- ベストアンサー
SSLのクライアント認証を試したい
freshjive@SSL勉強中です windows2000serverに認証サービスをインストールし、SSLを利用できるようにしました。ただSSLを利用するだけだとつまらないので、クライアント認証を試してみたいと思っていますが、windows2000server&認証サービスの組み合わせでクライアント認証を実現することはできるのでしょうか?その方法をご教授してください。 よろしくお願いいたします。
- freshjive
- お礼率34% (44/127)
- Windows NT・2000
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
これとか、参考にして、試したことはあります。
関連するQ&A
- apacheのSSLクライアント認証がうまくいきません
apacheのSSLクライアント認証がうまくいきません apache1.3.41とmod_sslを利用してクライアント認証を実装しようとしているのですが クライアント認証を有効にするとhttps接続時に証明書提示した後に「ページを表示できません」となってしまいます。 手順は以下のサイトを参考に設定したものです http://www.aconus.com/~oyaji/www/apache_linux_ssl.htm 証明書の発行もインストールも特に問題なくできましたが、接続時にクライアント証明書を提示しても「ページを表示できません」と出てしまいます。ssl_engine_logにもerror_logにもそれらしいエラーが見当たらないのでそれ以外のところに原因があるのでしょうか。 httpd.confの一部(デフォルトからSSLの部分を変更した部分だけ)を展開します。 どこか間違いがあればご指摘よろしくおねがいします。 また、この現象の原因が分かる方がいらっしゃればご教授願います。 <VirtualHost _default_:443> DocumentRoot "/home/xxxxx/webIndex" ServerName 192.168.11.2 ServerAdmin xxx@xxxxxxx.xxx DirectoryIndex login.html ErrorLog /usr/local/apache/logs/error_log TransferLog /usr/local/apache/logs/access_log SSLEngine on SSLCertificateFile /usr/local/apache/conf/ssl.crt/servercert.pem SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/serverkey.pem SSLCACertificatePath /usr/local/apache/conf/ssl.crt SSLCACertificateFile /usr/local/apache/conf/ssl.crt/cacert.pem SSLVerifyClient require SSLVerifyDepth 1 ・ ・ ・ </VirtualHost> ちなみにクライアント認証の部分をコメントアウトしてサーバ証明書だけ有効にすると正常に ページにアクセスできますので、クライアント認証の設定の部分に問題があるのみたいなのですが 起動ができるので設定以外のところに問題があるようにも思えます。 #SSLCACertificatePath /usr/local/apache/conf/ssl.crt #SSLCACertificateFile /usr/local/apache/conf/ssl.crt/cacert.pem #SSLVerifyClient require #SSLVerifyDepth 1 以上です 宜しくお願いします。
- 締切済み
- ハードウェア・サーバー
- 双方向SSL時にクライアント証明書が表示されない
現在、顧客DMZ内にあるサーバに対し、インターネット上の 特定のクライアント様からサービスを利用できるように、 双方向SSLの環境を構築しておりますが、困った事があります。 詳細は次のようになります。長文となっておりますが、何卒ご教授 よろしくお願いいたします。 【1.現象】 ブラウザからSSLを行うサーバにアクセスすると、ポップアップボックスが表示され、 クライアントのブラウザの証明書ストアにあるクライアント証明書のうちどれを 使用するかが尋ねられますが、ボックスに何も表示されません。 【2.システム構成】 (1)アプリケーションサーバ OS:Windows 2003 Server WWWサーバ:IIS 6.0 サーバ証明書:セキュア・サーバID(ベリサイン社) IIS設定: ・サーバ証明書インストール ・「セキュリティで保護されたチャネル (SSL) を要求する」にチェック ・「クライアント証明書を要求する」を選択 ブラウザ:IE 6.0 (2)CA機関(個人持ち) Win2003の証明書サービスを使用し、クライアント証明書を発行します。 ここで発行した証明書を(3)のクライアントに配布します。 (3)クライアント OS:Windows XP SP2 ブラウザ:IE 6.0 (2)において、証明書サービスから発行したクライアント証明書を クライアント機にコピーし、ダブルクリックし証明書をインストールしました。 ◆補足 ・上記(1)、(3)間でSSL通信を行います。 ・上記(1)、(2)、(3)は各々別マシンです。 ・上記(1)は社内ネットワーク上にあり、(3)はインターネット上から(1)にアクセスします。 (2)はネットワークに繋がっておらず独立しています。 ・上記(3)から(2)のアクセスにおいてクライアント証明書が表示されません。 また、試しに(1)において、(3)と同様の手順でクライアント証明書をインストールし、 (1)のブラウザを使用し(1)にアクセス(自マシンに対しhttpsアクセス)しましたが、 クライアント証明書が表示されませんでした。 【3.ご教授頂きたい事】 クライアントマシンのクライアント証明書が 表示されない原因、対処について教えてください。
- 締切済み
- ネットワーク
- SSLについて
freshjive@ssl初心者です。 Apache1.3.26に対応するmod-sslを組み込み、make certificate後にmake installしました。これにより、httpでもhttpsでも接続できることを確認しましたが、いくつか実現したいことがあり書き込みました。 1.起動スクリプトから起動できるようにしましたが、パスワード入力でエラーが発生し起動しません。パスワードを入力しなくてもいい方法があれば教えてください。 2.クライアント認証を試したいと思っていますが、ブラウザに取り込むための証明書はどのように作成すればいいのでしょうか? 3.最終的に、httpでの接続は拒否し、クライアント認証によるSSL接続のみを接続させたいと思っています。可能でしょうか?またどのようにすればいいのでしょうか?
- 締切済み
- その他(OS)
- delegateでSSLのクライアント認証を代理する方法
SSLでクライアント認証を要求してくるWebサーバに、クライアント認証をサポートしていないクライアントから接続したいと思い、 client --(http)--> delegated --(https)--> WebServer という接続を考えています。 そこで、delegatedを以下のオプションで起動しているのですが、サーバから証明書を受信した直後からの挙動がおかしく、全くデータを取得しないままdelegatedとの接続がタイムアウトで終了してしまいます。 ./src/delegated -vv -cert client-cert.pem -key client-key.pem -pass passflaise -P8000 SERVER=http FSV=sslway ■delegatedのデバッグメッセージ(抜粋) 07/01 17:51:21.58 [26938] 1+2: -- Fork(FSV): 26936 -> 26938 07/01 17:51:21.58 [26938] 1+2: #### execFilter[FSV] [/path/to/delegate/lib/sslway]sslway 07/01 17:51:21.58 [26938] 1+2: #### [/home/komatsu/delegate/lib/sslway](1) sslway 07/01 17:51:21.58 [26938] 1+2: FSV arg[0] sslway ## SSLway[26938](localhost) server's cert. = **subject<< ..(省略).. >> 07/01 17:51:22.16 [26936] 1+2: PollIn.POLLHUP (11) errno=0 07/01 17:51:22.16 [26936] 1+2: HTTP realy_response: EOF at start 07/01 17:51:22.16 [26936] 1+2: relay_response()=-10001, cache=0, httpStat=P DontTruncate=0 07/01 17:51:22.16 [26936] 1+2: #HT11 EOF from the server 07/01 17:51:22.16 [26936] 1+2: #HT11 close svsokcs[17,18] クライアント認証を必要としないSSLサーバからは正常にデータを取得できます。 解決法をご存知の方、よろしくご教授ください。
- 締切済み
- その他(OS)
- SSLの導入と認証について
SSLの導入と認証について メールフォーム内に口座を記入する項目があるのですが、 ・クライアントとしてはべりサインマークなどを貼って信頼性を出したい。 ・使用しているサーバーを見ると「SSL通信(汎用型)のサーバIDは○○(サーバー会社名)で取得しておりますので、お客様のサイト上でシールを使用することはできません。」と書かれている と、いうような状態です。 このような場合、クライアント側の希望する「信頼性」という点でどのような対策をとればよいのでしょうか?テキスト等で「このサーバーは~」というような文言を入れてもよいのでしょうか?? また、送信プログラムに関してですが、当方PHPでシステム自体は組めるのですがそれ以外に特別なプログラムを利用したりしないといけないでしょうか? (認識としては、PHPで組んだプログラムをSSLサーバにアップするというイメージなのですが…) プログラムが特殊でこちらですぐに対応できなさそうな場合は外注も考えているのですが、その場合はどのようなところへお願いするのがよいですか?(大き目の制作会社とかでしょうか??) クライアントもどこに聞けばよいかわからず、私に相談に来たのですが私もどういう会社に問い合わせてみればいいのかもよくわからず右往左往しております。(検索ワードも良くわからない状態です) 宜しくお願いします。
- ベストアンサー
- ネットワーク
- SSL認証局の立ち上げ
いつもお世話になります SSLの仕組み自体は分かっているつもりです、サーバに適用も経験済みです。 ふと疑問なのですが、仮に法人としてSSL認証機関を立ち上げたいと思った場合 そのようなシステムを作ってどこに登録すれば良いのでしょうか? (公的CA(認証機関)を立ち上げたい、独自CAではない) マレーシアのSSL認証局がセキュリティ不十分だった時に Microsoft、Mozillaとも「Entrust」からの連絡を受けたとのことなので http://www.itmedia.co.jp/enterprise/articles/1111/04/news016.html Entrustに申請して、各ブラウザに反映してもらうような流れなのでしょうか? 例えばドメインを自前で登録する時は バインドでネームサーバを作って、そのIPを各トップレベルドメインに登録します(jpだったら日本レジストリサービス) そのようなSSL認証を統括している企業があるのか もしくは、Microsoft、Mozilla等に直接申請するのでしょうか 詳しい方、ご教授頂けると嬉しいです!
- ベストアンサー
- ネットワーク
- 認証の一元管理
クライアントは全てWindowsですが、サーバがWindows 2000 ServerとSolarisサーバの混在です。現在はWindowsのユーザ認証を行っていますが、UNIX環境の認証(NIS)とアカウントやパスワードの同期をとらせ、一元管理する場合は、やはり、Service for UNIXやLDAP、Kerberosを利用する方法しかないのでしょうか。すいませんが、アドバイスください。
- ベストアンサー
- その他(インターネット・Webサービス)
- BASIC認証をSSLで使用する場合
私は現在XREAという.htaccessOKのサーバ屋のサーバを使っています。 このサーバは非公開ディレクトリも作成できるので そちらにいろいろと非公開コンテンツを乗っけようと思いましたが CGIが対応していないようなので公開ディレクトリの下に BASIC認証を敷こうと思っています。 そのさい、単にBASIC認証だとパスワードが平文で送信されるそうなので パスワードを認証して最初のページに入るまでSSLを使用し、 BASIC認証の弱点を克服することが出来たらと思っております。 どうすればhttps://の状態でBASIC認証をかけることができるか、 また認証後http://に戻すにはどうすればいいのか、ご存知の方 いらっしゃいましたらご教授願います。
- 締切済み
- ネットワーク
- インターネット上のWEBアプリで端末認証を行うには
インターネット上のWEBアプリで、安価もしくは無料である特定の端末からしかアクセスさせないようにしたいと考えています。 始めはWindowsプログラムをインストールしておいて、それでハードウェアのIDを取得してサーバーに通信してトークンをもらい、それを使ってのログインを考えたのですが、WEBブラウザからの起動にしないとダメという要件が有り使えません。 MACアドレスやVPNでのIPアドレス認証は使えず、クライアントSSL認証もそのクライアントSSLを他の端末にコピーされたら識別できないので、複製不可能な特定端末からのアクセスを実現したいと考えております。 何かいい方法はありませんでしょうか?
- 締切済み
- オープンソース
お礼
とても参考になります! ただ、証明期間によりクライアント証明書を発行したのですが、[保留中の証明書の確認]より取得しようとしても、「保留中の証明書の要求はありません。 」というメッセージが表示されて取得できません。 こんな事象はおきなかったでしょうか?