- - PR -
クライアント証明書への秘密キーのインポート
«前のページへ
1|2|3
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2006-01-30 20:04
(苦笑)言うと思ったよ。ここにも「2000年問題を知らないヤシハケーン」 って感じですね。 2000年問題を作った人も1980年ぐらいにはそう思ってましたよ。 「こんなに長く使われるはずない」って。 ちなみに「利便性」を向上つもりだったのでは?だから、論理的には 「長く」使われる可能性を考えておくのが「プロ」の仕事です。 「プロ」であれば、いろんな可能性を考えることが出来るぐらいは 知っておいてください。 って無理か。そもそもその会社にいるかどうか、分からないもんな。 一応、言っておきますが、質問者はまだまともなほうです。質問してるから。 大抵は誰にも相談せずに適当に設定して、後で問題になる、というのが 黄金パターンです。 はっ、上司は知らないのか。まぁいいけど。 | ||||
|
投稿日時: 2006-01-31 00:57
以前の記事に追加させていただいた内容ですが読まれましたでしょうか? これをお読みになられて、本当にクライアント認証の必要性を感じられましたでしょうか? 今までの話を聞いている限り、kido さんの環境ではクライアント認証のメリットよりもデメリットの方が勝ってしまっているような気がしてなりません (ベーシック認証やダイジェスト認証と比較して)。 ちなみに、「定期的に CRL を発行し、サーバに読み込ませなければならないこと」と書いてありますが、例えば、Verisign 社の場合は2週間に1回 CRL を発行していたと思います。そのような運用ができますか? もちろん CRL の有効期限を引き延ばすことも可能ではあるでしょうが・・・。 もう一度考え直してみた方がよいかと思います。 [ メッセージ編集済み 編集者: あんとれ 編集日時 2006-01-31 00:58 ] | ||||
|
投稿日時: 2006-01-31 18:21
加納様、あんとれ様
ご教授有難うございます。 クライアント証明書の採用については、 担当にて再検討しているところです。 今のところ、採用しない可能性の方が強いです。 採用するかどうかはともかく、とりあえず、 有効期限が延長できることを確認したのは、 以下の理由からです。 ・もし仮に、担当にてクライアント証明書を採用し、 かつ証明書の有効期限を延長するということに なった場合を想定して。 ・個人的な勉強のため。 ・以前、加納様より以下のようなコメントを 頂いたのですが、 ========================================================= >きっと。「画面に出てきた」有効期限を変更するのは >どうするんですか?などと言いかねませんね。 ========================================================= そこまで、変な質問は致しませんということを お伝えするため。 (加納様、アントレ様が、質問者(kido)の理解レベルが 不明だとアドバイスに困ってしまうと思いましたので。) pvkimprtもクライアント証明書を採用しなければ、 試す必要はないのですが、個人的な勉強も兼ねて、 加納様も手順を親切に提示して下さっているので、 試みた次第です。 | ||||
|
投稿日時: 2006-01-31 18:32
実際のところ、クライアント認証をすることによって問題になることはあまりないと思います。それは、クライアント認証のやり方に問題があって痛い目にあうのはサーバ側だからです。 それよりも大きな問題はサーバ認証の証明書をどうするかだと思います。 サーバ認証について、今までに言ってきたことを列挙しますと、 - ルート証明書をクライアントにインポートしてもらうという運用はあまり望ましくない (できればお金を払ってでも、正規の認証局に署名してもらうべき) - PKCS#12 形式のクライアント証明書にルート証明書を混入するのは問題である - サーバ証明書を発行する認証局をネットワークサーバ上に構築するのは論外 ということです。 [ メッセージ編集済み 編集者: あんとれ 編集日時 2006-01-31 18:37 ] |
«前のページへ
1|2|3