• 追加された行はこの色です。
• 削除された行はこの色です。
• Apache/SSL/クライアント証明書による認証 へ行く。
• Apache/SSL/クライアント証明書による認証 の差分を削除

* クライアント証明書による認証 [#g7577a61]

** Apacheサーバ上でCAを作る [#fba01063]
- [[CAコマンドを使ったCA構築>セキュリティ・PKI/OpenSSL/CAコマンドを使ったCA構築]] を参考にCAを作る。
- 今回は上の作業を/etc/httpd/sslで行い、CAを/etc/httpd/ssl/ca以下に作成する。
- 上の作業で出来るDER形式のCA証明書cacert.derはクライアントPCにダウンロードする。
- 上の作業で出来るDER形式のCAルート証明書cacert.derはクライアントPCにダウンロードする。

** Apacheサーバ上でサーバ証明書を作る [#x80ec24e]
- [[CAコマンドを使ったサーバ証明書・クライアント証明書の作成>セキュリティ・PKI/OpenSSL/CAコマンドを使ったサーバ証明書・クライアント証明書の作成]] を参考にサーバ証明書を作る。
- 上の作業でサーバ証明書/etc/httpd/ssl/server.crtとサーバ秘密鍵/etc/httpd/ssl/server.keyを作成する。

** Apacheサーバ上でクライアント証明書を作る [#ic633236]
- [[CAコマンドを使ったサーバ証明書・クライアント証明書の作成>セキュリティ・PKI/OpenSSL/CAコマンドを使ったサーバ証明書・クライアント証明書の作成]] を参考にクライアント証明書を作る。
- 上の作業で出来るPKCS12形式のクライアント証明書とクライアント秘密鍵の結合ファイルclient.p12はクライアントPCにダウンロードする。

** Apacheサーバ上でApacheの設定を変更する [#c26e4e0b]
 SSLCertificateFile    /etc/httpd/ssl/server.crt
 SSLCertificateKeyFile /etc/httpd/ssl/server.key
 
 #SSLCACertificatePath /etc/httpd/ssl/ca
 SSLCACertificateFile /etc/httpd/ssl/ca/cacert.pem
 
 SSLVerifyClient require
 SSLVerifyDepth  10

** クライアントPC上でCA証明書とクライアント証明書をブラウザへインポートする [#h29e4765]
*** CA証明書のインポート（Windows） [#abe0ec4b]
** クライアントPC上でCAルート証明書とクライアント証明書をブラウザへインポートする [#h29e4765]
*** CAルート証明書のインポート（Windows） [#abe0ec4b]
- cacert.derをダブルクリックして、全般タブの「証明書のインストール」を押下して、ウィザードを実行する。
- 「保存場所」は「現在のユーザー」を選ぶ。「次へ」進む。
- 証明書ストアの選択で「証明書をすべて次のストアに配置する」を選ぶ。
-- 「参照」ボタンを押下して、「信頼されたルート証明機関」を選び、OKを押下する。
- 「次へ」進み、内容を確認して、「完了」で閉じる。
- （参考： http://www.jcsinc.co.jp/support/vista7_root.html）

*** クライアント証明書のインポート（Windows） [#e1979d83]
- client.p12をダブルクリックして、ウィザードを実行する。
- 「保存場所」は「現在のユーザー」を選ぶ。「次へ」進む。
- ファイル名を確認して、「次へ」進む。
- 必要に応じて、パスワードを入力して、「次へ」進む。
- 証明書ストアの選択で「証明書の種類に基づいて、自動的に証明書ストアを選択する」を選び、「次へ」進む。
- 内容を確認して、「完了」で閉じる。
- （参考： http://www.jcsinc.co.jp/support/vista7_p12.html）

** クライアントPC上のインポートされた証明書の確認 [#kef451c6]
- コントロールパネルからインターネットオプションを開く。
- 「コンテンツ」タブを選び、「証明書」を押下する。
- 「個人」「信頼されたルート証明機関」タブを選び、発行先が該当するコモンネームの設定があるのを探して、ダブルクリックする。
- 「全般」タブの「発行先：」「発行者：」、「詳細」タブの「サブジェクト」等を確認する。

** 証明書失効リストの登録 [#e61abbee]
 SSLCARevocationFile  /etc/httpd/ssl/ca/crl.pem
 SSLCARevocationCheck chain
- 失効リストファイルcrl.pemの作成は[[CAコマンドを使ったサーバ証明書・クライアント証明書の作成>セキュリティ・PKI/OpenSSL/CAコマンドを使ったサーバ証明書・クライアント証明書の作成]] を参考にする。

PukiWiki 1.5.3 © 2001-2020 PukiWiki Development Team. Powered by PHP 7.4.33. HTML convert time: 0.002 sec.