Webサーバー => SSLセキュアWebサーバー構築 > 8.クライアント認証を行う側の設定について (ブラウザの検証)
ここでは不特定多数に公開する WEB サーバーを対象としておりません。独自CA による WEBサイトの暗号化は限られた用途のみに限定する必要があります。
httpsサーバーに接続する、またはクライアント認証でhttpsサーバーに接続する場合、ユーザーが行うべき設定を説明します。windows なのか MAC なのか、NetscapeかIEなのか、IE でもMAC版とWindows版では設定方法が異ります。
自分が検証できた項目についてまとめてみました。また、Netscapeにおいては証明書の拡張 設定があるため証明書を作成する段階で用途にあわせた証明書を作成しなければ、Netscapeに正しく取り込めないことになるので、注意が必要です。 (nsCertType)
証明書を右クリックでインストールします。今回のpkcs12証明書にはCAの公開鍵も含まれるのでこれだけで終りです。証明書をインストール後、接続すると何事もないように表示されるはずです。
クライアント認証を行わないディレクトリにアクセスする場合は、既に自CAの公開鍵も含まれているので証明書の発行元は信頼できないという警告は出ません。
クライアント認証の指定のないディレクトリにhttpsで接続しようとすると以下のようなメッセージが表示されます。
IE6 の場合
この警告は、このサーバーが使用している証明書は、信頼される第三者(認証機関)から発行されたものではない事の警告です。つまり、サイトの身元は証明する事は出来ない旨の警告です。この場合の第三者とは、ベリサインなど公の認証機関の事であり、信頼できる認証機関はブラウザ側で登録されているため警告は出ません。
自分で立ち上げた CA (認証機関)で作成した証明書であるため、ブラウザはこのような警告を出しますが、ここでは管理者が限られた用途に限定して利用するため受け入れを許可します。
また、ブラウザによっては今後、信頼して以降は警告を出さないようにするものもあり対応もまちまちです。不特定多数に公開し、一般の利用者が受け入れを許可すれば現在のSSLによるサイトの実在証明の意味さえ失います。
もし、あなたのサーバーが不正進入を許しサーバー証明書が流出し、そのサーバー証明書を悪用したサイトが立ち上がりアクセスすれば、ブラウザは警告すら出さなくなります。ここで説明している内容をそのまま一般の WEBサービスで利用する行為は危険であり行うべきではありません。
同様のリスクは、サーバー管理者など限られた利用者に限定するケースにおいても同様の事がいえますので、一定の認識のある方が対象となります。
残念ながらMac版IEにはクライアント認証を行うための証明書をインストールする仕組みがありません。これは仕様のようです。仕様というか、この部分は 未完成のまま長い間ホッタラかしにしているという感じです。
ここで作成したのはpkcs12形式の証明書フォーマットですが、これは全く受け付けませんで した。ファイル形式をいろいろ変えてブラウザ側で直接証明書ファイルのディレクトリを指定し取り込もうとしましたがダメでした。
Microsoftもクラ イアント認証のための仕組みは持たないと記述があったのでおそらくMAC版IEではクライアント認証は不可能ということになります。
クライアント認証を行わないhttps公開ディレクトリにアクセスする場合、Windowsの場合と同じく、CAcert.cgiにアクセスすれば信頼さ れる証明機関としてインストールされます。MAC版IE5.06は、Windows版IEと違い、ブラウザ側で証明書の管理パスワードが別途必要になります。
これはNetscape7と同じです。先に作成したcacert.cgiに接続し初めて認証局(CA)の登録を行うときに管理用(ユーザー)のパス ワードを求められるので設定し、ユーザーは覚えておく必要があります。また、自己証明書はインストールできませんが、自CAの公開鍵はderファイルにア クセスするだけで登録が可能です。
基本的にMAC版、Windows版と特に違いはありません。Netscapeで注意することは、同一バージョンでもSSL128bitに対応したものと そうでないものが存在することです。
これらの情報はNetscapeのホームページで公開されています。ここで紹介したユーザー証明書の作成では 56bitでも接続は可能ですが、お勧めできません。
編集 → 設定 → プライバシーとセキュリティ → 証明書
pkcs12形式の証明書をインストールします。初めてこの操作を行う場合は、先に述べたようにブラウザ固有のパスワードを設定する必要があります。続いて、証明書をインストールします。その際、証明書のパスワードを要求されるのでこたえます。
Netscape6の場合、初めてクライアント証明書(Netscapeでは身分証明書と表 記)をインストールする場合、証明書のパスワードとは別に、証明書を管理するためのユーザーパスワードを設定するように求められます。
これらはブラウザ固 有のパスワードが必要になっています。これらは他人が勝手に証明書に関する設定が行えないようにするための仕組みで、pkcs12に含まれる証明書パス ワードとは全く関係がありません。ブラウザが固有に管理するアカウントです。
サーバー管理者がMAC版Netscapeでクライアント認証を行う場合、Netatalkなどのファイルサーバーを使ってファイルを受け渡すと pkcs12 形式証明書がう まく取り込めない場合があります。
Mac OS は拡張子でファイルを判断せずに、ヘッダでファイルタイプを認識するため、これらのヘッダが受け渡しの際にファイルに付加された可能性があります。
opensslで証明書を作成する場合、Netscape用の拡張設定を行って作成された証明書でなければ取り込み時にエラーが出るので、問題がある場合 はnsCertTypeを疑った方がよいでしょう。
これらは署名要求書に自CAにより署名された証明書を開けばnsCertTypeがなんであるか記載さ れています。
IEの用に、サーバーの公開カギを用意する必要がありません。SSLで保護され、信頼される証明機関が発行した証明書をつかっていないサイトであれば以下のようなダイアログが表示されます。
Netscape 4.7
Netscape 6
通常は一時的に受け入れれば、接続は可能ですが、接続のたびに警告が出ます。自CAが発行した 証明書をつかってSSLを実現しているわけですから、永続的に受け入れるようにします。
証明書の有効期限まで警告なしで接続できるようになります。IEの 様に自CAの公開カギを用意する必要がありません。これは自CAに対するリスクはユーザー側の判断で行うと言うことを意味し、IEの様に自CAの公開鍵を渡さなければその都度警告がでる場合と大きく異なります。
この標題のトップへ 8 / 8 
