セキュアWebサーバーは、SSL(Security Sockets Layer)プロトコルと、多くの場合CA(認証局:Certificate Authority)が発行するデジタル証明書を組み合わせてセキュリティ機能を実現します。SSLは、ブラウザとセキュアWebサーバーの間で通信を暗号化し、相互認証を取り扱います。CAによって承認されたデジタル証明書は、セキュアWebサーバーに対する認証を与えるものです(CAは組織の身元を保証します)。ブラウザがSSL暗号化を使用して通信を行うときは、ナビゲーションバーのURLの先頭にhttps://という接頭辞が表示されます。
暗号化は鍵の使用によって決まります(鍵はデータ形式における符号化/復号化の輪と考えることができます)。従来の、つまり対称式の暗号法では、トランザクションの両端で同じ鍵を持ち、その鍵を使用して互いの伝送データを復号します。公開、つまり非対称の暗号法では、公開鍵と秘密鍵の2つの鍵が共存します。個人あるいは組織は秘密鍵を秘匿し、公開鍵を公開します。公開鍵によって暗号化されたデータは、秘密鍵を使用しないと復号できません。秘密鍵によって暗号化されたデータは、公開鍵を使用しないと復号できません。
セキュアサーバーをセットアップするには、公開暗号法を使用して公開鍵と秘密鍵の組を作成します。ほとんどの場合、証明書の要求(公開鍵を含む)、企業の身元を保証するもの、手数料をCAに送ります。CAは証明書の要求と身元を検証して、セキュアWebサーバーの証明書を返送します。
セキュアサーバーは、自分自身の身元をWebブラウザに対して明らかにするために、この証明書を使用します。自分自身の証明書(「自己署名」証明書)を生成することも、CA(認証局)から証明書を取得することも可能です。信頼できるCAが発行する証明書により、Webサイトが特定の企業または組織に関連付けられていることが保証されます。
別の方法として、自分自身の自己署名証明書を作成することができます。ただし、自己署名証明書は、通常の本稼動環境で使用してはならないことに注意してください。ユーザーのブラウザが、自己署名証明書を自動的に受け入れることはありません。ブラウザは、証明書を受け入れて安全な接続を作成するかどうかをユーザーに問い合わせます。自己署名証明書とCA署名証明書の相違についての詳細は、証明書の種類項を参照してください。
自己署名証明書を作成、またはCAからの署名済み証明書を取得したら、セキュアWebサーバーにインストールします。