- - PR -
証明書のインストール
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2005-05-10 12:40
今回は証明書のインストールについて
教えてもらいたく投稿いたしました。 現在、WEBサーバーにプライベートCAを構築し、 PHPアプリケーションからクライアント証明書を発行する システムを作っています。 クライアント証明書を発行することはできたのですが、 今度は発行した証明書をクライアントにダウンロードしないで、 指定したURLにアクセスするなどして自動的にインストールを するようにしたいのですが、方法が見当たりません。 自動インストールをする方法があれば教えていただきたいと思います。 よろしくお願いします♪ |
|
投稿日時: 2005-05-10 20:55
加納というものです。
>クライアント証明書を発行することはできたのですが、 、、、勝手に創造^H^H想像するにSSLクライアント認証に使う 証明書でしょうか。それともS/MIMEに使う証明書でしょうか。 >自動インストールをする方法があれば教えていただきたいと思います。 まぁ、どちらにせよ、その質問は「セキュリティホールを教えてくれ」 と言っているのと同じです。 #最近、この手の質問がポツポツ出るということは、わからんちんなまま「個人情報 #保護法対応」とかで「とりあえず暗号化してくれ」という顧客要求が出ているせいだと #にらんでるのだが。。。違うのかな。 #無意味だよな。システムをセキュアにするのと、暗号化をするのとは #意味がまるで違うのに。。。 まぁ、それは置いといて。 IEの「個人」の証明書ストアに置くためには、大まかに二種類あります。 (1)クライアントで秘密かぎを作って、証明書と秘密かぎを「個人」の証明書ストア内で くくりつける(証明書ストアから秘密鍵をエクスポートしない) (2)PKCS#8 or PKCS#12で外部で秘密鍵を作ってインポートする。 どっちでも可能です。 (1)は、CAPICOMを使うほうが楽です。自前でCryptoAPIを叩いてもいいですが。ただ 簡単だとは言いません。ちょっち厄介です。 (2)もCAPICOMの方が楽ですが、自前でpfxImportCertStore()を使うことも可能です。 ただし、そのシステムは、私は「ザル」と称してあげますが。 そもそも、「自動」という意味合いが開発するシステムによって異なるので 完全なる「自動」はよくわかりません。 |
|
投稿日時: 2005-05-10 22:52
加納さんの言うとおり、自動インストールは方式を間違うとPKIが成り立たなくなるセキュリティーホールになる可能性もありますから問題ですね。
WebサーバにCAを構築されたということですが、秘密鍵の作成もWebサーバにて行っているのでしょうか?その場合はCAPICOMにて証明書を証明書ストアにインストールすれば問題ないと思います。 もし、クライアント側で秘密鍵を作成してCSR(証明書要求)を送る方法であれば、ICEnroll(xenroll.dll)を使用する方法もあります。 プロバイダ、コンテナ、キースペックを指定してから createPKCS10 でCSRを作成して CAで署名して acceptPKCS7 にて公開鍵証明書をインストールすればOKです |
|
投稿日時: 2005-05-11 11:40
加納様、nishi様
どうもありがとうございました。 SSLクライアント認証に使う証明書で、 秘密鍵の作成もWebサーバで行っているので、 教えていただいたやり方で試してみます。 また、何かありましたら教えてほしいと思います♪ |
1