します。管理者パスワードの入力を求められます。
次のウィンドウでは、今後このCAからの証明書をコンピューターが信頼するかどうかを尋ねられます。ここで、このCAの信頼設定を選択する必要があります。「詳細」セクションを展開してルートCAの詳細を表示します。証明書の詳細、特に署名を確認し、提供された情報と一致していることを確認してください。詳細を確認したら、「信頼」セクションを展開し、「X.509基本ポリシー」と「この証明書を使用する場合」のプルダウンの両方で「常に信頼」を選択します。最後に、「常に信頼」ボタンをクリックします。管理者パスワードを再度入力すると、システムキーチェーンが更新されます。
証明書の名前を検索すると、青い「+」記号が表示され、すべてのユーザーに対して信頼済みとしてマークされている証明書であることを示します。この時点で、SSLを使用するすべてのOS XサービスとOS Xキーチェーンは、このCAが発行するすべての証明書を信頼するようになります。そのため、Apple Mail、Safari、iChatなど、システム証明書キーチェーンを参照するその他のサービスで、このCAによって署名された証明書を使用してSSL対応サービスに接続できます。
OS Xシステムへの証明書の追加は、これ以上ないほど簡単です。社内に独自のSSL証明機関(CA)を持つ組織の場合、OS XクライアントにルートCA証明書のサポートを追加するのは非常に簡単です。CAcertが無料で発行する証明書など、デフォルトの証明書キーチェーンに含まれない証明機関が発行した証明書を使用している場合は、CAcertルート証明書のインポートが簡単で、様々なWebサイトやサービスで有効な発行済み証明書のポップアップ表示を防ぐことができます。
