apache でSSLを使ってみた(クライアント証明書失効編)

2013年3月20日 2017年8月8日

ご利用のブラウザは、JavaScript が無効となっていませんか？
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない、検索ができないことがあります。

apache でSSLを使ってみた(クライアント認証編) では、SSL接続のクライアント証明書を使った認証までを解説しました。
今回は、先のクライアント証明書を失効させて、apacheでSSL接続を拒否する手続きを行ってみます。

よくあることですが、発行したクライアント証明書を利用していた人が退会、退社などでクライアント証明書の利用を停止したい場合は、そのクライアント証明書を失効させ、SSL接続を拒否するようにすることができます。

今回は、apacheを使って、そのクライアント証明書を失効からapacheでSSL接続を拒否する手続きについて解説します。
(SSL認証の仕組みについては、SSL 認証の仕組みと OpenVPN の認証の仕組みを参照してください。)

本記事は、apache でSSLを使ってみた(クライアント認証編) の続きになります。以降の解説は、先の記事の設定例が、そのまま設定されているものとして解説していますので、もし、先の記事をご覧になっておられない場合は、まずは、そちらをご覧になることをおすすめします。

目次
履歴

2013年3月20日初版

SSL用のクライアント証明書を失効させる

まずは、apache でSSLを使ってみた(クライアント認証編) で作成したクライアント証明書を失効させます。

詳しい証明書の失効手順は、プライベート認証局の証明書、サーバー証明書、クライアント証明書の作成方法についてを参照してください。
ここでは、SSL 認証の仕組みと OpenVPN の認証の仕組みで作成したクライアント証明書 ( /etc/pki/CA/client/certs/taro.yamada.example.com.crt ) を失効させることについて簡単に解説してみます。

taro.yamada.example.com.crt は、PKCS#12フォーマットでなく秘密鍵を伴わないクライアント証明書です。このクライアント証明書を元に失効することになります。当たり前ですが、失効したいクライアント証明書がなければ、失効できません。

# クライアント証明書を失効します。
# -- あらかじめ openssl-client.cnf の作成が必要です。
$ openssl ca -gencrl -revoke /etc/pki/CA/certs/taro.yamada.example.com.crt -config /etc/pki/tls/openssl-client.cnf
...
# CA証明書を作成する際に設定したパスフレーズ（パスワード）を入力する
Enter pass phrase for /etc/pki/CA/private/cakey.pem: 
...
Data Base Updated
# 失効証明書リスト(CRL)を更新します。
$ openssl ca -gencrl -out /etc/pki/CA/revoke.crl
...
# CA証明書を作成する際に設定したパスフレーズ（パスワード）を入力する
Enter pass phrase for /etc/pki/CA/private/cakey.pem:

apache の SSL設定を行う

apache では、先に作成したまずは、失効証明書リスト(CRL)を有効にする必要があります。以下にそのapacheの設定を簡単に解説します。

apache の SSL設定する。

apache のSSL関連の設定は、すべて以下 /etc/httpd/conf.d/ssl.conf で行うことになっています。以下にデフォルトの設定からの変更イメージを記載します。太字が編集箇所です。

/etc/httpd/conf.d/ssl.conf

...
##
## SSL Virtual Host Context
##
 
<VirtualHost _default_:443>
...
# General setup for the virtual host, inherited from global configuration
# コメントをはずす
DocumentRoot "/var/www/html"	
# コメントをはずす
ServerName www.example.com:443	
 
# Use separate log files for the SSL virtual host; note that LogLevel
# is not inherited from httpd.conf.
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn
 
#   SSL Engine Switch:
#   Enable/Disable SSL for this virtual host.
SSLEngine on
 
#   SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect.  Disable SSLv2 access by default:
SSLProtocol all -SSLv2
 
#   SSL Cipher Suite:
# List the ciphers that the client is permitted to negotiate.
# See the mod_ssl documentation for a complete list.
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
 
#   Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate.  If
# the certificate is encrypted, then you will be prompted for a
# pass phrase.  Note that a kill -HUP will prompt again.  A new
# certificate can be generated using the genkey(1) command.
#SSLCertificateFile /etc/pki/tls/certs/localhost.crt
# サーバー証明書のパスを指定
SSLCertificateFile /etc/pki/CA/certs/www.example.com.crt 
 
#   Server Private Key:
#   If the key is not combined with the certificate, use this
#   directive to point at the key file.  Keep in mind that if
#   you've both a RSA and a DSA private key you can configure
#   both in parallel (to also allow the use of DSA ciphers, etc.)
#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
# サーバー秘密鍵のパスを指定
SSLCertificateKeyFile /etc/pki/CA/private/www.example.com.key 
...
#   Certificate Authority (CA):
#   Set the CA certificate verification path where to find CA
#   certificates for client authentication or alternatively one
#   huge file containing all of them (file must be PEM encoded)
#SSLCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
# プライベート認証局証明書のパスを指定
SSLCACertificateFile /etc/pki/CA/cacert.pem 
 
# 失効証明書リストのパスを指定
SSLCARevocationFile /etc/pki/CA/revoke.crl 
 
#   Client Authentication (Type):
#   Client certificate verification type and depth.  Types are
#   none, optional, require and optional_no_ca.  Depth is a
#   number which specifies how deeply to verify the certificate
#   issuer chain before deciding the certificate is not valid.
# SSL接続時 クライアント証明書を要求するように指定
SSLVerifyClient require 
# クライアント証明書を確認する階層レベルを指定（デフォルト10のままでOK）
SSLVerifyDepth  10 
...
</VirtualHost>
...

ここで設定しているのは、以下の必要最小限の項目のみの設定です。

DocumentRoot : ドキュメントルート
ServerName : サーバー名、ポート番号
SSLCertificateFile : サーバー証明書
SSLCertificateKeyFile : サーバー秘密鍵
SSLCACertificateFile : プライベート認証局証明書
SSLCARevocationFile : 失効証明書リスト
SSLVerifyClient : クライアント接続時の認証
SSLVerifyDepth : クライアント証明書を確認する階層レベル

各設定項目の色の違いは、以下のとおりです。
設定項目 : SSL接続でクライアント認証を行うまでに設定した項目です。
設定項目 : 失効時に設定した項目です。

また、ここでの設定は、あくまで必要最小限の設定です。

apacheを再起動（or 再読み込み）する。

ここまでの設定を終えたら、最後にapacheを再起動（or 再読み込み）します。
$ /etc/init.d/httpd reload httpd を再読み込み中:

ウェブブラウザ(FireFox)からアクセスしてみる

設定を終えたら、最後にウェブブラウザ(FireFox)からhttps でアクセスしてみて確認しましょう。

最初のアクセス時に、以下のようにFirefoxの場合、クライアント証明書の選択画面が表示されるはずです。

安全な接続ができませんでした
SSL peer rejected your certificate as revoked.
(エラーコード: ssl_error_revoked_cert_alert)

と、このようなエラーメッセージが表示され、接続できなければOKです。

失効(revoke)は、セキュリティ上、必ずと言ってよいほど必要な手順です。
先に解説したようにユーザの退会、退社もそうですが、証明書が外部に漏れた場合も、直ちに、失効手続きが必要でしょう。

大きなサーバーを運営されている場合は、いつでもすぐに対応できるようにスクリプトなどを組んでおいた方が良いかもしれませんね。

(amazon )	インフラエンジニア教本2――システム管理・構築技術解説 (SoftwareDesign別冊)に寄稿しました。「ログを読む技術」の再掲載になります。 8月号を見逃された方は、是非、ご一読くださいませ。
(amazon )	Software Design 8月号に寄稿しました。「ログを読む技術」について寄稿しました。興味のある方は、是非、ご一読くださいませ。
また、執筆や当サイトにおける広告のご依頼などございましたら、お問い合わせページよりご一報ください。

apache でSSLを使ってみた(クライアント証明書失効編)

SSL用のクライアント証明書を失効させる

apache の SSL設定を行う

ウェブブラウザ(FireFox)からアクセスしてみる

最近投稿の記事

さくらのVPS 全プランリニューアルです。（石狩(北海道)も選択可）

カテゴリ

Serverman@VPS 完全1ヶ月無料キャンペーン実施中です。

リンク

KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。

KVM採用お名前.com VPS(KVM) 2G プラン初期設定費無料キャンペーン実施です。

apache でSSLを使ってみた(クライアント証明書失効編)

SSL用のクライアント証明書を失効させる

apache の SSL設定を行う

ウェブブラウザ(FireFox)からアクセスしてみる

最近投稿の記事

さくらのVPS 全プラン リニューアルです。（石狩(北海道)も選択可）

カテゴリ

Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。

リンク

KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。

さくらのVPS 全プランリニューアルです。（石狩(北海道)も選択可）

Serverman@VPS 完全1ヶ月無料キャンペーン実施中です。

KVM採用お名前.com VPS(KVM) 2G プラン初期設定費無料キャンペーン実施です。