参考)https://jp.globalsign.com/knowledge/ca.html
以下まとめです。
#○認証局CA(Certification Authority)の仕事
###・電子証明書を発行する(クライアント証明書など)
###・登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認
###・失効依頼による証明書失効
秘密鍵が失われた場合、電子証明書の記載事項が変更された場合に失効になる
CRL(Certificate Revocation List)の配布
→認証局が失効させた電子証明書のリスト Revocationは取り消しの意
OCSP(Online Certificate Status Protocol)による問い合わせへ応答
→電子証明書の失効問い合わせのためのプロトコル
##認証局の構成
→ 登録局(Registration Authority) 所有者情報を審査する機関
→ 発行局(Issuing Authority)電子証明書の発行や失効を行う機関
→ リポジトリ(Repository)認証局に関する情報や電子証明書の有効性に関する情報を提供
リポジトリからルート証明書や中間CA証明書、CRLをダウンロードする。
1. 電子証明書の発行を依頼
2. 本人確認
3. リポジトリ登録
4. 電子証明書を発行
##認証局の種類
###・パブリック認証局(グローバルサイン)
ルート証明書(電子証明書)は、一般的なウェブブラウザやメールソフトにあらかじめ組み込まれており、ルート証明書の配布やインストールが不要なため、取引先など外部とのやり取りに電子証明書を利用する場合に煩雑な設定が必要なく便利です。
###・プライベート認証局
独自の運用基準を設けたもの。ルート証明書の配布や設定などに手間が掛かりますが、運用規程を自由に設定できるため、社内だけなど、限られたネットワークで電子証明書を利用する場合は、プライベート認証局を設立し電子証明書を発行する方が便利です。