クライアント証明書による認証
Apacheサーバ上でCAを作る
- CAコマンドを使ったCA構築 を参考にCAを作る。
- 今回は上の作業を/etc/httpd/sslで行い、CAを/etc/httpd/ssl/ca以下に作成する。
- 上の作業で出来るDER形式のCAルート証明書cacert.derはクライアントPCにダウンロードする。
Apacheサーバ上でサーバ証明書を作る
Apacheサーバ上でクライアント証明書を作る
Apacheサーバ上でApacheの設定を変更する
SSLCertificateFile /etc/httpd/ssl/server.crt
SSLCertificateKeyFile /etc/httpd/ssl/server.key
#SSLCACertificatePath /etc/httpd/ssl/ca
SSLCACertificateFile /etc/httpd/ssl/ca/cacert.pem
SSLVerifyClient require
SSLVerifyDepth 10
クライアントPC上でCAルート証明書とクライアント証明書をブラウザへインポートする
CAルート証明書のインポート(Windows)
クライアント証明書のインポート(Windows)
クライアントPC上のインポートされた証明書の確認
- コントロールパネルからインターネットオプションを開く。
- 「コンテンツ」タブを選び、「証明書」を押下する。
- 「個人」「信頼されたルート証明機関」タブを選び、発行先が該当するコモンネームの設定があるのを探して、ダブルクリックする。
- 「全般」タブの「発行先:」「発行者:」、「詳細」タブの「サブジェクト」等を確認する。
証明書失効リストの登録
SSLCARevocationFile /etc/httpd/ssl/ca/crl.pem
SSLCARevocationCheck chain