レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

C5 C6 S6

apache でSSLを使ってみた(クライアント証明書失効編)

2013年3月20日 2014年1月11日
apache security

apache でSSLを使ってみた(クライアント認証編) では、SSL接続のクライアント証明書を使った認証までを解説しました。
今回は、先のクライアント証明書を失効させて、apacheでSSL接続を拒否する手続きを行ってみます。

よくあることですが、発行したクライアント証明書を利用していた人が退会、退社などで クライアント証明書の利用を停止したい場合は、そのクライアント証明書を失効させ、SSL接続を拒否するようにすることができます。

今回は、apacheを使って、そのクライアント証明書を失効からapacheでSSL接続を拒否する手続きについて解説します。
(SSL認証の仕組みについては、SSL 認証 の仕組みと OpenVPN の認証の仕組み を参照してください。)

本記事は、apache でSSLを使ってみた(クライアント認証編) の続きになります。以降の解説は、先の記事の設定例が、 そのまま設定されているものとして解説していますので、もし、先の記事をご覧になっておられない場合は、 まずは、そちらをご覧になることをおすすめします。

SSL用のクライアント証明書を失効させる

まずは、apache でSSLを使ってみた(クライアント認証編) で作成したクライアント証明書を失効させます。

詳しい証明書の失効手順は、プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について を参照してください。
ここでは、SSL 認証 の仕組みと OpenVPN の認証の仕組み で作成したクライアント証明書 ( /etc/pki/CA/client/certs/taro.yamada.example.com.crt ) を失効させることについて簡単に解説してみます。

taro.yamada.example.com.crt は、PKCS#12フォーマットでなく秘密鍵を伴わないクライアント証明書です。 このクライアント証明書を元に失効することになります。当たり前ですが、失効したいクライアント証明書がなければ、失効できません。
# クライアント証明書を失効します。
# -- あらかじめ openssl-client.cnf の作成が必要です。
$ openssl ca -gencrl -revoke  /etc/pki/CA/certs/taro.yamada.example.com.crt -config /etc/pki/tls/openssl-client.cnf
...
Enter pass phrase for /etc/pki/CA/private/cakey.pem:return  # CA証明書を作成する際に設定したパスフレーズ(パスワード)を入力する
...
Data Base Updated
# 失効証明書リスト(CRL)を更新します。
$ openssl ca -gencrl -out /etc/pki/CA/revoke.crl
...
Enter pass phrase for /etc/pki/CA/private/cakey.pem:return  # CA証明書を作成する際に設定したパスフレーズ(パスワード)を入力する

apache の SSL設定を行う

apache では、先に作成した まずは、失効証明書リスト(CRL)を有効にする必要があります。 以下にそのapacheの設定を簡単に解説します。

  1. apache の SSL設定する。

    apache のSSL関連の設定は、すべて以下 /etc/httpd/conf.d/ssl.conf で行うことになっています。 以下にデフォルトの設定からの変更イメージを記載します。太字が編集箇所です。


    /etc/httpd/conf.d/ssl.conf

    ...
    ##
    ## SSL Virtual Host Context
    ##
    
    <VirtualHost _default_:443>
    ...
    # General setup for the virtual host, inherited from global configuration
    DocumentRoot "/var/www/html"	# コメントをはずす
    ServerName www.example.com:443	# コメントをはずす
    
    # Use separate log files for the SSL virtual host; note that LogLevel
    # is not inherited from httpd.conf.
    ErrorLog logs/ssl_error_log
    TransferLog logs/ssl_access_log
    LogLevel warn
    
    #   SSL Engine Switch:
    #   Enable/Disable SSL for this virtual host.
    SSLEngine on
    
    #   SSL Protocol support:
    # List the enable protocol levels with which clients will be able to
    # connect.  Disable SSLv2 access by default:
    SSLProtocol all -SSLv2
    
    #   SSL Cipher Suite:
    # List the ciphers that the client is permitted to negotiate.
    # See the mod_ssl documentation for a complete list.
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
    
    #   Server Certificate:
    # Point SSLCertificateFile at a PEM encoded certificate.  If
    # the certificate is encrypted, then you will be prompted for a
    # pass phrase.  Note that a kill -HUP will prompt again.  A new
    # certificate can be generated using the genkey(1) command.
    #SSLCertificateFile /etc/pki/tls/certs/localhost.crt
    SSLCertificateFile /etc/pki/CA/certs/www.example.com.crt # サーバー証明書のパスを指定
    
    #   Server Private Key:
    #   If the key is not combined with the certificate, use this
    #   directive to point at the key file.  Keep in mind that if
    #   you've both a RSA and a DSA private key you can configure
    #   both in parallel (to also allow the use of DSA ciphers, etc.)
    #SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
    SSLCertificateKeyFile /etc/pki/CA/private/www.example.com.key # サーバー秘密鍵のパスを指定
    ...
    #   Certificate Authority (CA):
    #   Set the CA certificate verification path where to find CA
    #   certificates for client authentication or alternatively one
    #   huge file containing all of them (file must be PEM encoded)
    #SSLCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
    SSLCACertificateFile /etc/pki/CA/cacert.pem # プライベート認証局証明書のパスを指定
    
    SSLCARevocationFile /etc/pki/CA/revoke.crl # 失効証明書リストのパスを指定
    
    #   Client Authentication (Type):
    #   Client certificate verification type and depth.  Types are
    #   none, optional, require and optional_no_ca.  Depth is a
    #   number which specifies how deeply to verify the certificate
    #   issuer chain before deciding the certificate is not valid.
    SSLVerifyClient require # SSL接続時 クライアント証明書を要求するように指定
    SSLVerifyDepth  10 # クライアント証明書を確認する階層レベルを指定(デフォルト10のままでOK)
    ...
    </VirtualHost>
    

    ここで設定しているのは、以下の必要最小限の項目のみの設定です。

    • DocumentRoot : ドキュメントルート
    • ServerName : サーバー名、ポート番号
    • SSLCertificateFile : サーバー証明書
    • SSLCertificateKeyFile : サーバー秘密鍵
    • SSLCACertificateFile : プライベート認証局証明書
    • SSLCARevocationFile : 失効証明書リスト
    • SSLVerifyClient : クライアント接続時の認証
    • SSLVerifyDepth : クライアント証明書を確認する階層レベル
    各設定項目の色の違いは、以下のとおりです。
    設定項目 : SSL接続でクライアント認証を行うまでに設定した項目です。
    設定項目 : 失効時に設定した項目です。

    また、ここでの設定は、あくまで必要最小限の設定です。

  2. apacheを再起動(or 再読み込み)する。

    ここまでの設定を終えたら、最後にapacheを再起動(or 再読み込み)します。

    $ /etc/init.d/httpd reload
    httpd を再読み込み中:

ウェブブラウザ(FireFox)からアクセスしてみる

設定を終えたら、最後にウェブブラウザ(FireFox)からhttps でアクセスしてみて確認しましょう。

最初のアクセス時に、以下のようにFirefoxの場合、クライアント証明書の選択画面が表示されるはずです。

FireFox エラー3

安全な接続ができませんでした
SSL peer rejected your certificate as revoked.
(エラーコード: ssl_error_revoked_cert_alert)

と、このようなエラーメッセージが表示され、接続できなければOKです。


失効(revoke)は、セキュリティ上、必ずと言ってよいほど必要な手順です。
先に解説したようにユーザの退会、退社もそうですが、 証明書が外部に漏れた場合も、直ちに、失効手続きが必要でしょう。

大きなサーバーを運営されている場合は、 いつでもすぐに対応できるようにスクリプトなどを組んでおいた方が良いかもしれませんね。
ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

apache でSSLを使ってみた(クライアント認証編)

apache でSSLを使ってみた(基本接続編) では、SSL接続の基本的な設定について解説しました。 今回は、apacheでSSL接続を行い ...

apache でSSLを使ってみた(基本接続編)

Nginx でSSLを使ってみた(追記:SNIを含めてマルチドメインへの対応) では、nginxを使って簡単にSSL接続してみました。 今回は ...

Nginx でSSLを使ってみた(追記:SNIを含めてマルチドメインへの対応)

[追記]最近、格安共有サーバのさくらのレンタルサーバでオプション料金なしで利用できると話題となったSSL接続(SNI)について追記し ...

プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法について

このサイトでもSSL関連の記事も増えてきました。SSLを使うためには、SSL用の各証明書が必要になります。 その作成手順が、各ツールでバラバラ ...

CentOS,ScientificLinuxで(L)AMP(Apache,MySQL,PHP)インストールからEC-CUBEを動かすまで

CentOS,ScientificLinuxでLAMP(Apache+MySQL+PHP)インストールからWordPressを動かすまで(Apa ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2732 [s]