中間証明書の入れ方とは?

前へ 次へ
このQ&Aのポイント
  • IT業界でSSL証明書の入れ替えを行う際、中間証明書の役割とクライアントへの必要性について解説します。
  • 中間証明書は、ルート証明書とサーバ証明書の間に位置する証明書です。
  • クライアント側に中間証明書を入れる必要がある理由やエラーへの影響についても触れます。
回答を見る
  • ベストアンサー

中間証明書について

IT業界に従事しており、この度SSL証明書の入替を行う事になりました。自社で認証局をたてており、ルート証明書-中間証明書-サーバ証明書という構成で、今回は、中間証明書とサーバ証明書を新たに発行した為、入替を行う予定です。 SSL証明書は、WEBサーバで使用している為、WEBサーバ側のみで作業が完了すると考えておりましたが、クライアント端末の担当者から、クライアント側に中間証明書を入れる必要があると指摘が入りました。 私自身、中間証明書はサーバに入っていればよいと考えていましたが、違うのでしょうか。どなかたお分かりになる方、教えて頂けますでしょうか。 ※ちなみにクライアント側担当者は、前に中間証明書を入れなかったので、エラーになったというだけで、何が原因なのか、どのようなエラーになったのかの情報を持っておらず、かき乱すだけかき乱して、全く役に立ちません。 調べていてもどうしても情報が無く、有識者の方、ご教示頂けますと幸いです。ちなみにブラウザにも"中間証明書機関"という項目があるので、クライアントに中間証明書を入れないといけないというのもあながち間違いではないかと感じ始めております。

質問者が選んだベストアンサー

  • ベストアンサー
  • foitec
  • ベストアンサー率43% (1079/2453)
回答No.1

少なくとも IE では、クライアント ( IE ) に中間CA証明書を持っている場合は、サーバで持っている中間CA証明書は無視されるか、そもそも要求されないか、となります。 ですので、クライアントに入替前の中間証明書がインストールされているなら 削除してサーバーの中間証明書を受け取るか 新しい中間証明書をインストールしてクライアントで自己解決するかでしょう。 クライアント側の中間証明書の有無に拘わらず、サーバー側はチェーンに基づき一斉に証明書を配信します。 クライアントは自身が持つ中間証明書に応じてそれを受け取るか無視するかです。

b3b1on
質問者

お礼

回答ありがとうございます。 処理の詳細、理解できました。

  1. カテゴリ
  2. パソコン・スマートフォン
  3. Windows
  4. その他(Windows)

関連するQ&A

  • べりサインの中間証明書に関して

    Webサーバ(Apache/1.3.34 Ben-SSL/1.57 (Unix))を使って SSLサイトを構築しています。3月でべりサインから貰った サーバ証明書の期限が切れるので、新しい証明書を取得しました。 すると、証明書のほかに、中間証明書というものが付いてきました。 私の持っている本には、中間証明書のインストール方法が記載 されていないのですが、どのようにしたら、インストールできるのでしょうか? ご回答、よろしくお願いいたします。

  • SSL中間証明の確認方法

    お世話になります。 ある2つのサーバがあり、サーバー・クライアント形式にてSSL通信を行います。2つのうちの1つのサーバ(SSLではサーバ形式)ではベリサインのサーバIDを取得し、WindowsからはIEを利用してサーバ証明は確認できます。 ■Windowsでの確認方法(ベリサイン) http://www.verisign.co.jp/server/help/faq/110089/index.html お聞きしたいのが、SSLのクライアント形式をWebサーバ:linux(Red Hat Enterprise Linux3もしくは4を利用予定)より通信を確立されるのですが、中間証明有無の確認はできるのでしょうか。またSSL導入したサーバとの通信確認はできるのでしょうか。 当方、ベリサインのSSLのクライアント形式通信ができるWebサーバ(レンタル)を検討しており、契約する事前にレンタル会社へこちらからやってほしいこととして問合せする予定です。 わかる方がいらっしゃいましたら教えていただけないでしょうか。 宜しくお願い致します。

  • 中間証明書が登録できるレンタルサーバー

    ネットショップでレンタルサーバーをI社から借りています。 ショッピングカートを自前で立ち上げ、SSL証明書はジオトラスト社で取得しました。 4月にジオトラスト社が社名変更しグローバルサイン社にとなったことにより、SSLサーバーの登録時に「証明書」だけでなく「中間証明書」も登録する必要が出てきました。 早速レンタルサーバーのI社に、「中間証明書」を登録しようと問い合わせたのですが、「現在、当社では中間証明書の対応は行っておりません」と言われました。内容については上申しておきますとは言っていましたが、いつになるかはわかりません。 現状、「中間証明書」の登録がないと、MacのSafari上ではSSL証明書のあるページにアクセスするとエラーメッセージが出てしまい、急いでいます。 この際、中間証明書を対応しているレンタルサーバーに切り替えたいとも考えていますが、どこかオススメのレンタルサーバー会社はないでしょうか? 現在、初期費用1万円、毎月1000円の安価なレンタルサーバーを使用していますが、同等または少し格上げしてもいいのでオススメがあれば教えてください。 グローバルサイン社のSSL証明書が利用できることが条件です。 宜しくお願いします。 しかし、I社は「グローバルサイン社」利用可能と謳っているのに、中間証明書の対応を行っていないなんておかしいですね。。。

  • 証明書サービス

    Windows 2000 Serverに証明書サービスをインストールしたいのですが、「certsrv.mscをコピーできませんでした」となりインストールできませんでした。 何故、インストール出来ないのか、どうすればインストール出来るか教えてください。 また、SSLを設定したのですが、サーバー側では問題なくWebサイトを見ることが出来るのですが、クライアント側では見ることが出来ません。 因みに、クライアント側にはウイルスバスターが入っており、セキュリティが厳しく設定されています。 こちらについても、対処法を教えてください。 よろしくお願いします。

  • SSL証明書の種類

    SSL証明書を購入したのですが、 証明書 中間証明書 証明書+中間証明書(PKCS7形式) の3つが送られてきました。 自サーバにWebサイトを公開して、そのサイトにSSLページを設定する場合、 証明書+中間証明書(PKCS7形式) を使用するのでしょうか?

  • リバースプロキシ使用時のSSL証明書について

    クライアント-(SSL)-リバースプロキシ-(SSL)-Webサーバ構成の場合、WebサーバにインストールするSSL証明書は自己署名で構わないのでしょうか? リバースプロキシ-(SSL)-Webサーバ間ではSSLクライアントはリバースプロキシですから、リバースプロキシというものが一般的に証明書の正当性チェックをしないものであれば問題ないと思うのですが、やはりリバースプロキシの仕様に依存するのでしょうか?

  • 証明書を使用した通信

    今回、自社のWebサーバ(IIS7.0)のセキュリティ強度を 高める為、SSLによる暗号化通信の実装を検討しています。 その際に、第三者機関の発行による「証明書」をサーバ側に インストールさえすれば、暗号化通信は実現できるのでしょうか?。 ブラウザはIE8を想定していますが、ブラウザ側には別途証明書の インストールや、設定変更は必要でしょうか?。 ※「クライアント証明書」というキーワードも見つけたのですが、これは不要でしょうか? アドバイスを頂けると助かります。

  • クライアント証明書を必須にすると接続できない

    社内のSSL環境を構築しておりますが、私の知識不足のためになかなかうまくいきません。 申し訳ありませんが、ご教授願えますでしょうか? ---テスト環境--- サーバA:www.XXXX.co.jp (Winodws Server 2008 R2 役割:IIS7.5、AD証明書サービス(スタンダート ルートCA)) サーバB:yyy.XXXX.co.jp (Winodws Server 2008 R2 役割:IIS7.5) クライアント1:IE7(WindowsXP)、IE9(Vista):クライアント証明書あり クライアント2:IE8(WindowsXP):クライアント証明書なし ---証明書--- サーバA(ルートCA認証局) |--サーバA:サーバAルートCAでサーバ証明書発行(IIS用:サイトのバインドに設定しSSLを設定(SSL設定:SSLが必須、クライアント証明書:必須)) |--サーバB:サーバAルートCAでサーバ証明書発行(IIS用:サイトのバインドに設定しSSLを設定(SSL設定:SSLが必須、クライアント証明書:必須)) |--クライアント1:サーバAルートCAでクライアント証明書発行 ---アクセス---  クライアント1→サーバAのサイト:表示/OK(正常にサイトを確認できる)  クライアント2→サーバAのサイト:表示/NG(サイトを確認できない)クライアント証明書がないので正しい ※クライアント1→サーバBのサイト:表示/NG(403 13のエラーとなり接続できない)クライアント証明書はルートCAの証明があるのに接続できない  クライアント2→サーバBのサイト:表示/NG(サイトを確認できない)クライアント証明書がないので正しい なぜサーバBのサイトへアクセスできないのでしょうか?ルートCAの証明書は有効となっているのですが?です。 ちなみにクライアント証明書のCRLは「http://www.XXXX.co.jp/」のcrlの場所となっています。 サーバBにAD証明書サービスをインストールし既存CAにてルートCAと利用すればよいのはわかるのですが、 インストールなしでできないものでしょうか?サーバを追加するたびにクライアント証明書を要求・発行しなくてもルートで承認している クライアントから接続できないのでしょうか? 証明書の発行、考えに問題があるのか分からないのですが、なにか回答があれば助かります。

  • チェーン証明書(中間CA証明書)のインストール

    SSL証明書の設置の1ステップです。とりあえず、証明書ダウンロードまできたのですが、chain.txt等々のインストール方法について教えてください。 手順書に「httpsd.confファイル内の~」とあります。そのファイルはどこにあるのでしょうか?作って、SSLを設置したいディレクトリに置くのでしょうか(.htaccessのように?)? 上記はコマンドでやるのでしょうか?FTPでできますか? また、その後のステップについてもご教示いただきたい(Webサーバ証明書インストール)。

  • クライアント証明書について

    お世話になります。 社内WEBアプリを利用するにあたり SSLを自己証明書(いわゆるオレオレ証明書) アクセス制限の為にクライアント証明書を作成し現在運用しています。 社内にてオレオレ証明書が問題になりシマンテックのSSLを導入しようと 予定しているのですがこの場合クライアント証明書になにか影響を与える事は 有りますでしょうか? 特に問題は発生しないとは思っているのですが購入後に使用出来ないとなれば 面倒な話になるので、どなたかご存知の方教示頂けませんでしょうか。 以上です。 宜しくお願い致します。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する