- PR -

個人でCA局を２つたてて中間証明書で連携させたい

投稿者

投稿内容

まにっす: 会議室デビュー日: 2005/03/09; 投稿数: 15

投稿日時: 2006-08-24 22:24

こんばんは
まにっすと申します。

opensslでCA局を２つたてて中間証明書で連携させて
サーバとSSL通信を行ってみようと思いましたが
２つのCAがうまく連携できません。やってみた手順を下記に書いてみました。
方法が間違っているのでしょうか？
よろしくお願いいたします。

-------------手順-------------

１：CA1用の鍵と証明書を自己作成
２：CA2用の鍵とCSRを作成
３：CA2のCSRをCA1を使い証明書発行
４：サーバで鍵とCSRを作成
５：サーバのCSRをCA2を使い証明書発行
６：サーバに証明書をインポート+CA2の証明書（中間証明書？）をインポート
７：クライアントのブラウザにCA1の証明書（ルート証明書？）をインポート
８：アクセス

ブラウザで証明書の表示すると証明書が連結されていなく単独のサーバ証明書のみが
表示されます。
手順的に間違っていますでしょうか。

独学でやってみたので自信ある設定方法とはいえません。。。
どなたか詳しい方がいましたら教えていただければと思います。
また参考文献とうありましたらご教示ください。

よろしくお願いいたします。

P.S...”easycert”というソフトでも挑戦しようと思いますが。
実現可能でしょうか？

加納正和: ぬし; 会議室デビュー日: 2004/01/28; 投稿数: 332; お住まい・勤務地: 首都圏

投稿日時: 2006-08-26 03:09

引用:
まにっすさんの書き込み (2006-08-24 22:24) より: -------------手順------------- ６：サーバに証明書をインポート+CA2の証明書（中間証明書？）をインポート

とりあえず、CA2の証明書を「サーバ」だけでなく、「クライアント」に
「インポート」すれば動くようにはなるでしょう。

SSLと関係ないんだよな。。微妙に。
いつも説明に戸惑うのだが。。。

tof: 会議室デビュー日: 2007/02/28; 投稿数: 15; お住まい・勤務地: 全国各地

投稿日時: 2007-02-28 15:50

サーバに初期信頼点（CA1）がはいってませんよ。
サーバが認証局（CA1）を信頼しないとはじまんないですね。

ちなみに、証明書の形式によりますが、クライアント証明書に認証パスが入っていなければCA2も入れるべきです。ただ、通常はクライアント証明書に認証パスが入っています。（言い換えれば中間認証局の証明書も送られるってことです）

easycertでもできますよ。

＠IT SpecialPR

個人でCA局を２つたてて中間証明書で連携させたい

スキルアップ／キャリアアップ（JOB@IT）