2009年12月23日

[Apache-Users 7579]中間証明書の指定方法(インストール方法)について質問があります

** Apache ユーザーズメーリングリスト **
** 注意:このメールへの返信は Apache-Users へ行きます **

皆様

お世話になっております。
大嶋と申します。

今回、ApacheのMLに入会させていただきました。
よろしくお願いいたします。

早速で、申し訳ないのですが、中間証明書のインストール方法についてお聞きしたい事があります。

現在の環境は、「Apache2+mod_SSL」となっています。

そこで、中間証明書(ベリサインの中間証明書です)の設定方法なのですが、色々と調べてみたところ
以下2つのディレクティブを指定する事で設定が出来ることがわかりました。

■SSLCertificateChainFile
ベリサインは、この設定を推奨しているみたいです。
■SSLCACertificateFile
OCNホスティングでは、こちらの設定を推奨しているみたいです。
また、どちらのディレクティブを使用しても大丈夫と言うサイトもありました。
ただし、2つのディレクティブのうちどちらを指定しても問題が無い理由が書いてありませんでした。

ちなみに、どちらも「Apache+mod_SSL」の設定方法としてHPに記述されています。

そこで、2のディレクティブを検証環境で使用して、中間証明書を指定し、テストを行いました。

■テスト方法
古いブラウザ(ネットスケープ4.8)を使用して、検証用Webサーバにアクセスした時に
証明書の警告が出るか出ないかを調べました。
また、「openssl x_client -connect localhost:443 -showcerts」コマンドで「SSLCertificateChainFile」に
中間証明書を指定した場合と、「SSLCACertificateFile」で指定した場合の結果を「diff」コマンドで調べました。

テストの結果は、どちらも中間証明書を認識しているようで問題が無いように思えます。

ちなみに、この2つは何が違うのかオライリーのApacheハンドブックで調べたところ以下の事が分かりました。

■SSLCertificateChainFile
このディレクティブでは、サーバ証明書を発行したCAの証明書から始まり、ルートCAの証明書までを
含む事が出来ます。
■SSLCACertificateFile
このディレクティブでは、アクセスを受け付けるクライアントの証明書を発行したCAの証明書をひとまとめ
にしたファイルを指定します。

これを見ると、「SSLCertificateChainFile」の方では、CAの中間証明書を指定するが、「SSLCACertificateFile」
では、アクセスを受けるクライアントの証明書を発行したCA証明書を指定する事になっています。
「SSLCACertificateFile」では、クライアントの証明書を発行したCAの証明書を指定するものだと理解したつもり
です。

「SSLCACertificateFile」は、クライアント認証方法の時に使用されるディレクティブだと思われるのですが、
何故、「SSLCACertificateFile」を使用しても、中間証明書がクライアント側で認識される(問題なく動いてい
るように見える)のかが分かりません。

長くなりましたが、ご存知の方がおられましたら、ご教示願えませんか?

よろしくお願いいたします。
--
入退会・変更・配送一時停止は以下へ
http://www.apache.jp/mailman/listinfo/apache-users


投稿者 xml-rpc : 2009年12月23日 01:08
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/91632
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。