Macの証明書信頼ポリシーを変更する
証明書は、電子情報をセキュリティ保護するために幅広く使われています。たとえば、証明書を使用して、メールへの署名、書類の暗号化、セキュリティ保護されたネットワークへの接続などを行うことができます。各種の用途は信頼ポリシーによって管理され、証明書がその用途に対して有効かどうかが判断されます。証明書は、いくつかの使用法に対して有効でもほかの使用法に対しては無効な場合があります。
macOSは、いくつかの信頼ポリシーを使用して、証明書が信頼されているかどうかを判断します。各証明書に異なるポリシーを選択して、証明書がどのように評価されるかを細かく制御することができます。
信頼ポリシー | 説明 |
|---|---|
システムデフォルトを使用(または値を指定しない) | 証明書のデフォルトの設定を使用します。 |
常に信頼 | 作成者を信頼し、サーバまたはアプリへのアクセスを常に許可します。 |
信頼しない | 作成者を信頼せず、サーバまたはアプリへのアクセスを許可しません。 |
SSL(Secure Sockets Layer) | 接続を正常に確立するには、サーバの証明書に指定された名前がサーバのDNSホスト名と一致している必要があります。⌊SSLクライアント証明書については、ホスト名の確認は実行されません。鍵の拡張使用法フィールドがある場合、そのフィールドに適切な値が含まれている必要があります。 |
安全なメール(S/MIME) | メールはS/MIMEを使ってメッセージの安全な署名および暗号化を行います。ユーザのメールアドレスが証明書に指定され、鍵用途フィールドが含まれている必要があります。 |
拡張認証(EAP) | 802.1X認証が必要なネットワークに接続するときに、サーバの証明書に指定された名前がサーバのDNSホスト名と一致している必要があります。クライアント証明書のホスト名は確認されません。鍵の拡張使用法フィールドがある場合、そのフィールドに適切な値が含まれている必要があります。 |
IP Security(IPsec) | IP通信をセキュリティ保護するために証明書を使用するときに(VPN接続の確立など)、サーバの証明書に指定された名前がサーバのDNSホスト名と一致している必要があります。クライアント証明書のホスト名は確認されません。鍵の拡張使用法フィールドがある場合、そのフィールドに適切な値が含まれている必要があります。 |
コード署名 | 証明書に、コードへの署名を明示的に許可する鍵用途設定が含まれている必要があります。 |
タイムスタンプ | このポリシーは、信頼できるタイムスタンプの作成に当該証明書を使用できるかどうかを決定します。タイムスタンプは、デジタル署名が特定の時刻に行われたことを証明するものです。 |
X.509基本ポリシー | このポリシーは、正当な認証局から発行されたかなどの基本的な要件に照らして当該証明書の有効性を決定しますが、その目的や鍵用途が許可されているかどうかは判断しません。 |