[发明专利]服务器认证书发行系统

说明书

技术领域

本发明涉及根据从Web服务器发送来的服务器认证书发行请求，发行服务器认证书的服务器认证书发行系统。 

背景技术

为了安全地进行Web服务器与Web浏览器之间的互联网通信，利用了公钥基础结构(PKI：Public Key Infrastructure)的SSL(SecureSocket Layer：安全套接层)正被应用。在引入了SSL的通信系统中，由于使用由可信赖的第三方机构、即认证机构(认证局：CA)发行的服务器认证书(SSL认证书)来进行加密处理，因此可防止电子诈骗、篡改、窃听等，进一步确保安全的互联网通信。 

在认证机构发行服务器认证书时，确认服务器认证书的发行请求人的同一性(本人确认)非常重要，作为确认同一性的方法，利用了域名认证的服务器认证书发行系统(例如，参照专利文献1)正被应用。在该已知的本人确认方法中，在有服务器认证书的发行请求时，注册服务器访问域名注册服务器的数据库(Whois信息)，并与对于该Web服务器具有批准发行服务器认证书的权限的批准者取得联系，用电话或e-mail等联系方式来验证是否承认认证书的发行请求，并且只有在取得批准者的批准时才发行认证书。 

专利文献1：JP特开2005-506737号公报 

另外，在以往的服务器认证书发行系统中，在进行认证书的发行申请时，申请人生成PKI密钥对、生成认证请求文件(CSR)并向注册服务器申请发行认证书。 

在以往的利用域名认证的本人确认方法中，是基于Whois信息来检索对发行认证书具有批准权限的人，并基于检索到的批准者的批准进行本人确认。然而，在Approver-Email.方式的认证方法中，只是取得具有批准权限的批准者的承认而已，却不确认作为认证书的发行对象的 Web服务器的实有性，因此在安全上存在问题。另外，在通过E-mail进行的本人确认时，存在E-mail被盗用的情况等，因此存在在安全方面发生问题的危险性。此外，注册机构必须访问域名注册服务器的数据库来检索批准者，因此存在注册机构中的本人确认作业繁杂的缺点。而且，必须通过电话等联系方式取得批准确认，因此在将认证书发行自动化方面存在较大的障碍。 

此外，在以往的认证书发行系统中，用户必须生成密钥对并生成CSR，因此也被指出存在用户的手续负担大的缺点。 

发明内容

本发明的目的在于，实现一种能够确认作为认证书发行的对象的Web服务器的实有性、并进一步提高安全性的服务器认证书发行系统。 

本发明的另一目的在于，实现大幅度地减轻申请人的手续负担的服务器认证书发行系统。 

此外，本发明的另一目的在于，实现能够全自动地进行服务器认证书发行的服务器认证书发行系统。 

本发明的服务器认证书发行系统，具备：注册服务器，其设置于注册机构，并经由网络接受从Web服务器发送来的服务器认证书发行请求，进行规定的审查，并向发行机构发送签名请求文件(CSR)；认证书发行服务器，其设置在发行机构，接受从注册服务器发送来的CSR，进行数字签名而生成服务器认证书，并将生成了的服务器认证书发送到上述注册服务器，该服务器认证书发行系统的特征在于，上述Web服务器具有：生成用于输入申请信息的输入画面的单元；生成成对的公钥和私钥的密钥对的单元；生成包含所生成的公钥的CSR的单元；生成表示认证书的发行请求意愿的随机验证页并将验证信息存储于该随机验证页的验证页生成单元；生成包括申请信息的服务器认证书发行请求的单元，其中申请信息至少包括该Web服务器的地址信息和生成的CSR；将生成的服务器认证书发行请求发送到设置在注册机构的注册服务器的单元，上述注册服务器具有：接收从上述Web服务器发送来的服务器认证书发行请求的单元；对接收到的服务器认证书发行请求赋予 申请ID的单元；对被赋予申请ID的服务器认证书发行请求进行存储的存储单元；根据接收到的服务器认证书发行请求中包含的地址信息，访问Web服务器的随机验证页，并读取随机验证页上显示的验证信息的单元；对读取到的验证信息和服务器认证书发行请求中包含的申请信息进行核对来验证是否制成有随机验证页的验证单元；将接收到的服务器认证书发行请求中所含有的CSR发送到认证书发行服务器的单元，只有在作为验证单元的验证结果是制成了随机验证页时，上述注册服务器将该服务器认证书发行请求中所包含的CSR发送到发行机构。