クライアント証明書の発行
クライアント証明書の発行 2003/6/11作成 2004/9/19更新 続いてクライアント証明書を発行しましょう。 クライアント証明書とは、個人や機器を特定する証明書のことです。 verisignとかでは個人証明書などと呼ばれています。 途中まではサーバ証明書の発行と変わりません。 余談ですが、「クライアント証明書」でgoogleすると、多くの有名サイトを押しのけてこのページが一番に表示されてしまいました。 複雑です。 1.クライアント証明書発行の流れ クライアント証明書を発行するまでの流れは簡単にこんな感じです。 クライアント秘密鍵を作成 秘密鍵からCSRを生成 CAの秘密鍵でCSRに署名して証明書を作成 最終的にクライアントにはクライアント秘密鍵とクライアント証明書のペアと、CAの証明書があればいいのですが、クライアントがWindowsの場合、秘密鍵とCSRを作成するのは
SSL(クライアント認証)
SSL(クライアント認証) [サーバの実験室 Slackware] 作成 : 2003/02/19 修正 : 2003/10/13 "サーバの実験室"の検索 SSL 通信は、サーバの身元確認だけ行う一方向認証であることが多い。 クライアントの身元確認を実施することで、サーバとクライアントの双方向認証が可能になる。 前提 サーバ認証の設定が完了していること。 サーバ認証の設定については、SSL(サーバ認証)を参照。 クライアント秘密鍵の作成 --- ユーザ openssl genrsa を実行して、クライアント秘密鍵を作成する。 -out で指定したファイル名で秘密鍵が作成される。 # cd /usr/local/ssl # openssl genrsa -des3 -out private/client.key 1024 Generating RSA private key, 1024 b
Kung Noi:SSLおれおれ証明書とクライアント認証
自宅サーバで個人用途でわざわざSSL証明書を買えないけど、外部からWebメールやPOP3sとかSMTPsを使いたい。そんなあなたには、これ!おれおれ証明書。そのまま自分で自分を証明する、俺だよ俺証明書です。クライアント認証ってのは、SSLでサーバを証明するのではなくクライアントを証明し認証する使い方。この組み合わせで安全な仕組みができる どこのサイトを見てもCA作ったりしてめんどくさいと思うあなたには、これ最速!!OpenSSLで簡単に証明書を作成する方法。たった2行のコマンドでおれおれ証明書ができちゃいます。 CA認証局 電子証明書の設置場所 どこでもいいので、場所を決めます。 cd /etc/ssl mkdir CA OpenSSLのデフォルト値を変更しておく 同じ様な質問を何回も聞かれるのでデフォルト値を変更しておく。/etc/ssl/openssl.cnf dir = /etc/s
Debian GNU/Linux(sarge) 自宅サーバの構築・運営
<更新記録> 2006/1/14:携帯電話用webメーラー(mobileimap) UP 2005/8/10:zphoto:Flash・フォトアルバム作成ツール UP 2005/6/19:Sargeの安定版化に伴いOSのインストールを書き直し 2005/6/4:セキュリティーツール:Nessus UP 2005/5/28:玄箱で遊ぶ:その他メモ ストリーミングサーバを追記 2005/5/22:玄箱で遊ぶ:その他メモ UP 2005/5/8:カウンタを付けました 2005/5/3:SSLクライアント認証 UP 2005/4/9:玄箱で遊ぶ:Woody→Sarge UP 2005/4/2:玄箱で遊ぶ:Debian化 UP 2005/3/26:ストリーミングサーバ UP 2005/3/20:ミラーリング(rsync) UP 2005/3/13:カーネル再構築(2.4→2
SSL:クライアント認証
サーバの公開鍵を第三者(CA)の秘密鍵で署名してもらうことで、サーバ・クライアント間の接続の確実性が向上します。 ヨッパサーバは貧乏サーバのために、本来、第三者へ依頼しなければならないサーバ公開鍵への署名も自身で行いました。 個人運営の実験サーバなので、これで十分だと考えます。 この仕組みで、クライアントからは、サーバを信頼できる相手と認識できます。 しかし、サーバから見たクライアントは、信頼できる相手と確信できるのでしょうか? クライアントの信頼性を確保する手段として、パスワードによる認証が一般的です。 しかし、この方法は、クライアントがパスワードを盗まれれば終わりです。 さらに安全性を高めるためにクライアント認証による方法があります。 ここでは、このクライアント認証の設定方法を解説します。 クライアント認証の流れ クライアント認証は、次に示す流れで行われます。 クライ
図解で学ぶネットワークの基礎:SSL編
インターネットで買い物をするときに,クレジットカード番号や住所・氏名といった個人情報を送信することは多いだろう。こうした大事な情報を安心して送れるのは,SSL(secure sockets layer)というプロトコルのおかげだ。今回は,インターネットで暗号通信を実現するSSLを取り上げる。 イントロ:Webアクセスに欠かせない情報の秘密を守るしくみ Lesson1:アプリ同士のやりとりを暗号化,相手が信頼できるかも確かめる Lesson2:二つの暗号方式を組み合わせて,安全かつ高速に通信をする Lesson3:実際の通信はどうなってる?やりとりの詳細を見てみよう Lesson4:相手が信頼できることを確かめる「サーバー証明書」とは? 図解で学ぶネットワークの基礎:SSL編 修了テスト
Lesson4:相手が信頼できることを確かめる「サーバー証明書」とは?
Lesson4では,通信相手のサーバーが信頼できるかどうかを確認するしくみを見てみよう。ここでは,サーバーがクライアントに送信する「サーバー証明書」に注目する。 証明書には「署名」が付いている サーバー証明書は,サーバーの管理者が,「認証局」と呼ばれる組織に申請して発行してもらう(図4-1)。サーバー証明書には,サーバー運営者の組織名,認証局の組織名,証明書の有効期限,サーバーの公開鍵などの情報が書き込まれている。さらに,サーバー証明書には認証局の署名が付いている。署名とは,証明書の内容をハッシュした値を,認証局の秘密鍵で暗号化したデータである。 図4-1●「サーバー証明書」と「署名」とは? サーバー証明書は,サーバーの各種情報が書き込まれた情報で,サーバーの公開鍵が含まれている。サーバー証明書には,認証局の署名(証明書を認証局の秘密鍵で暗号化したデータ)が付いている。 [画像のクリックで
高木浩光@自宅の日記 - オレオレ証明書の区分 改訂版
■ オレオレ証明書の区分 改訂版 はてなキーワードに「オレオレ証明書」の項目ができていた。 ここにある冒頭の「(特にPKI上不適切な場面で使われる)自己署名証明書。」 という定義は私の定義とは異なる。自己署名とは限らないし、 不適切な場面とも限らないからだ。 そのためその下にある第一種〜第五種の区分の記述と矛盾が生じている。 私の定義では、クライアント側で認証パスを辿れない(検証できない)証明書 のすべてをオレオレ証明書としている。それは、サーバ側の設定ミスかもしれ ないし、設定が正しくても今まさに通信路上で攻撃を受けているのかもしれな い。証明書の発行の意図に関係なく、クライアントから見れば等しく「オレオ レ」と言っているようにしか見えない。 攻撃を受けている場合を除いて、クライアント側でオレオレ証明書となる場合 の、その原因別の区分を9月3日の注釈で書 いていた。他に第六種もあったので
OpenSSLでお手軽に自己証明書(2)_opensslコマンド « SawanoBlog.
前回の記事の中で少しだけ言及した、opensslコマンドで自己証明書のキーペアを作成する方法。 ちなみにSSLv3/TLS対応で、IISで使える形式も作れます。 事前にキーペアを作成する手順を簡単にまとめておきます、結構この流れは社内でも新人さんとかよく迷うので。 そう複雑ではないのですけどね。 サーバの秘密鍵を作成する 秘密鍵を基にして証明書要求(CSR)を発行する CSRにサーバ秘密鍵を使いまわして署名、証明書作成 サーバ秘密鍵+証明書でキーペア完成、CSRはもういらない 要は同じ公開鍵が作れる秘密鍵と証明書の2つがあればSSL通信を設定することができる、というわけですね。 有料の証明書サービスを使う場合は、手順2で作ったCSRを業者さんに渡して、証明書を作ってもらえばOK。 では手順のほうへ。 サーバの秘密鍵を作成する トリプルDESで秘密鍵を作成します、これより弱い方式で
オレオレ証明書とは コンピュータの人気・最新記事を集めました - はてな
SSL通信を行うサーバは、見知らぬクライアントから暗号化されたデータを受け取るために、データの通信を始める前にクライアントに暗号化のための鍵を送る。 しかし、盗聴者*1が通信に割り込んでこの鍵を入れ替えてしまうとクライアントが暗号化してサーバに送信したデータは盗聴者に丸見えになってしまう。 そこでサーバは「サーバ証明書」という形でクライアントに鍵を送る。サーバ証明書は「信頼できる認証機関」が電子署名を施した鍵のことで、クライアントは誰が誰の鍵に署名したかを検証することで、その鍵が確かに自分が通信しようとしているサーバの鍵であることを確認できる(電子署名の偽造はまず不可能だから)。 「信頼できる認証機関」というのは通常はウェブブラウザが知っている(ブラウザの製造元が信頼している)認証機関のことであり、ウェブブラウザは自分の知らない認証機関が署名したサーバ証明書が送られてくると、信頼性を検証で
OpenSSLでの自己認証局(CA)と自己証明書の作成
OpenSSLを利用した、自己認証局(CA)の構築と、サーバ証明書の作成手順とApache+mod_SSLでの設定方法についてもご紹介します。 Section.1では、通常のhttps通信を可能とするため、以下の手順を行います。 1.自己認証局(CA)の構築 2.サーバの証明書の作成 3.自己認証局によるサーバ証明書への署名 4.Apache+mod_sslの設定例 Section.2では、Section.1に加えてクライアント認証に利用する証明書の発行方法とApacheの設定例を示します。 1.クライアント認証用証明書の作成 2.Apache+mod_sslでの設定例 最初に、自己認証局(以下CA)の構築を行います。なお、CAの構築は/usr/local/CAに行います。 CAを作成するには、OpenSSL付属のCA.shを利用します。 (CA.shは、OpenSS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSLでお手軽に自己証明書(1)_make一発 « SawanoBlog.