- - PR -
既存サーバー証明書と自己CAクライアント証明書
1
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-12-30 10:43
はじめまして。よろしくお願いいたします。
現在、ある有名認証局に署名してもらったサーバー証明書でSSLのサイトを運用しているのですが、そこでクライアント証明書を導入したいとの要望があり導入を検討しています。 ただ、結構利用者数が多いため、サーバー証明書はいまのままのものを利用し、クライアント証明書は自己認証局をたてて作成、署名して運用しようともくろんでいるのですが、そもそもサーバー証明書の署名者(=有名認証局)とクライアント証明書の署名者(=自己認証局)が異なる運用って許されるのでしょうか? サーバーの秘密鍵は同じものを使えばいいような気もしますが、きちんとした説明がほしくていろいろ探したのですが見当たりませんでした。 皆様のお知恵を拝借できればと思います。 よろしくお願い申し上げます。 | ||||||||
|
投稿日時: 2006-01-02 22:37
クライアント認証の導入目的にもよりますが、もし、会員 (特定のユーザ) 以外のユーザを拒否しようとしてクライアント認証を行うのであれば、許される以前の問題で、自分で独自の (プライベートな) 認証局をクライアント認証用に立てて下さい。これは、サーバ証明書の認証局 (Verisign、Thawte など) と異なっていても問題はありません。 むしろ、会員 (特定のユーザ) を認証するためにパブリックな認証局に署名されたクライアント証明書を利用することは無意味です。
クライアント認証用の認証局 (ルート証明書) の秘密鍵がサーバ証明書の秘密鍵であってもあまり問題はないと思いますが、セキュリティをより重視するのであれば、クライアント認証用の認証局はネットワーク的につながっていないサーバ上に構築し、サーバ証明書の秘密鍵とは別に作成するのがベストだと思います。なお、ルート証明書の有効期限は10年から20年程度にしておくと、サーバ側でルート証明書の交換が必要となることはまずないでしょう。 [ メッセージ編集済み 編集者: あんとれ 編集日時 2006-01-02 22:51 ] | ||||||||
|
投稿日時: 2006-01-02 23:28
あんとれさん
ご回答誠にありがとうございました。クライアント証明書は自己CAでやってみたいと思います。秘密鍵もCAも、まったく別の空間で作成してみます。 |
1