- PR -

クライアント証明書への秘密キーのインポート

«前のページへ 1|2|3
投稿者投稿内容
加納正和
ぬし
会議室デビュー日: 2004/01/28
投稿数: 332
お住まい・勤務地: 首都圏
投稿日時: 2006-01-30 20:04
引用:

kidoさんの書き込み (2006-01-30 18:41) より:
===============================================
>残念ながらそういうわけにはいきません。何故ならクライアント証明書には有効期限
>を設定する必要があるからです。
===============================================
実は、2年くらいしか使わないシステムでして、とりあえず、
レジストリを変更して、証明書の有効期限を延長出来ることを
確認致しました。


(苦笑)言うと思ったよ。ここにも「2000年問題を知らないヤシハケーン」
って感じですね。

2000年問題を作った人も1980年ぐらいにはそう思ってましたよ。
「こんなに長く使われるはずない」って。

ちなみに「利便性」を向上つもりだったのでは?だから、論理的には
「長く」使われる可能性を考えておくのが「プロ」の仕事です。
「プロ」であれば、いろんな可能性を考えることが出来るぐらいは
知っておいてください。

って無理か。そもそもその会社にいるかどうか、分からないもんな。

一応、言っておきますが、質問者はまだまともなほうです。質問してるから。
大抵は誰にも相談せずに適当に設定して、後で問題になる、というのが
黄金パターンです。

はっ、上司は知らないのか。まぁいいけど。

あんとれ
ぬし
会議室デビュー日: 2004/01/14
投稿数: 556
投稿日時: 2006-01-31 00:57
引用:

あんとれさんの書き込み (2006-01-26 01:06) より:

-- 2006-01-27 追加 --
クライアント認証がベーシック認証やダイジェスト認証に比べて有利な点は、発行が簡単なこと (あくまで CSR までをクライアントに作成してもらう場合の話)、キーペアの強度 (RSA の場合で 512 or 1024 ビット) が8文字程度のパスワード (ASCII コードを用いた場合で 7 x 8 = 56 ビット) よりも圧倒的に強いこと、有効期限を設定できること (つまり運用によってはキーペアの定期的な変更を強制できる)、クライアントが毎回パスワードの入力画面を見なくてもよいことなどです。デメリットは、失効は定期的に CRL を発行し、サーバに読み込ませなければならないこと、PKIに関する技術知識が必要なこと (本当はサーバ認証をやる上でも必要なことなのですが・・・) などです。


以前の記事に追加させていただいた内容ですが読まれましたでしょうか? これをお読みになられて、本当にクライアント認証の必要性を感じられましたでしょうか? 今までの話を聞いている限り、kido さんの環境ではクライアント認証のメリットよりもデメリットの方が勝ってしまっているような気がしてなりません (ベーシック認証やダイジェスト認証と比較して)。

ちなみに、「定期的に CRL を発行し、サーバに読み込ませなければならないこと」と書いてありますが、例えば、Verisign 社の場合は2週間に1回 CRL を発行していたと思います。そのような運用ができますか? もちろん CRL の有効期限を引き延ばすことも可能ではあるでしょうが・・・。

もう一度考え直してみた方がよいかと思います。


[ メッセージ編集済み 編集者: あんとれ 編集日時 2006-01-31 00:58 ]
odik
ベテラン
会議室デビュー日: 2005/02/07
投稿数: 69
投稿日時: 2006-01-31 18:21
加納様、あんとれ様
ご教授有難うございます。

クライアント証明書の採用については、
担当にて再検討しているところです。
今のところ、採用しない可能性の方が強いです。

採用するかどうかはともかく、とりあえず、
有効期限が延長できることを確認したのは、
以下の理由からです。
・もし仮に、担当にてクライアント証明書を採用し、
 かつ証明書の有効期限を延長するということに
 なった場合を想定して。
・個人的な勉強のため。
・以前、加納様より以下のようなコメントを
 頂いたのですが、
 =========================================================
 >きっと。「画面に出てきた」有効期限を変更するのは
 >どうするんですか?などと言いかねませんね。
 =========================================================
 そこまで、変な質問は致しませんということを
 お伝えするため。
(加納様、アントレ様が、質問者(kido)の理解レベルが
 不明だとアドバイスに困ってしまうと思いましたので。)

pvkimprtもクライアント証明書を採用しなければ、
試す必要はないのですが、個人的な勉強も兼ねて、
加納様も手順を親切に提示して下さっているので、
試みた次第です。
あんとれ
ぬし
会議室デビュー日: 2004/01/14
投稿数: 556
投稿日時: 2006-01-31 18:32
引用:

kidoさんの書き込み (2006-01-31 18:21) より:

クライアント証明書の採用については、
担当にて再検討しているところです。
今のところ、採用しない可能性の方が強いです。


実際のところ、クライアント認証をすることによって問題になることはあまりないと思います。それは、クライアント認証のやり方に問題があって痛い目にあうのはサーバ側だからです。

それよりも大きな問題はサーバ認証の証明書をどうするかだと思います。

サーバ認証について、今までに言ってきたことを列挙しますと、

- ルート証明書をクライアントにインポートしてもらうという運用はあまり望ましくない
(できればお金を払ってでも、正規の認証局に署名してもらうべき)
- PKCS#12 形式のクライアント証明書にルート証明書を混入するのは問題である
- サーバ証明書を発行する認証局をネットワークサーバ上に構築するのは論外

ということです。

[ メッセージ編集済み 編集者: あんとれ 編集日時 2006-01-31 18:37 ]
«前のページへ 1|2|3

スキルアップ/キャリアアップ(JOB@IT)