セキュアサーバーは、SSL(Security Sockets Layer)プロトコルと、多くの場合CA(認証局:Certificate Authority)が 発行するデジタル証明書を組み合わせてセキュリティ機能を実現します。SSLは、ブラウザとの間で通信を暗号化し、ブラウザと セキュアサーバーとの相互認証を扱います。CAによって承認されたデジタル証明書は、セキュアWebサーバーに対する認証を 与えるものです(CAは組織の身元を保証します)。ブラウザがSSL暗号化を使用して通信を行うときは、ナビゲーションバーの URLの先頭にhttps://という接頭辞が表示されます。
暗号化は鍵の使用によって決まります(鍵はデータ形式における秘密の符号化/復号化の輪と考えることができます)。 従来の、つまり対称式の暗号法では、トランザクションの両端で同じ鍵を持ち、その鍵を使用して互いの伝送データを 復号します。公開、つまり非対称の暗号法では、公開鍵と秘密鍵の2つの鍵が共存します。個人あるいは組織は秘密鍵を秘匿し、 公開鍵を発行します。公開鍵によって暗号化されたデータは、秘密鍵を使用しないと復号できません。秘密鍵によって 暗号化されたデータは、公開鍵を使用しないと復号できません。
セキュアサーバーをセットアップするには、公開暗号法を使用して公開鍵と秘密鍵の組を作成します。ほとんどの場合、 証明書の要求(公開鍵を含む)、企業の身元を保証するもの、手数料をCAに送ります。CAは証明書の要求と身元を検証して、 セキュアサーバーの証明書を返送します。
セキュアサーバーは、自分自身の身元をWebブラウザに対して明らかにするために、証明書を使用します。 自分自身の証明書(「自己署名」証明書)を生成することも、CA(認証局)から証明書を取得することも可能です。 信頼できるCAが発行する証明書により、Webサイトが特定の企業または組織に関連付けられていることが保証されます。
別の方法として、自分自身の自己署名証明書を作成することができます。ただし、自己署名証明書は、 殆どの生産稼働環境では使用すべきではないことに注意してください。ユーザーのブラウザが、自己署名証明書を 自動的に受け入れることはありません。— ブラウザは、証明書を受け入れて安全な接続を作成するか どうかをユーザーに問い合わせます。自己署名証明書とCA署名証明書の相違についての詳細は、 項20.5を参照してください。
自己署名証明書を作成、またはCAからの署名済み証明書を取得したら、セキュアサーバーにインストールする 必要があります。