契約書への電子署名やビジネスメールの送信など、インターネットでの安全なやりとりに欠かせないのが、「認証局（CA：Certificate Authority）」と呼ばれる機関です。

認証局には、第三者機関が運営するパブリック認証局と、自社で独自に構築するプライベート認証局（社内認証局）の2種類があります。お金をかけず、社内に安全なインターネット環境を構築したり、社内アプリケーションを利用したりする場合は、費用のかからないプライベート認証局を立ち上げる方法もあります。

この記事では、プライベート認証局の仕組みや立ち上げ方法について解説します。

関連記事：電子署名の認証局の役割とは？｜仕組みと種類をご紹介します！

1.プライベート認証局とは

プライベート認証局とは、個人や法人が開設する認証局のことです。第三者機関が審査を受けて開設するパブリック認証局と違い、利用する際に費用がかかりません。また、自由に設定をカスタマイズできるため、社内向けのインターネット環境を構築する際に利用されています。まずは、プライベート認証局の仕組みを説明します。

1-1.認証局とは

認証局とは、サーバ証明書やクライアント証明書などの「電子証明書」を発行する機関のことです。電子証明書には、サービスの利用者が本人であることを証明する役割があります。たとえば、電子契約に欠かせない電子署名も、電子証明書によって本人確認や契約書の非改ざん証明をおこなっています。

また、Webサービスを運営する場合、事業者が適切な電子証明書を取得していなければ、利用者が安全な通信（SSLやTLSなど）をおこなうことができません。認証局には、「パブリック認証局」「プライベート認証局」の2種類があります。パブリック認証局は、WebTrustやETSIと呼ばれる厳しい基準での審査や、国内認定機関の認定を受けた事業者のみが開設できます。

インターネットブラウザやメールクライアントには、パブリック認証局の提供するパブリック証明書があらかじめ格納されており、利用者がインストールせずに利用できるようになっています。代表的なパブリック認証局として、地方公共団体の提供する公的個人認証サービスや、商業登記認証局が提供する電子認証登記所などがあります。

1-2.プライベート認証局とは

一方、個人や法人が開設する認証局を「プライベート認証局」と呼びます。パブリック認証局は信頼性が高い一方で、パブリック認証局を利用するには数千円～十数万円のコストがかかります。

そのため、社内システムの利用など、通信先が明らかなネットワークを構築する場合、コスト削減のためパブリック証明書を取得しないケースもあります。プライベート認証局を開設すれば、自社で利用可能なプライベート証明書を独自に発行できます。

このように電子認証局の解説においては、プライベート認証局かパブリック認証局を、自社に合った方を選択することが可能ですが、違いがなかなか理解しづらいのではないかと思います。

そこで当サイトでは、認証局の役割や種類、電子証明書の発行フローなどについて、図を用いながらわかりやすく解説した資料を無料で配布しております。電子証明書について不安な点があるご担当者様は、こちらから「3分でわかる！電子認証局」をダウンロードしてご確認ください。

2.プライベート認証局の構築方法

ただし、プライベート認証局の開設には専用のソフトウェアのインストールが必要です。OpenSSLなどのオープンソースソフトウェア（OSS）を利用するため、プライベート認証局の開設自体に費用はかかりません。

プライベート認証局の構築にはいくつか手順を踏む必要があります。それぞれの手順で気をつけたいポイントについて、順に解説していきます。

2-1.OpenSSLのインストール

まず、公式サイトからOpenSSLをインストールします。

公式サイトではソースコードの形で提供されているため、インストーラ付きのパッケージで入手したい場合、Shining Light Productionsからもインストールできます。後者の場合、64ビットOS、32ビットOS向けのファイルがそれぞれ用意されているため、お使いのWindowsに合わせて選びましょう。

インストール後、コマンドプロンプトを管理者権限で実行し、各種設定をおこなう必要があります。

2-2.プライベート認証局を作成

OpenSSLは、初期状態ではプライベート認証局用の設定になっていません。そこで、コマンドプロンプト上で設定ファイルを編集し、プライベート認証局を作成します。具体的には、次の2つの作業をおこないます。

・ルートCA証明書を作成する
・中間認証局を作る

ルートCA証明書とは、認証局が発行する最上位の証明書のことです。ルートCA証明書をクライアントにインストールすることで、対象をネットワーク上信頼されたクライアントとして認識できます。

ルートCA証明書の作成には、ルートCA用のパスワードのほか、国名（Country Name）、都市名（State or Procince Name）、hostname（Common Name）などをコマンドで入力する必要があります。

なお、UbuntuなどのOSでプライベート認証局を構築する場合、うまく動作しない場合があります。その場合、ルート認証局より下位の中間認証局を作成する必要があります。

2-3.サーバー証明書の作成・ルート認証局の署名をおこなう

プライベート認証局を構築したら、サーバー証明書を発行します。

OpenSSLの設定ファイルを編集し、プライベート認証局用からサーバー証明書発行用の設定に変更しましょう。サーバー証明書の発行には、コマンド上で秘密鍵を作成する必要があります。

秘密鍵を作成したら、署名をリクエストするためのCSR（Certificate Signing Request）を作成し、ルート認証局の署名をおこないます。

2-4.Webサーバーで証明書を設定

続いて、社内のWebサーバーで証明書を利用するための設定をおこないます。コマンドプロンプトでWebサーバーのパスを指定し、先ほど作成したサーバー証明書と秘密鍵の両方を設定します。

2-5.クライアント側にルート証明書をインストール

パブリック認証局と違い、プライベート認証局を利用するには、クライアント側にルート証明書をインストールする必要があります。

Windowsの場合、コントロールパネルから証明書マネージャーを開くことで、作成したルート証明書を個別にインストール可能です。

3.プライベート認証局を構築できるサービス

OpenSSLは無料で利用できるOSSですが、いくつかデメリットもあります。

たとえば、数百人規模のプライベート証明書を作成する場合、OpenSSLではコマンドで作業する必要があるため手間がかかります。大規模なプライベート認証局を構築したい場合、ACMやOpenXPKIといった他のソフトウェアを利用することもできます。

3-1.ACM

ACM（AWS Certificate Manager）は、Amazonが提供するSSL/TLS証明書発行サービスです。

OpenSSLよりも直感的にプライベート認証局を開設できますが、月額利用料金が発生する点に注意が必要です。初回登録後30日間は無料で利用できますが、以降はプライベート証明書の発行数に応じ、従量課金制で料金が発生します。

3-2.OpenXPKI

OpenXPKIはThe Open XPKI Projectが提供する証明書発行サービスで、OpenSSLと同様、OSSのため無料でプライベート証明書を発行できます。

OpenSSLと同様にコマンドプロンプト上で証明書を発行できますが、OpenXPKIではWebインターフェイス上で管理することもできるため、より直感的に作業できるのが特徴です。

4.プライベート認証局はパブリック認証局と異なり料金発生無し

社内向けのインターネット環境を構築する場合、プライベート認証局を立ち上げる方法があります。パブリック認証局と違い、証明書の利用に料金がかかりません。

ただし、プライベート認証局の立ち上げには専用のソフトウェアが必要です。Amazonが提供するACMのほか、OSSのOpenSSLやOpenXPKIをインストールすることで、プライベート証明書を発行できます。