クライアント証明書による認証

Apacheサーバ上でCAを作る

  • CAコマンドを使ったCA構築 を参考にCAを作る。
  • 今回は上の作業を/etc/httpd/sslで行い、CAを/etc/httpd/ssl/ca以下に作成する。
  • 上の作業で出来るDER形式のCAルート証明書cacert.derはクライアントPCにダウンロードする。

Apacheサーバ上でサーバ証明書を作る

Apacheサーバ上でクライアント証明書を作る

Apacheサーバ上でApacheの設定を変更する

 SSLCertificateFile    /etc/httpd/ssl/server.crt
 SSLCertificateKeyFile /etc/httpd/ssl/server.key
 
 #SSLCACertificatePath /etc/httpd/ssl/ca
 SSLCACertificateFile /etc/httpd/ssl/ca/cacert.pem
 
 SSLVerifyClient require
 SSLVerifyDepth  10

クライアントPC上でCAルート証明書とクライアント証明書をブラウザへインポートする

CAルート証明書のインポート(Windows)

  • cacert.derをダブルクリックして、全般タブの「証明書のインストール」を押下して、ウィザードを実行する。
  • 「保存場所」は「現在のユーザー」を選ぶ。「次へ」進む。
  • 証明書ストアの選択で「証明書をすべて次のストアに配置する」を選ぶ。
    • 「参照」ボタンを押下して、「信頼されたルート証明機関」を選び、OKを押下する。
  • 「次へ」進み、内容を確認して、「完了」で閉じる。
  • (参考: http://www.jcsinc.co.jp/support/vista7_root.html

クライアント証明書のインポート(Windows)

  • client.p12をダブルクリックして、ウィザードを実行する。
  • 「保存場所」は「現在のユーザー」を選ぶ。「次へ」進む。
  • ファイル名を確認して、「次へ」進む。
  • 必要に応じて、パスワードを入力して、「次へ」進む。
  • 証明書ストアの選択で「証明書の種類に基づいて、自動的に証明書ストアを選択する」を選び、「次へ」進む。
  • 内容を確認して、「完了」で閉じる。
  • (参考: http://www.jcsinc.co.jp/support/vista7_p12.html

クライアントPC上のインポートされた証明書の確認

  • コントロールパネルからインターネットオプションを開く。
  • 「コンテンツ」タブを選び、「証明書」を押下する。
  • 「個人」「信頼されたルート証明機関」タブを選び、発行先が該当するコモンネームの設定があるのを探して、ダブルクリックする。
  • 「全般」タブの「発行先:」「発行者:」、「詳細」タブの「サブジェクト」等を確認する。

証明書失効リストの登録

 SSLCARevocationFile  /etc/httpd/ssl/ca/crl.pem
 SSLCARevocationCheck chain

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

Last-modified: 2016-01-03 (日) 04:57:50