中間CA(ちゅうかんしーえー)
最終更新:2026/4/28
中間CAは、ルートCA(信頼された認証局)とエンドエンティティ証明書(ウェブサイトなど)の間で証明書を発行する認証局である。
別名・同義語 中間認証局サブCA
ポイント
中間CAを用いることで、ルートCAの証明書保護を強化し、証明書発行の柔軟性を高めることができる。ルートCAの直接的な証明書発行回数を減らすことで、セキュリティリスクを低減する。
中間CAとは
中間CA(Intermediate Certificate Authority)は、公開鍵基盤(PKI)において、ルートCA(Root CA)から委譲された権限に基づいて証明書を発行する認証局です。ルートCAは、信頼の連鎖の最上位に位置し、そのセキュリティが非常に重要であるため、直接エンドエンティティ証明書を発行することは稀です。中間CAを使用することで、ルートCAの証明書保護を強化し、証明書発行の柔軟性を高めることができます。
中間CAの役割と利点
中間CAの主な役割は、ルートCAの負担を軽減し、証明書発行プロセスを効率化することです。具体的には、以下の利点があります。
- セキュリティの向上: ルートCAの秘密鍵が漏洩した場合の影響範囲を限定できます。中間CAの証明書が侵害された場合でも、ルートCAの証明書は保護されたままです。
- 柔軟性の向上: 複数の部門や用途に合わせて、それぞれ異なる中間CAを設定できます。これにより、証明書ポリシーを細かく制御し、運用を効率化できます。
- 運用コストの削減: ルートCAの証明書発行回数を減らすことで、運用コストを削減できます。
- 証明書の失効管理: 中間CAの証明書を失効させることで、その中間CAによって発行されたすべての証明書をまとめて失効させることができます。
中間CAの階層構造
中間CAは、単一層だけでなく、多層構造にすることも可能です。例えば、ルートCAから第一層の中間CAに権限を委譲し、その第一層の中間CAから第二層の中間CAに権限を委譲するといった構成が考えられます。このような階層構造により、より柔軟な証明書発行とセキュリティ管理を実現できます。
中間CAの利用例
中間CAは、主に以下の用途で利用されます。
- SSL/TLS証明書: ウェブサイトのSSL/TLS証明書の発行
- 電子メール証明書: 電子メールの暗号化と署名
- コードサイニング証明書: ソフトウェアのコードサイニング
- VPN証明書: VPN接続の認証
関連用語
- ルートCA (Root CA): 信頼の連鎖の最上位に位置する認証局
- エンドエンティティ証明書: ウェブサイトや個人を識別するための証明書
- PKI (Public Key Infrastructure): 公開鍵基盤