PKI の認証局(CA)を構築する
PKI モデルは、いつまでたってもよくわからない。 認証局 (CA) を構築して体験してみるのが一番かもしれない、と思ってチャレンジしてみた。 (1) 何をするか? 今回、何をどうするのか少し整理しておきたい。 目標は、Web サーバーの SSL 化である。 まず、証明書を発行するまでの手順は以下のとおり。 +----+ +-------------+ | <-----(*1)-----+ | | CA | | Webサーバー | | +-----(*2)-----> | +----+ +-------------+ 1. まず、CA を構築する 2. Web サーバーの証明書署名要求 (CSR) を作成し、CA に提出 --- (*1) 3. CA は証明書を発行 --- (*2) そして、Apache で SSL を使用する設定を行って完了である。 (2) CA 構築から証明書発行まで
チーフエンジニアの加辺(a.k.a. limitusus)です。 みなさん、自己署名証明書(いわゆるオレオレ証明書)使ってますか? 今回お客様から クライアント証明書による認証機能を実現してほしい(自己署名証明書でOK) という要望がありました。 そこで実際にどうやったら運用できるかを考え、実際に構築してみたのでご紹介します。 そもそもなぜ自己署名証明書なのか 無料でのTLS証明書発行サービスとしてはLet's Encrypt(ACME)やAWS Certificate Manager(DNS認証)が多く使われていますね。 これらの登場で2016年頃からサーバ証明書用途での利用はほぼ絶滅したのではないかと思います。 しかしながらやんごとなき事情でTLSクライアント証明書認証をすることになってしまった場合はどうか。 クライアント証明書を無料で発行してくれるサービスというのは今のところなさそう
問題Mozilla 製品のルート証明書に含まれている認証局の Entrust 社から、傘下の認証局のひとつであるマレーシアの DigiCert Sdn. Bhd. 社が低強度の鍵で 22 の証明書を発行していたことが報告されました。それらが不正に発行された兆候はありませんが、低強度の鍵により、証明書がセキュリティ侵害を受ける恐れがあります。また、この認証局から発行された証明書にはいくつかの技術的な問題が見受けられました。用途を指定する EKU 拡張が欠落しており、失効情報も含まれていません。 これは Firefox 固有の問題ではありませんが、Mozilla では、この認証局の技術慣行に関する懸念を考慮し、DigiCert Sdn. Bhd. 社の中間認証局への信頼を取り消すことにしました。 DigiCert Sdn. Bhd. 社は、マレーシアで営業している、Entrust 社と Ver
Google Trust Services : Google Cloud サービスの認証局切り替えを準備中 | Google Cloud 公式ブログ
今年初め、私たちは Google Trust Services を設立したことを発表しました。Google と Alphabet 向けのルート認証局を自ら運営するためです。準備は急ピッチで進んでおり、Google サービス(Compute Engine、Gmail、その他の Google Cloud サービスを含む)をご利用の皆さんは、Google が以前とは異なる認証局(CA)をまもなく使い始めることにお気づきでしょう。認証局が切り替わっても大多数のお客様は影響を受けないと、私たちは考えています。 Google サービスとお客様の通信をセキュアなものにするため、Google は TLS(以前は SSL と呼ばれていたもの)を使用しています。TLS の場合、サーバーは認証局の署名を受けた証明書という形で自らの身元を証明する必要があります。この証明書については、Google は “GeoTr
自己認証局によるサーバ認証
※証明書の有効期限について利用している環境によって注意が必要です。 伝統的なUnixのTime関数では、1970/1/1を起点にlong int型にて日付の計算を行っていますが、その限界が2028年にきてしまいます。 このため、証明書の期間で2028年を越えるような日付を指定してしまうと、その証明書がいきなり無効になってしまう結果になります。 有効期限は取りあえず2028年にならない程度にすることをお勧めします。 /etc/ssl/openssl_server.cnf ;; #################################################################### [ ca ] default_ca = CA_default # The default ca section ##################
Mozilla、DigiNotar問題で他の認証局へアクション求める | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable MozillaのKathleen Wilson氏が「Immediate action requested」において、Mozillaルートプログラムに参加している証明書認証局に対して9月16日までに安全の確認を目的とした特定の作業を実施して欲しいと呼びかけている。認証局に呼びかけられている内容は次のようなもの。 公開鍵基盤の検査と侵入またはセキュリティ侵害などを受けていないかの調査。すべてのサードパーティ認証局および登録局も含む。 クロスサインしているMozillaルートプログラムに参加している他のCA証明書の完全な一覧の提出。 直接証明書を発行する権限を持ったすべてのアカウントがマルチファクタ証明が要求されていることの確認。 よく知られたドメイン名に対する自動ブロックを設けてい
総務省認証局・LGPKI のルート証明書が特例措置で IE 標準装備になった件, 「安全な通信を行うための証明書」と呼ぶ悪習 - [ぴ](2006-09-28)
_ [システム運用] 総務省認証局・LGPKI のルート証明書が特例措置で IE 標準装備になった件 Windows(R) Updateによる電子政府システム向けルート証明書の配信を開始@Microsoft マイクロソフト、電子政府システムのルート証明書をWindows Updateで配布@INTERNET Watch Windows Updateで電子政府システム向けルート証明書の配信を開始@ITmedia マイクロソフトが電子政府システムのルート証明書をWindows Updateで配布@ITPro (日経本紙では「『電子政府』手続き簡略化」という見出しで、一見意味不明な内容でしたが、こっちの記事はストレートですね) 政府・官公庁の証明書をMSがWindows Updateで配布@/.J というわけで、高木浩光@自宅の日記を中心に糾弾されてきた GPKI/LGPKI のルート証明書配布
](https://cdn-ak-scissors.b.st-hatena.com/image/square/d228e8be070c32c738781e15c25aeb18f4dc6807/height=288;version=1;width=512/https%3A%2F%2Fpmakino.jp%2Ftdiary%2Ftheme%2Fogimage.png)
The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications. EntrustとVerizonの傘下にあるマレーシアの中間認証局「DigiCert Sdn. Bhd.」が低強度の512ビットRSA鍵を発行していたことがEntrustより発表された。名称が似ているが、米国ベースのDigiCertとマレーシアのDigiCert Sdn. Bhd.は関係のない企業。発行されたいくつかの証明書はEKU拡張を含んでおらず、また、失効情報も含んでいないという技術上の問題も抱えているという。 こうした問題を受けてMozillaはプロダクトのルート証明書において、DigiCert Sdn. Bhd.が発行したすべての証明書を信頼しないよ
認証局の鍵を作成。 $ sudo openssl genrsa -out ca.key 1024 認証局の証明書を作成。 $ sudo openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Tokyo Locality Name (eg, city) []:Shibuya-ku Organization Name (eg, company) [Internet Widgits Pty Ltd]:Masaki KOMAGATA Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name
証明書チェーンとは | プライベート認証局 Gléas
証明書チェーンとは、クライアント、サーバなどの証明書から、ルート認証局の認証局証明書までの連なりのことです。 例えば、サーバ証明書が設定されているWebサーバに、ブラウザでアクセスすると、ブラウザはサーバ証明書の正当性を確認します。その正当性確認に使われるのが証明書チェーンです。本稿ではその仕組みを解説します。 サーバ証明書は認証局の秘密鍵で署名されています。 クライアントは認証局の公開鍵を使ってサーバ証明書の正当性を確認します。そのため、クライアントは事前に認証局の公開鍵(認証局証明書)を持っておく必要があります。 認証局は、中間認証局と呼ばれる下位の認証局を持つことができます。最上位にある認証局はルート認証局と呼ばれます。 下位の認証局の認証局証明書は、上位の認証局によって署名がされます。最上位のルート認証局は、自ら認証局証明書に署名します。 gleas.jp を例として見てみましょう
Q-Successは3月22日(ドイツ時間)、「IdenTrust, which is used as root certificate for Let's Encrypt, has become the most popular SSL certificate authority」において、IdentTrustのシェアが17.5%に到達し、SSL認証局として最も高いシェアを確保したと伝えた。3年前にはシェアがゼロだったIdentTrustがこの3年間で業界首位に上り詰めたことになる。 IdenTrustは現在話題になっているLet's Encryptのルート証明書。Let's Encryptは証明書が無償であることに加え、Mozillaなどのブラウザベンダーが積極的に協力したこと、証明書の有効期間は短いもののAPIで証明書の新規発行や更新作業を自動化できることなどから高い人気を得ている。
証明機関は階層構造を取ることができます。 ツリー構造的に管理ができ、整理がしやすいためです。フォルダと同じ原理です。 3 階層や 4 階層のパターンが多いですが、2 階層のパターンは商用ではあまり見られません。 なぜでしょうか? それは運用とセキュリティの観点からです。 実際にCAを構築する際の設計をしてみましょう。 階層構造の理由顧客への証明書の発行は速やかに実施されるべきです。そのため、発行手続きもある程度簡素化しオンラインで発行ができるものがよいでしょう。 しかしオンラインであるがゆえに、脆弱性を突かれ、証明書の利用が適正に行われない可能性もあります。その際にはその証明書を発行した CA を無効化する必要があります。 このとき、2 階層だった場合、「証明書を発行した上位CAの証明書=ルート証明書を無効化」することになりますが、それを実行した場合、当然発行した全ての証明書が無効になりま
トップページ | プライベート認証局 Gléas
リモート時代の セキュアIT基盤 Gléas (グレアス) は、クライアント証明書やデバイス証明書、サーバ証明書を管理する認証局専用製品です。 証明書をどのように管理するか 証明書認証の信頼性にとって、クライアント証明書をどう管理するかは重要な課題です。Gléasには、確実に管理下の端末だけに証明書を配布するための機能が用意されています。 ブラウザを使う方法、専用アプリを使う方法、SCEPやOver the Air(OTA)、MDMなどの外部システム連携用APIを使う方法、スマートカードを使う証明書配布などに対応しています。 インポートワンス機能 Gléasには、証明書の端末へのインポートを1回に制限するインポートワンス機能があります。秘密とすべき鍵の取り出しはできないため、いちどインポートした証明書データを他のデバイスにコピーすることはできません。 この機能により、Gléasは1枚の証明
Googleが認証局サービスを一般提供としてリリース
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
フリーSSL証明書はSSL機能をすべて90日間提供します。99.3%のブラウザー対応率を持つエンドエンティSSL証明書を発行する、信頼されるルート認証局(CA)と同じ認証局から発行され、有償版のルート証明局(CA)の機能や弊社サービスの発行プロセスを、実際のお客様のシステム公開に先立って充分にテストすることができます。 なぜフリーSSL証明書が必要なのでしょうか? 発行のスピード- 弊社のオンライン発注システムにより迅速に発行されます。 ドメインネームの管理の確認- Webサイトのドメインの管理/登録を確認します。 有効期間の延長- ComodoのフリーSSL証明書は現在90日間有効です。 3ステップでフリーSSL証明書をセットアップ CSR(証明書署名要求)の作成- 作成方法はこちらをご覧ください。 フリーSSL証明書のサインアップ- 認証および発行プロセスは完全にオンライン化されていま
あなたの知らないPKI(2)--PKIのコア要素/電子証明書と認証局 - builder by ZDNet Japan
ハイブリッドクラウド時代の救世主 企業ITを素早く進化させるためのAVS サービス開始から1年で大幅に機能がアップ RPA見直される”業務”と”人”の関係 人的リソースを単純作業から解放! 高付加価値業務への転換のために DNSを守り、DNSで守る 高度・巧妙化し危険度を増すサイバーリスク いま考えるべきモダンセキュリティのあり方 Anywhere Workspace! ハイブリッドワーク時代の働き方 分散業務環境3つの課題と解決策 注目急上昇中のDaaS最新情報 コロナ禍を背景に利用者と機能を拡大中 Azure Virtual Desktop最新情報 オープンソース活用はあたりまえ! そんな今だからこそ改めて考える 企業ITにおけるOSS活用のメリットとリスク ビジネスの推進には必須! ZDNet×マイクロソフトが贈る特別企画 今、必要な戦略的セキュリティとガバナンス サービスを止めない
Apache の RPM から抜粋。1年だとよくきれるので、10年にしてみた。 #!/bin/sh if [ ! -f /etc/httpd/conf/ssl.key/server.key ] ; then openssl genrsa -rand /proc/apm:/proc/cpuinfo:/proc/dma:/proc/filesystems:/proc/interrupts: /proc/ioports:/proc/pci:/proc/rtc:/proc/uptime 1024 > /etc/httpd/conf/ssl.key/server.key 2 > /dev/null fi FQDN=”s1.example.co.jp” if [ “x${FQDN}” = “x” ]; then FQDN=localhost.localdomain fi if [ ! -f /etc/
自宅認証局(CA)を開局しよう Linux編
OpenSSLを使って自宅認証局、以下CAを開局していきます。 CAはユーザーから送られてきた署名要求書に署名・認証し証明書を発行する機関であり、証明書を使用するサーバーが本物であることをCAが保証するわけです。 使用するユーザー(サーバー)が自宅サーバー、保証するのも自宅CA、これでは一般的に信頼できるわけはありません。 だから信頼できるCAとしてベリサイン社などが存在するわけですね。 しかし自宅サーバーという趣味の世界でそこまでお金は掛けられませんので、自宅CAを開局していこうという方針です。 とりあえずCAを置くディレクトリなど前準備をしましょう。 私はCAを置くディレクトリを/var/ssl/CAとしました。 # cd /var # mkdir ssl # cd ssl # mkdir CA # cd CA # mkdir certs crl newcerts private #
この記事は最終更新日より 1 年以上経過しています。 画像やリンクが無効になっている可能性もあるのでご了承下さい。 ローカル内部のみで SSL を用いた通信を行うとき、自己認証局でサーバー証明書を発行できると面白い。しかし、認証局を作ったり署名要求証明書を発行して認証局に署名させて、サーバー証明書を発行する等と言う手順がややこしくていつも頭を抱えていた。 故に殆ど触れることも無くセキュアとは何か? なんて無縁な事をしてきたけど、いざ触れ出すとこれがまた面白かったのでメモしておく。自サバ運営する上での自己満足度は結構高い。 自己認証局は通称「オレオレ認証局」とも言われる。自分で作って自分で署名するという動作から来る物だ。 自己認証局の作成 自己認証局が行う仕事は「署名要求証明書」と呼ばれる CSR ファイルに「署名を行うこと」になる。自己認証局は信用されなければ意味がないので、認証局の証明書
政府認証基盤における認証局証明書のフィンガープリント
33 32 36 31 36 32 36 39 37 34 38 38 38 2019年 8月24日 0:00:00 ~ 2029年 8月23日 23:59:59
opensslコマンドとは OpenSSLはSecure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) のプロトコルとそれに関係する標準的暗号を実装したツールキットです。 OpenSSLの暗号ライブラリの様々な暗号機能をシェルから使うためのコマンドラインです。 次のような機能があります。 プライベート鍵と公開鍵とそのパラメータの作成と管理 公開鍵の暗号化操作 X.509証明書、認証局(CA)に提出する証明書発行要求ファイル(CSR)、無効となった証明書のリスト(CRL)の作成 メッセージダイジェストの計算 暗号化と暗号文の復号 SSL/TLSクライアントとサーバのテスト S/MIMEサインと暗号化メールの取り扱い タイムスタンプの要求、生成と検証 今回は認証局(CA)を構築して、サーバ証明書を発行してみます。
世界中で利用されているリモートでサーバー操作を行うソフトウェア「OpenSSH」は、認証方式として公開鍵認証を用いるのが一般的ですが、認証局による認証を行うことも可能です。エンジニアのCarl Tashian氏が、認証局の秘密鍵に物理セキュリティキーを用いることで、高いセキュリティを維持して一時的な鍵の生成を行う方法を説明しています。 SSH Emergency Access https://smallstep.com/blog/ssh-emergency-access/ 今回説明されているSSHの認証方法は、通常の認証方式である「公開鍵をホストのauthorized_keysに登録し、クライアントから秘密鍵を用いて認証を行う」のではなく、「認証局を作成してサーバー側で信頼し、認証局による署名が行われた秘密鍵で認証を行う」というもの。認証局の署名時に有効期限などを設定することで、一時的な秘
認証局のデジタル証明書が偽造されるリスクについて
結論を最初に記しておく。認証局(認証機関:CA)のデジタル証明書(SSL証明書)を偽造するという今回の攻撃を調査した結果,リスクの大きさは大して変わらなかった。これは旧式のハッシュ・アルゴリズム(ハッシュ関数)を狙った非常に深刻な攻撃といえるが,広く知れわたってはおらず,攻撃者たちに悪用されないよう対策済みだ。 ドイツのベルリンで開催された第25回 カオス コミュニケーション会議(Chaos Communication Congress)で2008年12月30日(現地時間)に発表された技術的な脆弱性については,さまざまな説明がなされている。米ワシントン・ポスト紙の記者であるBrian Krebs氏は,平均的インターネット・ユーザーにも理解できるよう,いつもながらの見事な記事を書いてくれた。米プリンストン大学の教授であるEd Felten氏は,セキュリティの専門家でもあまり暗号やPKI(公開
このページには、FreeBSDでインターネットサーバを設置するためのメモが公開してあります。ページの記述に関する内容につきましては自己責任にてご利用ください。ご参考になりましたら幸いです。 インターネットサーバ に最適な OS。 ''FreeBSD'' FreeBSD 備忘録のページにいらっしゃいませ。 FreeBSDはUNIXライクなOSで、Linuxに同様オープンソースで開発が行われているオペレーティングシステムです。 インターネットからダウンロードして自由に導入して利用することができます。無料で利用できます。 個人的に普段デスクトップPCとして利用しているのは、Microsoft Windows XP を導入したDELL PCです。FreeBSDを使っているわけではありません。 しかし、インターネットでサーバとして利用しているのは10年以上 FreeBSDを愛用しています。"
opensslコマンドを使って、オレオレ認証局(CA)を作成し、そのオレオレCAが署名した証明書を作成する流れについて、たまにやるけどすぐに忘れるのでまとめ。 CA証明書の作成 CAの秘密鍵の作成 RSA秘密鍵を作成する。 -outでファイルを指定しても、標準出力をリダイレクトでファイルに書き込んでもどちらでもよい -----BEGIN RSA PRIVATE KEY-----で始まるファイルができる。-----BEGINで始まるファイルはPEM形式のファイルである。鍵や証明書のファイルによく使われる拡張子にはばらつきがあり、.pemとか.derというのはファイルのエンコーディングを表しているが、.crtや.cerや.keyや.csrというのはファイルの内容を表している。 秘密鍵の内容を確認する。
電子認証局会議
用語集 電子署名・電子認証で使われる用語の解説です。 詳しくはこちら Q&A 電子署名・電子認証について、よくある質問をまとめました。 詳しくはこちら ダウンロード ガイドライン・解説書・意見書などを掲載しています。 詳しくはこちら 2024.05.09 お知らせ セミナー・シンポジウム Cloud Signature Consortiumが主催する「CSC 東京サミット:国境なきトラスト、5/29(水)10時-」の詳細・申込はリンク先を確認ください。 2023.04.01 お知らせ 株式会社サイバーリンクス様が2023年4月1日に電子認証局会議へ入会しました 2023.02.17 お知らせ セミナー・シンポジウム 電子認証局会議が特別会員で参加している一般社団法人デジタルトラスト協議会(JDTF)が主催する「eシール活用セミナー(Webiner):3月8日(水)14時~」の詳細・申込はリ
LPIC303 Ver2.0、ローカルCA認証局、自己署名証明書の復習をしてみる。 - labunix's blog
■LPIC303 Ver2.0、ローカルCA認証局、自己署名証明書の復習をしてみる。 KVM上にLPIC303 Ver2.0の学習環境を構築する。 http://labunix.hateblo.jp/entry/20180715/1531661773 LPIC303 Ver2.0、公開鍵の基礎の復習をしてみる。 http://labunix.hateblo.jp/entry/20180716/1531669914 LPIC303 Ver2.0、公開鍵証明書のライフサイクルの復習をしてみる。 http://labunix.hateblo.jp/entry/20180716/1531734772 ■以下で使った「CA.sh」は無くなっているので、図にしてみる。 Wheezyのopensslでダイジェスト計算、ローカルCA認証局、自己署名証明書 http://d.hatena.ne.jp/lab
ヒント CAcert.orgは無料でサーバ証明書を発行してくれます。 ただしIEなどのブラウザにルート証明機関として登録されていないので手動で登録する必要があります。 更新はとても簡単です。半年に一回送られてくるメールのリンクをクリックするだけです。
2.証明局(CA)とサーバ証明書の作成 証明書は認可方式であり、外部の世界的に信頼のおける機関に審査してもらい証明書を発行してもらう必要があります。 この発行機関のことを認証局(CA:Certificate Authority)といいます。 認証局の中でもクライアントに初期バンドルされている最上位の認証局は ルート認証局(ルートCA) と言われ、 一般的にルート認証局から証明された 中間認証局(中間CA) が署名する形で証明書が発行されます。 ここではそれらを自己で模擬する形で、ルートCAを作成し、ルートCAが署名した中間CAを作成し、中間CAが署名したサーバ証明書を作成します。 ルートCAの作成 ルートCA用の設定ファイル(openssl_rca.cnf)を作成します。 cd /usr/local/ssl mkdir RCA cp openssl.cnf openssl_rca.cnf
【インタビュー】EV SSLとSSL、その違いと信頼基盤としての認証局の取り組み - ベリサインに聞く(2) | ネット | マイコミジャーナル
EV SSLと従来のSSL、2種類のサーバ証明書はどう違う? 日本国内でも金融機関をはじめ、様々な業種のWebサイトにEV SSL証明書が導入されるケースが増えている。その証明書は、マイクロソフトなどのWebブラウザベンダやベリサインなどの認証局(CA、Certificate Authority)などで構成される「CA/ブラウザフォーラム」が策定した世界共通の審査基準のもとで発行されるが、従来のSSLサーバ証明書とくらべ何がどう変わったのか。また発行される証明書自体に違いはあるのだろうか。日本ベリサインの平岩義正氏と上杉謙二氏に、従来のSSLとEV SSLという2種類のサーバ証明書の相違点と、認証業務を行なう認証局自体の信頼性について聞いた。 日本ベリサイン マスマーケット営業部 部長 平岩義正氏 日本ベリサイン マーケティング部プロダクトマーケティング シニアプロダクトマネージャ 上杉謙
無料でマルチドメイン対応のSSL証明書を発行してくれるとして一部で話題になっていた中国の認証局「WoSign」で、サブドメインに紐付けられているサーバーの管理権限があれば、そのメインのドメインに対するSSL証明書も取得できてしまうという問題が明らかになっている。たとえばgithub.ioでは、利用者に対し<プロジェクト名/ユーザー名>.github.ioや<プロジェクト名/ユーザー名>.github.comというドメインを提供しているが、これを悪用することでgithub.ioやgithub.comに対するSSL証明書も取得できてしまうことになる(GIGAZINE、Schrauger.com、Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github, Microsoft and
仕事で画像ベースの回帰テストをWebサービスの社内検証環境でできるよう準備する中で、すでに用意されている自己署名証明書だとhttpsなページにHeadless Chromeでアクセスできない(スクリーンショットが真っ白)問題があり、自己認証局を立ててサーバー証明書を発行させて、ということをした。その時の経験をもとに手順を精査してまとめてみる。 原因 Chromeがコモンネームの設定を非推奨化、そのエラー対策としての自己署名証明書のCSRの作り方という記事にある通り、サブジェクト代替名の指定のない自己署名証明書を使っていたから。 具体的にはopenssl.confデフォ設定ままで以下のような作り方をしていた。 $ sudo openssl genrsa 2048 > server.key $ sudo openssl req -new -key server.key > server.csr
HTTPSはLet’s Encryptで、クライアント認証は自己認証局(通称 オレオレ認証局)がサインしたクライアント証明書を使って行うことができます。 CentOS 7 の Apache は 2.4.6 なので、そのマニュアルを確認してみます。 サーバー証明書の認証局証明書はSSLCertificateChainFileディレクティブで、クライアント証明書の認証局証明書はSSLCACertificateFileディレクティブで設定します。 ちなみに、クライアント証明書の認証局が複数ユーザーでそれぞれ違う場合では、SSLCACertificatePathディレクティブで指定したディレクトリに、ハッシュ値を名前にしたシンボリックリンクを置くことで複数の認証局の証明書を置くことができる、とあります。 つまり、サーバー証明書の認証局とクライアント認証の認証局はそれぞれ別なものを設定できます。当然
GMOインターネットは1月31日、同社が運営するドメイン登録サービス「お名前.com」において、グローバルサインとの共同開発による世界初のレジストラと認証局の連携によるSSLサーバー証明書発行サービス「お名前.com×グローバルサインSSLサーバー証明書サービス」の提供を開始したと発表した。 同サービスは、ドメインレジストラと認証局が認証プロセスの連携を行うことで、スピーディーな発行が可能となったSSLサーバー証明書サービス。お名前.comでドメイン登録しているユーザーや、これから登録するユーザーは、申請手続きに手間をかけることなく、グローバルサインの提供する「クイック認証SSL」を上回るほぼリアルタイムのスピードでSSLサーバー証明書を取得することができるという。 具体的には、お名前.comでのドメイン登録情報を本人認証に使用するため、本人確認用のメールアドレスの用意や本人確認用の書類手
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自己署名認証局の運用基盤としてXCAとOpenXPKIを使う | Elastic Infra
マイクロソフト、マレーシアのSSL認証局問題に対処、更新プログラムを公開
DigiCert Sdn. Bhd. 社の中間認証局の信頼取り消し | Mozilla Japan ブログ
マレーシアの認証局“DigiCert”が不正なSSL証明書、MSが対策プログラムを公開
Microsoft、インドの認証局によって誤って発行されたデジタル証明書を無効化
JPRSが「WebTrust」を取得、サーバー証明書の認証局の信頼性を保証
マイクロソフト、インドの認証局で不適切に発行されたSSL証明書を無効化
新たな認証局不信問題が発覚 - MozillaとMSが対応、Firefox 8適用済み
もう二度とハマらない、SSL個人認証局の設定 - komagataのブログ
Let's Encryptのルート証明書「IdentTrust」、SSL認証局第1位に
中間証明書の必要性、証明機関(認証局)の階層化の理由 | SEの道標
フリーSSL証明書 SSL認証局からのセキュアHTTPSサーバー証明書
SSL の自己認証局証明書をさくっと作れるスクリプト | Carpe Diem
CentOS 7 で自己認証局とサーバー証明書を作成するメモ | ぶっちろぐ
opensslコマンドで認証局(CA)を構築してサーバ証明書を発行する - 無題の備忘録
SSHの認証に物理セキュリティキー&認証局を用いて一時的な鍵を生成する方法とは?
『Apache/CAcert.orgを使った認証局のSSLサーバのメモ [FreeBSD](fkimura.com)』
OpenSSLによるオレオレ認証局が署名した証明書の作成 - Qiita
無料認証局 CAcert.org 証明書発行 | CentOSサーバー構築マニュアル.com
やむを得ない場合の自己証明書と自己認証局によるSSLサイト構築 - dosandbox
Mozilla、中国の SSL 証明書の君主に責任追及「我々は君たちのことも信用しない」~Google に続き、中国のルート認証局 CNNIC を拒否(The Register) | ScanNetSecurity
中国大手SSL認証局で不正に証明書を取得できてしまう問題が明らかに | スラド セキュリティ
Chromeでエラーにならない自己認証局&サーバー証明書を作る
Let’s Encryptと自己認証局でクライアント証明書接続
GMO、レジストラと認証局の連携によるSSLサーバー証明書発行サービス