9. LDAP によるデジタル証明書の発行この章の焦点は、デジタル証明書を LDAP サーバ内に発行する方法にあります。 Certification Authority (認証局) を運営するならデジタル証明書を発行する必要が あります。LDAP への発行は、この情報をネットワーク内で利用できるようにする シンプルな方法のひとつです。また、証明書対応ソフトウェアの多くも、 望ましいレポジトリとして、ユーザ証明書に LDAP を用いています。この方法ではユーザ証明書を他のユーザ情報と一緒にしておけるので、 データの無駄な複製が必要なくなります。証明書を取り扱うには暗号ツールキットが必要です。 ここで使用するのは OpenSSL です。 9.1. LDAP サーバの設定ここで使用する LDAP サーバは OpenLDAP 2.0.x です。LDAP サーバは、証明書を記録するための属性を持てる
google:認証局+CA 長いので、真面目にCAを立てるつもりが無ければ、「結論」だけ読めばok。 用語定義プライベートCAを作る秘密鍵を作るリクエストを作る証明書を作る秘密鍵と証明書を合成するpkcs#12形式のクライアント証明書を作る生成したCA証明書、サーバ証明書、クライアント証明書を使ってみるその他おぼえがきプライベートCAのデメリット結論参考にしたリンク 用語定義 CA, 認証局 『証明書』を必要とする人が提出した『リクエスト』から、CAの署名入り『証明書』を生成する、何らかのシステム。 認証を行うシステムなので、CA自身にも信用/信頼といった物が必要。 認証局は、大会社だったり、単にファイル一式が入っただけのディレクトリだったりする。 尚、CAが、『リクエスト』から署名入り『証明書』を発行する為には、CA自分自身の秘密鍵と証明書が必要となる。 秘密鍵 コレがあると、公開鍵によ
久留です。 証明書発行に使用するopensslコマンドの引数をまとめてみました。 ================================================================= *タイムゾーンの設定 set tz=jst-09 セルフサインのCA証明書発行 openssl req -keyout (CA証明書の秘密鍵ファイル名) -x509 -config (opensslの設 定ファイル名) -out (CA証明書ファイル名) -days (CA証明書の有効期間(日)) -new -outform pem セルフサインのCA証明書のPKCS#12データ作成 openssl pkcs12 -export -in (CA証明書ファイル名) -inkey (CA証明書秘密鍵ファイ ル名) -out (PKCS#12データのファイル名) ユーザ証明書の証明書発
ApacheでSSLを利用するには、モジュールを組み込むかパッチを適用する必要がある。そのため、Apacheのインストール時にSSL化を行わなければならない。今回は、OpenSSLを使う方法と、Apacheインストール後に最小限やっておくべき環境設定について紹介する。 前回はApacheの基本的なインストール方法を紹介して終わったが、今回はその続きとして、SSL(Secure Sockets Layer)とApacheを連携させる場合のインストールや、インストール後に行っておくべき便利な設定について紹介する。 ApacheでSSLを使うには クレジットカード番号に限らず、プライベートな情報の入力を求めるWebサイトでは、通信を暗号化する技術が欠かせない。それを実現するのがSSLだ(SSLについては携帯通信技術トレンド第2回を参照していただきたい)。本稿では、ApacheとSSLを組み合わせ
OpenSSLを利用した、自己認証局(CA)の構築と、サーバ証明書の作成手順とApache+mod_SSLでの設定方法についてもご紹介します。 Section.1では、通常のhttps通信を可能とするため、以下の手順を行います。 1.自己認証局(CA)の構築 2.サーバの証明書の作成 3.自己認証局によるサーバ証明書への署名 4.Apache+mod_sslの設定例 Section.2では、Section.1に加えてクライアント認証に利用する証明書の発行方法とApacheの設定例を示します。 1.クライアント認証用証明書の作成 2.Apache+mod_sslでの設定例 最初に、自己認証局(以下CA)の構築を行います。なお、CAの構築は/usr/local/CAに行います。 CAを作成するには、OpenSSL付属のCA.shを利用します。 (CA.shは、OpenSS
証明書の失効とCRLの発行 2003/6/14作成 2004/9/19更新 主にクライアント証明書の場合ですが、発行したあとに秘密鍵が盗まれたり、紛失することがあります。 具体的には、pkcs12のファイルを勝手にコピーされたり、秘密鍵がビルのOSと一緒に心中してしまうこともあります。 また、発行した人が意図的に誰かに秘密鍵を配布したり、譲渡する可能性もあります。 そういった証明書をいつまでも信用するわけにはいかないので無効となった証明書のリストをCAから発行してクライアント証明書の検証をするWebサーバに配布します。 1.証明書の失効 さっそく、証明書を失効します。 CAで発行した証明書を使ってCAで失効手続きをすることになります。 -revokeオプションのあとに、CAが発行した証明書を指定します。
Windows環境でopensslによる各種の鍵や証明書の発行について整理しました。 Linux系は結構いろいろなサイトで紹介されていますが、Windowsについては環境が異なることからなかなかそのままではうまくいきません。おやじも何度かトライしては失敗してきたので、ここで整理しておくことにしました。今回は、たまたまBBSでクライアント証明書に関する話題もあがっていたので、それについても整理しました。 その後、初めに整理した方法ではクライアントがInternetExploreでは問題ないが、Netscape ではうまくインストールできないことが判明しました。また、万が一の場合の証明書の失効処理も配布されているopensslのバイナリにバグがあり、index.txtが壊れるという問題がありうまくできないことが判明しました。いろいろ探し回ったのですが、最新のバイナリがどうしても見つからなかった
opensslコマンドtips 元は、AirOneのセキュリティ関連のファイルの説明文書です。 opensslコマンドのtips文書として使えるので、いくつか追記して、公開します。 * PKI関連 ========= ** identity.pem(秘密鍵ファイル) ** cert.pem(証明書ファイル) AirOneの起動時にidentity.pemとcert.pemの整合性チェックを行います(airu_cert_validate())。 チェック項目、エラーコード、解析方法を説明します。 チェック項目 ------------ 1. cert.pemがx509のフォーマットか? エラーコード: #0301005 解析方法: openssl x509 -text -in cert.pem でエラーがでないこと。 2. identity.pemが入力パスワードで読めるか? エラーコード:
CAを構築するとはサーバやクライアント認証のための証明書を 発行することができるようにすることを意味します. 誤解してはならないのはネットワークサーバのように ネットワークに接続されたホストの特定のポートで接続を待ち受けて、 クライアントがそこに接続して、コマンドを発行し、 結果を得るためのサーバを作るわけではないということです. 確かに依頼者からCSRを受け取り、それに基づいて証明書を 発行しますが、この受け渡しのための手順が定められている わけではありません。WWWのCGIで受け渡しを行っても、 メールで手動で送ってもよいわけです。 この部分は規約があるわけではありません。 認証局を構築するのに必要なのは、鍵ペアを作り、証明書を作る ソフトウェアを用意すること、また構築する認証局自身の CA証明書を作るのに必要なものを作成することです。 OpenSSLのインストール インストールは簡単
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く