- 締切済み
通信のTLSのクライアント証明書について
通信モジュールが入った組み込み機器の開発を行なっています。 TLS(SSL)で通信を行うのですが、1つの同一のクライアント証明書を例えば1000台の組み込み機器に入れ込んで良いのでしょうか?1台1台別のクライアント証明書を発行するべきでしょうか?お金もかかりますしあまりやりたくないのですが。。
- yusukechief
- お礼率5% (1/20)
- C・C++・C#
- 回答数1
- ありがとう数0
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- AsarKingChang
- ベストアンサー率46% (3467/7473)
テストなら、「オレオレ証明書」で いいのではないかと思いますよ。 https://ozuma.hatenablog.jp/entry/20130511/1368284304 参考になるページを紹介しておきます。
関連するQ&A
- SMTP SSL/TLSについて
SMTP SSL/TLSというものについて分かりやすく教えていただけないでしょうか? 通信を暗号化するものだということですが、暗号化されるのはパスワードのみですか?メールの内容も暗号化されるのでしょうか? SMTP SSL/TLSを使って送信すると、相手にメールがとどくまで、全て暗号化されて安心ということでしょうか? 現在使っているメールサービスがSMTP SSL/TLS対応(SSL/TLSでない送信も可)ですが、使っているメールソフトはSSL/TLS非対応です。SSL/TLSに対応しているソフトを使えばいいと思いますが、出来れば使い慣れたものを使い続けたいと思っております。SSL/TLSを使わずに送信する事がどれほど危険性があるものかも教えていただけますでしょうか?
- ベストアンサー
- その他(メールサービス・ソフト)
- クライアント証明書を必須にすると接続できない
社内のSSL環境を構築しておりますが、私の知識不足のためになかなかうまくいきません。 申し訳ありませんが、ご教授願えますでしょうか? ---テスト環境--- サーバA:www.XXXX.co.jp (Winodws Server 2008 R2 役割:IIS7.5、AD証明書サービス(スタンダート ルートCA)) サーバB:yyy.XXXX.co.jp (Winodws Server 2008 R2 役割:IIS7.5) クライアント1:IE7(WindowsXP)、IE9(Vista):クライアント証明書あり クライアント2:IE8(WindowsXP):クライアント証明書なし ---証明書--- サーバA(ルートCA認証局) |--サーバA:サーバAルートCAでサーバ証明書発行(IIS用:サイトのバインドに設定しSSLを設定(SSL設定:SSLが必須、クライアント証明書:必須)) |--サーバB:サーバAルートCAでサーバ証明書発行(IIS用:サイトのバインドに設定しSSLを設定(SSL設定:SSLが必須、クライアント証明書:必須)) |--クライアント1:サーバAルートCAでクライアント証明書発行 ---アクセス--- クライアント1→サーバAのサイト:表示/OK(正常にサイトを確認できる) クライアント2→サーバAのサイト:表示/NG(サイトを確認できない)クライアント証明書がないので正しい ※クライアント1→サーバBのサイト:表示/NG(403 13のエラーとなり接続できない)クライアント証明書はルートCAの証明があるのに接続できない クライアント2→サーバBのサイト:表示/NG(サイトを確認できない)クライアント証明書がないので正しい なぜサーバBのサイトへアクセスできないのでしょうか?ルートCAの証明書は有効となっているのですが?です。 ちなみにクライアント証明書のCRLは「http://www.XXXX.co.jp/」のcrlの場所となっています。 サーバBにAD証明書サービスをインストールし既存CAにてルートCAと利用すればよいのはわかるのですが、 インストールなしでできないものでしょうか?サーバを追加するたびにクライアント証明書を要求・発行しなくてもルートで承認している クライアントから接続できないのでしょうか? 証明書の発行、考えに問題があるのか分からないのですが、なにか回答があれば助かります。
- ベストアンサー
- ネットワーク
- 双方向SSL時にクライアント証明書が表示されない
現在、顧客DMZ内にあるサーバに対し、インターネット上の 特定のクライアント様からサービスを利用できるように、 双方向SSLの環境を構築しておりますが、困った事があります。 詳細は次のようになります。長文となっておりますが、何卒ご教授 よろしくお願いいたします。 【1.現象】 ブラウザからSSLを行うサーバにアクセスすると、ポップアップボックスが表示され、 クライアントのブラウザの証明書ストアにあるクライアント証明書のうちどれを 使用するかが尋ねられますが、ボックスに何も表示されません。 【2.システム構成】 (1)アプリケーションサーバ OS:Windows 2003 Server WWWサーバ:IIS 6.0 サーバ証明書:セキュア・サーバID(ベリサイン社) IIS設定: ・サーバ証明書インストール ・「セキュリティで保護されたチャネル (SSL) を要求する」にチェック ・「クライアント証明書を要求する」を選択 ブラウザ:IE 6.0 (2)CA機関(個人持ち) Win2003の証明書サービスを使用し、クライアント証明書を発行します。 ここで発行した証明書を(3)のクライアントに配布します。 (3)クライアント OS:Windows XP SP2 ブラウザ:IE 6.0 (2)において、証明書サービスから発行したクライアント証明書を クライアント機にコピーし、ダブルクリックし証明書をインストールしました。 ◆補足 ・上記(1)、(3)間でSSL通信を行います。 ・上記(1)、(2)、(3)は各々別マシンです。 ・上記(1)は社内ネットワーク上にあり、(3)はインターネット上から(1)にアクセスします。 (2)はネットワークに繋がっておらず独立しています。 ・上記(3)から(2)のアクセスにおいてクライアント証明書が表示されません。 また、試しに(1)において、(3)と同様の手順でクライアント証明書をインストールし、 (1)のブラウザを使用し(1)にアクセス(自マシンに対しhttpsアクセス)しましたが、 クライアント証明書が表示されませんでした。 【3.ご教授頂きたい事】 クライアントマシンのクライアント証明書が 表示されない原因、対処について教えてください。
- 締切済み
- ネットワーク
- SSL/TLS通信無効とは?
docomoのガラケー SH01Bを使用しているのですが、各サイトにログインしようとしても 「SSL/TLS通信無効」と表示されログインできなくなってしまいました。 これはフルブラウザ通信にすれば改善されるのでしょうか? その他スマホに変えなくてもよい対策方法を教えて下さい。
- ベストアンサー
- docomo
- 証明書を使用した通信
今回、自社のWebサーバ(IIS7.0)のセキュリティ強度を 高める為、SSLによる暗号化通信の実装を検討しています。 その際に、第三者機関の発行による「証明書」をサーバ側に インストールさえすれば、暗号化通信は実現できるのでしょうか?。 ブラウザはIE8を想定していますが、ブラウザ側には別途証明書の インストールや、設定変更は必要でしょうか?。 ※「クライアント証明書」というキーワードも見つけたのですが、これは不要でしょうか? アドバイスを頂けると助かります。
- ベストアンサー
- ネットワーク
- 「特別なポート(レガシー)でSSL/TLS」とは
eM Clientというメールソフトを試しているところですが、メールの設定で躓いております。 ロリポップサーバーのメールを利用してるんですが、 https://lolipop.jp/manual/mail/mail-change-set/ こちらにあるようなPOP3を使った設定で今まで別のメーラーで使ってきました。 設定を同じにしてるつもりですがeM Clientでは上手くテストが通りません。 セキュリティポリシーに問題があるようで、デフォルトは「強制的にSSL/TLSを使用する」になってたんですが、ロリポップの他のメーラーでの設定方法ではSSL/TLSでの接続が必要というような項目にチェックを入れる形になっているのでこのままで良いのだろうと思って設定を進めたところテストNG。 ただ、今まで使っていたメーラー(Shuriken)ではSSLでの接続で普通に受信できていました。 この「強制的にSSL/TLSを使用する」は今までのメーラーのSSL/TLSとは違うものなのかよくわからず。 ポート番号も設定方法にあるように995ですし、送信側も465です。 前もメーラーもそれで通ってましたが、eM Clientではダメ。 ただ、この中で「特別なポート(レガシー)でSSL/TLSを使用する」を選択したときだけはテストもOKで普通に送受信ができます。 でもそもそも「特別なポート(レガシー)」というのが何なのかよくわからなくて、この設定で進めて良いのかがわかりません。 この設定でしか送受信できないのでeM Clientを使いたいならこれで行くしかないんですが、この設定を使って良いものなのか、「特別なポート(レガシー)」が何なのか知りたいです。 なんかシンプルすぎて分かりづらいですね、このソフト(^_^; どなたかおわかりになる人、いらっしゃったら教えてください。
- ベストアンサー
- その他(メールサービス・ソフト)
- クライアント証明書について
お世話になります。 社内WEBアプリを利用するにあたり SSLを自己証明書(いわゆるオレオレ証明書) アクセス制限の為にクライアント証明書を作成し現在運用しています。 社内にてオレオレ証明書が問題になりシマンテックのSSLを導入しようと 予定しているのですがこの場合クライアント証明書になにか影響を与える事は 有りますでしょうか? 特に問題は発生しないとは思っているのですが購入後に使用出来ないとなれば 面倒な話になるので、どなたかご存知の方教示頂けませんでしょうか。 以上です。 宜しくお願い致します。
- ベストアンサー
- ネットワーク
- 証明書の必要枚数を教えてください。
以下システムで必要なSSL証明書枚数は3枚で間違いがないか教えていただけないでしょうか? SMTPサーバー :smtp.test.jp MAPサーバー :imap.test.jp squirrelサーバー(webメール):Squirre.test.jp のサーバーを3台用意し、1台ずつにインストールします。(各サーバーがバラバラの役割を持つ) 通信は全て、SSL/TLSで行います。 1台のサーバーに3つの役割を全て統合して用意するなら、 1枚のSSLを発行するだけで問題ないと思うのですが、 3台のサーバーを用意し、3つのホストネームがあるので、 Common Nameがそれぞれのサーバーで異なるとおもうので 3枚の証明書を用意する必要があると思っています。 私の考えは間違っていませんでしょうか? よろしくお願いします。
- ベストアンサー
- ネットワーク
- POP3SへTLS1.2接続する方法
SSL3.0の脆弱性を回避する目的で、POP3Sの接続をTLS接続に切り替えようと思っているのですが、エラーが発生し上手くいきません。 openssl ciphers -vで確認したところ、プロトコルがSSLv3とTLSv1.2しかないようで、 # openssl s_client -tls1_2 -connect localhost:995 -> ○ # openssl s_client -tls1_1 -connect localhost:995 -> × # openssl s_client -tls1 -connect localhost:995 -> × # openssl s_client -ssl3 -connect localhost:995 -> ○ # openssl s_client -ssl2 -connect localhost:995 -> × という結果となりました。 Windowsクライアントよりメールソフト(becky!)を利用し接続すると、接続に失敗し下記エラーがでます。 認証設定が「over TLS 1.0」でしたので、TLS1.0接続の為、上記テスト結果の-tls1と同じ状況なのかと思っています。 そこで、お知恵をお借りしたいのですが、 1. WindowsクライアントよりTLS1.2接続でpop3s接続できるメールソフトは存在するのでしょうか。 2. opensslの暗号化プロトコルにTLS1.0を追加する事は可能でしょうか。 お知恵をお持ちでしたらお助け頂けませんでしょうか。 宜しくお願い致します。 [エラー内容] qpopper[3102]: TLS handshake Error qpopper[3102]: TLS/SSL Handshake failed: -1 [qpopper.config] set clear-text-password = always set reverse-lookup = false set tls-support = alternate-port set tls-private-key-file = /usr/local/etc/apache22/ssl.key/server.key set tls-server-cert-file = /usr/local/etc/apache22/ssl.crt/server.crt set shy = true [環境] qpopper-4.1.0_3 OpenSSL 1.0.1e-freebsd FreeBSD 10R
- ベストアンサー
- BSD系OS
