- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- Apache/SSL/クライアント証明書による認証 へ行く。
クライアント証明書による認証
Apacheサーバ上でCAを作る
- CAコマンドを使ったCA構築 を参考にCAを作る。
- 今回は上の作業を/etc/httpd/sslで行い、CAを/etc/httpd/ssl/ca以下に作成する。
- 上の作業で出来るDER形式のCA証明書cacert.derはクライアントPCにダウンロードする。
Apacheサーバ上でサーバ証明書を作る
- CAコマンドを使ったサーバ証明書・クライアント証明書の作成 を参考にサーバ証明書を作る。
- 上の作業でサーバ証明書/etc/httpd/ssl/server.crtとサーバ秘密鍵/etc/httpd/ssl/server.keyを作成する。
Apacheサーバ上でクライアント証明書を作る
- CAコマンドを使ったサーバ証明書・クライアント証明書の作成 を参考にクライアント証明書を作る。
- 上の作業で出来るPKCS12形式のクライアント証明書とクライアント秘密鍵の結合ファイルclient.p12はクライアントPCにダウンロードする。
Apacheサーバ上でApacheの設定を変更する
SSLCertificateFile /etc/httpd/ssl/server.crt SSLCertificateKeyFile /etc/httpd/ssl/server.key #SSLCACertificatePath /etc/httpd/ssl/ca SSLCACertificateFile /etc/httpd/ssl/ca/cacert.pem SSLVerifyClient require SSLVerifyDepth 10
クライアントPC上でCA証明書とクライアント証明書をブラウザへインポートする
CA証明書のインポート(Windows)
- cacert.derをダブルクリックして、ウィザードを実行する。
- 「保存場所」は「現在のユーザー」を選ぶ。「次へ」進む。
- 証明書ストアの選択で「証明書をすべて次のストアに配置する」を選ぶ。
- 「参照」ボタンを押下して、「信頼されたルート証明機関」を選び、OKを押下する。
- 「次へ」進み、内容を確認して、「完了」で閉じる。
- (参考: http://www.jcsinc.co.jp/support/vista7_root.html)
クライアント証明書のインポート(Windows)
- client.p12をダブルクリックして、ウィザードを実行する。
- 「保存場所」は「現在のユーザー」を選ぶ。「次へ」進む。
- ファイル名を確認して、「次へ」進む。
- 必要に応じて、パスワードを入力して、「次へ」進む。
- 証明書ストアの選択で「証明書の種類に基づいて、自動的に証明書ストアを選択する」を選び、「次へ」進む。
- 内容を確認して、「完了」で閉じる。
- (参考: http://www.jcsinc.co.jp/support/vista7_p12.html)
クライアントPC上のインポートされた証明書の確認
- コントロールパネルからインターネットオプションを開く。
- 「コンテンツ」タブを選び、「証明書」を押下する。
- 「個人」「信頼されたルート証明機関」タブを選び、発行先が該当するコモンネームの設定があるのを探して、ダブルクリックする。
- 「全般」タブの「発行先:」「発行者:」、「詳細」タブの「サブジェクト」等を確認する。
証明書失効リストの登録
SSLCARevocationFile /etc/httpd/ssl/ca/crl.pem SSLCARevocationCheck chain
- 失効リストファイルcrl.pemの作成はCAコマンドを使ったサーバ証明書・クライアント証明書の作成 を参考にする。
