- PR -

証明書のインストール

1
投稿者投稿内容
asako
会議室デビュー日: 2005/04/18
投稿数: 4
投稿日時: 2005-05-10 12:40
今回は証明書のインストールについて
教えてもらいたく投稿いたしました。

現在、WEBサーバーにプライベートCAを構築し、
PHPアプリケーションからクライアント証明書を発行する
システムを作っています。

クライアント証明書を発行することはできたのですが、
今度は発行した証明書をクライアントにダウンロードしないで、
指定したURLにアクセスするなどして自動的にインストールを
するようにしたいのですが、方法が見当たりません。

自動インストールをする方法があれば教えていただきたいと思います。
よろしくお願いします♪

加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2005-05-10 20:55
加納というものです。

>クライアント証明書を発行することはできたのですが、

、、、勝手に創造^H^H想像するにSSLクライアント認証に使う
証明書でしょうか。それともS/MIMEに使う証明書でしょうか。

>自動インストールをする方法があれば教えていただきたいと思います。

まぁ、どちらにせよ、その質問は「セキュリティホールを教えてくれ」
と言っているのと同じです。

#最近、この手の質問がポツポツ出るということは、わからんちんなまま「個人情報
#保護法対応」とかで「とりあえず暗号化してくれ」という顧客要求が出ているせいだと
#にらんでるのだが。。。違うのかな。
#無意味だよな。システムをセキュアにするのと、暗号化をするのとは
#意味がまるで違うのに。。。

まぁ、それは置いといて。

IEの「個人」の証明書ストアに置くためには、大まかに二種類あります。

(1)クライアントで秘密かぎを作って、証明書と秘密かぎを「個人」の証明書ストア内で
くくりつける(証明書ストアから秘密鍵をエクスポートしない)
(2)PKCS#8 or PKCS#12で外部で秘密鍵を作ってインポートする。

どっちでも可能です。
(1)は、CAPICOMを使うほうが楽です。自前でCryptoAPIを叩いてもいいですが。ただ
簡単だとは言いません。ちょっち厄介です。
(2)もCAPICOMの方が楽ですが、自前でpfxImportCertStore()を使うことも可能です。
ただし、そのシステムは、私は「ザル」と称してあげますが。

そもそも、「自動」という意味合いが開発するシステムによって異なるので
完全なる「自動」はよくわかりません。

nishi
常連さん
会議室デビュー日: 2003/11/14
投稿数: 25
お住まい・勤務地: 大阪
投稿日時: 2005-05-10 22:52
加納さんの言うとおり、自動インストールは方式を間違うとPKIが成り立たなくなるセキュリティーホールになる可能性もありますから問題ですね。
WebサーバにCAを構築されたということですが、秘密鍵の作成もWebサーバにて行っているのでしょうか?その場合はCAPICOMにて証明書を証明書ストアにインストールすれば問題ないと思います。

もし、クライアント側で秘密鍵を作成してCSR(証明書要求)を送る方法であれば、ICEnroll(xenroll.dll)を使用する方法もあります。
プロバイダ、コンテナ、キースペックを指定してから
createPKCS10 でCSRを作成して
CAで署名して
acceptPKCS7 にて公開鍵証明書をインストールすればOKです
asako
会議室デビュー日: 2005/04/18
投稿数: 4
投稿日時: 2005-05-11 11:40
加納様、nishi様
どうもありがとうございました。

SSLクライアント認証に使う証明書で、
秘密鍵の作成もWebサーバで行っているので、
教えていただいたやり方で試してみます。

また、何かありましたら教えてほしいと思います♪
1

スキルアップ/キャリアアップ(JOB@IT)