電子証明書を発行する認証局は、大きく2つに分けることができます。
パブリック認証局と、プライベート認証局です。

パブリック認証局には、グローバルサインやサイバートラスト、ジオトラストなどが当てはまります。
パブリック認証局は、監査法人によって設備、運用ルールなどの厳正な審査などを受けることで、信頼できる認証局として認められています。
その結果として、OSやブラウザにその認証局の認証局証明書が、デフォルトでインストールされます。

例として、 yahoo.co.jp のサーバ証明書を確認してみましょう。

yahoo.co.jp のサーバ証明書は、Cybertrust Japan Public CA G3によって発行されています。
Cybertrust Japan Public CA G3の認証局証明書は、Baltimore CyberTrust Root によって発行されています。(本稿執筆時。以下すべて同じ)

このとき、macOSのChromeを使って yahoo.co.jp にアクセスしています。
Chromeは、macOSのキーチェーンのシステムルート(信頼する認証局の一覧)を参照します。
macOSはデフォルトでBaltimore CyberTrust Rootを信頼しており、システムルートに認証局証明書がプリインストールされています。

Chromeは、信頼するパブリック認証局(Baltimore Cybertrust Root)が発行した認証局証明書を持つ、Cybertrust Japan Pubric CA G3が発行するサーバ証明書を持つyahoo.co.jp は信頼できると判断するわけです。

一方で、プライベート認証局は誰でも構築することができます。監査法人による審査を受ける義務はありません。
オレオレ認証局、オレオレ証明書などと言われるのは、どこの誰が認証局を運営しているのかわからないため、その認証局が発行した証明書は、一般的には信頼されないことを意味しています。

プライベート認証局は多くの場合、特定の企業や団体によって運営されています。
組織内において、そのプライベート認証局を信頼することで、イントラサーバ、無線LAN、リモートアクセス、仮想デスクトップなどへのアクセス時の認証に、電子証明書を使うことができます。

プライベート認証局は、WindowsサーバやLinuxサーバでも構築することはできますが、商用製品も数多く存在します。Gléasもその一つです。

パブリック認証局から証明書を買う場合に比べて、運用の費用が抑えられることが、プライベート認証局が使われる理由の一つでしょう。
また、証明書の有効期限や用途、属性などを運営者が自由にコントロールできるのも、プライベート認証局の利点です。

しかし、プライベート認証局はメリットばかりではありません。
証明書の発行、配布、失効などの管理に問題があった場合、証明書認証の信頼性が崩れ、セキュリティ上の懸念を抱えることになります。
最悪の場合、証明書が不正にコピーされたりして第三者の手に渡り、なりすましによる情報漏えいが起こることになります。

そのため、適切な運用がなされているか判断のできる専門家を組織内に置くか、あるいは外部からサポートを受けられる体制を取る必要があります。

プライベート認証局の運用

プライベート認証局が発行したサーバ証明書やクライアント証明書は、デフォルトではOSやブラウザに信頼されていません。
そのため、プライベート認証局が発行した証明書では、認証局を信頼していないため、認証できないことになります。

そこで、プライベート認証局を運営する際には、認証に利用する組織内のサーバ/クライアントに、認証局証明書を信頼する認証局としてインポートします。

すると、信頼する認証局から発行された証明書としてOSやブラウザが認識し、認証できるようになります。
図はサーバ認証を表していますが、クライアント認証においても同様です。