2009年12月23日

[Apache-Users 7582] Re:中間証明書の指定方法(インストール方法)について質問があります

** Apache ユーザーズメーリングリスト **
** 注意:このメールへの返信は Apache-Users へ行きます **


大嶋様

お世話になります。
杉浦と申します。


ベリサイン社の指定する方法が正しいのかな、という印象です。
普通のSSL目的で使用されたいのであれば、結果的には同じことになると思います。
同じサーバでSSLクライアント認証を併用される場合は、問題がありそうですが。

>■SSLCertificateChainFile
>このディレクティブでは、サーバ証明書を発行したCAの証明書から始まり、ルートCAの証明書までを
>含む事が出来ます。
>■SSLCACertificateFile
>このディレクティブでは、アクセスを受け付けるクライアントの証明書を発行したCAの証明書をひとまとめ
>にしたファイルを指定します。

この部分に記載があるとおり、想定している用途が違うものと理解しています。

 SSLCertificateChainFile は証明書の認証チェーン用
 SSLCACertificateFile はSSLクライアント認証用

を想定して用意されているものではないかと思います。

SSLCACertificateFileは、上記の通り、
「この認証局が発行した鍵ペアであれば、サーバ側はクライアントにSSL接続を許可する」
という効果があります。結果的に指定した認証局を信頼することになり、
HTTP+SSLとしてはちゃんと機能するのではないかと。

違いとして、SSLCACertificateFileで中間証明書を指定した場合、
想定しない接続相手もSSLクライアント認証が通ってしまう、
ということがありえるかもしれません(試してはいません)。

ご参考になれば幸いです。
==
三菱電機情報ネットワーク株式会社
杉浦 圭一
--
入退会・変更・配送一時停止は以下へ
http://www.apache.jp/mailman/listinfo/apache-users


投稿者 xml-rpc : 2009年12月23日 12:45
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/91659
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。