2009年12月24日

[Apache-Users 7584] Re:中間証明書の指定方法(インストール方法)について質問があります

** Apache ユーザーズメーリングリスト **
** 注意:このメールへの返信は Apache-Users へ行きます **

三菱電機情報ネットワーク
杉浦様

お世話になっております。
大嶋です。


ご回答ありがとうございます。

> ベリサイン社の指定する方法が正しいのかな、という印象です。
> 普通のSSL目的で使用されたいのであれば、結果的には同じことになると思います。
>

結果的に同じになると言うのが理解できなかったのですが、オライリーの本で調べてみた
所、「SSLCACertificate」ディレクティブは、「Apache-SSL」「Apache+mod_ssl」で互換性が
あるみたいですね。

ちなみに、「Apache-SSL」「Apache+mod_ssl」での中間証明書設定方法は以下のようになっていました。
(参照元は、ベリサン)

■Apache-SSL
SSLCACertificateFileを指定する
■Apache+mod_ssl
SSLCertificateFileを指定する

>  SSLCertificateChainFile は証明書の認証チェーン用
>  SSLCACertificateFile はSSLクライアント認証用
>
> を想定して用意されているものではないかと思います。

はい。
私もそう理解しました。

ただし、「SSLCACertificateFile」ディレクティブを用いてクライアント認証を行う場合は
「SSLVerifyClient」ディレクティブでクライアントから証明書を提示するように設定する
必要があるみたいです。(間違っていたらごめんなさい)

デフォルトでは、「SSLVerifyClient」の設定は、クライアントから証明書を要求しない
設定になっているようなので、互換性で「SSLCACertificateFile」に中間証明書を設定

しても問題ないのではないかと、と言う感じに理解しています。

非常に助かりました。
ありがとうございます。

また、間違いの部分があるかと思いますが、間違いの部分がありましたらご指摘いただくと
とても助かります。

大嶋

----- Original Message -----
From: <Sugiura.Keiichi@xxxxx>
To: <apache-users@xxxxx>
Sent: Wednesday, December 23, 2009 12:45 PM
Subject: [Apache-Users 7582] Re: 中間証明書の指定方法(インストール方法)について質問があります


> ** Apache ユーザーズメーリングリスト **
> ** 注意:このメールへの返信は Apache-Users へ行きます **
>
>
> 大嶋様
>
> お世話になります。
> 杉浦と申します。
>
> ベリサイン社の指定する方法が正しいのかな、という印象です。
> 普通のSSL目的で使用されたいのであれば、結果的には同じことになると思います。
>
> 同じサーバでSSLクライアント認証を併用される場合は、問題がありそうですが。
>
>>■SSLCertificateChainFile
>>このディレクティブでは、サーバ証明書を発行したCAの証明書から始まり、ルートCAの証明書までを
>>含む事が出来ます。
>>■SSLCACertificateFile
>>このディレクティブでは、アクセスを受け付けるクライアントの証明書を発行したCAの証明書をひとまとめ
>>にしたファイルを指定します。
>
> この部分に記載があるとおり、想定している用途が違うものと理解しています。
>
>  SSLCertificateChainFile は証明書の認証チェーン用
>  SSLCACertificateFile はSSLクライアント認証用
>
> を想定して用意されているものではないかと思います。
>
> SSLCACertificateFileは、上記の通り、
> 「この認証局が発行した鍵ペアであれば、サーバ側はクライアントにSSL接続を許可する」
> という効果があります。結果的に指定した認証局を信頼することになり、
> HTTP+SSLとしてはちゃんと機能するのではないかと。
>
> 違いとして、SSLCACertificateFileで中間証明書を指定した場合、
> 想定しない接続相手もSSLクライアント認証が通ってしまう、
> ということがありえるかもしれません(試してはいません)。
>
> ご参考になれば幸いです。
> ==
> 三菱電機情報ネットワーク株式会社
> 杉浦 圭一
> --
> 入退会・変更・配送一時停止は以下へ
> http://www.apache.jp/mailman/listinfo/apache-users

--
入退会・変更・配送一時停止は以下へ
http://www.apache.jp/mailman/listinfo/apache-users


投稿者 xml-rpc : 2009年12月24日 01:24
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/91690
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。