はじめての自宅サーバ構築 - Fedora/CentOS - Last Update 2008/11/05
It opened to 2004/09/19. Visitors
Pageviews
Today(IP/PV)		 3,583,787
14,024,803
1,109/6,567
このページは表示専用です。新規投稿・レスや最新情報はこちらです。

このスレッドはクローズされています。記事の閲覧のみとなります。
rootCA証明書の反映
日時: 2005/04/28 17:23
名前: kevin

お世話になっております。

Linuxをクライアントとして Openssl を用いて https 通信をおこなおうとして
いる者です。認証局証明書はどのように設定するのでしょうか?また、中間認証
局も必要となるのでしょうか?

初心者で大変申し訳ございませんが、教えていただけますでしょうか?
申し訳ございませんが宜しくお願い致します。
Re: rootCA証明書の反映 ( No.1 )
日時: 2005/04/28 20:59
名前: 管理者

kevin様、はじめまして。

https(Port443)にてサーバと通信されたい訳ですよね?
承認局(CA)に署名をしてもらったサーバ証明書を取り込む場合、大抵のブラウザは
対応しています。
ただし、ベリサインなどの著名な承認局を除く、自己証明機関(自分で署名した物など)
では、ブラウザが警告を発します。
これにユーザがOKなどのボタンを押下し取り込んだ後は暗号化通信sslで行われます。
ですので、中間認証局に当たるのがブラウザと思って頂いてもかまいません。

kevin様が、「Linuxをクライアントとして」暗号通信したい[ssh(port22)]いわゆる、
SSH Remote Login Protocol通信で鍵交換方式のsshでアクセスのご質問とは違いますよね?
まあ、この時はCA証明書は全く関係ありませんが・・・
Re: rootCA証明書の反映 ( No.2 )
日時: 2005/05/09 10:23
名前: kevin

有難うございます。
ブラウザを経由せずに、Linux クライアントにて特定のサーバへ https 通信を
しようと考えております。ベリサインのような承認されたルート証明書のように
警告が発しない状態にするには、どのように Linux クライアントへインストール
するべきかをお聞きしたく書かせて頂いておりました。

Linuxクライアント(クライント証明書 + ルート証明書*)
   ↓
   https
   ↓
  webサーバ(サーバ証明書 + ルート証明書)

上記の * について、承認されたルート証明書をいう扱いをおこないたいのです。

大変申し訳ございませんが宜しくお願い致します。
Re: rootCA証明書の反映 ( No.3 )
日時: 2005/05/09 23:22
名前: kimio

 kevinさん
>ブラウザを経由せずに、Linux クライアントにて特定のサーバへ https 通信を
>しようと考えております。
 おもしろそうな考えですね。管理人さんの言われるように、SSH Remote Login Protocol通信で鍵交換方式のsshでアクセスすれば事は済むように思いますが、あえてhttps 通信を、しかも、ブラウザを経由せずに行うことにどのような意味があるのか、非常に興味があります。教えてください。
 また、こうしたいと言う前に、こうすることのメリットについても言及されると、管理人さんからの回答もより丁寧になると思いますし、そうすることが、一種の礼儀かもしれませんよ。 
Re: rootCA証明書の反映 ( No.4 )
日時: 2005/05/10 10:20
名前: kevin

kimioさん
ご意見有難うございます。

経緯をご説明させて頂きます。まず、独自の認証局を立ち上げてその上でクライアント認証をおこなう事によりデータ連携をします。そこで、一般でご利用されているPCクライアント(ブラウザ)には、管理人さんのいわれている内容で網羅できるので問題ないのですが、Linuxをクライアントとして位置付け、バッチ処理にてデータ連携も動作させる目的がありました。
これにより、クライントがなんであってもクライント証明書を保持していれば、受け付けるサーバの処理には影響が無いと言う考えです。

ご質問も仕方があいまいで申し訳ござませんでした。。
Re: rootCA証明書の反映 ( No.5 )
日時: 2005/05/10 11:13
名前: 管理者

kevin様。

利用用途が分かりました。
以下のコマンドで、サーバにアクセスを行います。
「openssl s_client -connect サーバIPアドレス:443」

この時、CA証明書を「-CAfile」オプションで指定します。
「openssl s_client -connect サーバIPアドレス:443 -CAfile ca.crt」

上記でアクセスすると証明書などの情報が出力され、コマンド(httpプロトコル)を入力すれば目的が達成できると思われます。
Re: rootCA証明書の反映 ( No.6 )
日時: 2005/05/13 15:25
名前: kevin

管理人さん
ご回答有難うございました。結果から申し上げますと、想定通りの動作が確認されました。

問題になっていたことは、ルート証明書の配慮にありました。

 クライアント側:クライアント証明書(A)+ルート証明書(B)
 接続先サーバ側:サーバ証明書(C)+ルート証明書(D)

今回利用しているルート証明書(B)とルート証明書(D)は異なるものだったのです。

 openssl クライアント証明書(A) -connect サーバIPアドレス:443 \
     -CAfile ルート証明書(D)

と定義することにより解決しました。
この度は、誠にお手数おかけしまして申し訳ございませんでした。
Copyright(©)2004-2008 First home server construction. All Right Reserved.