Top過去ログ目次掲示板

作成日:2006年01月19日 作成:おやじ
掲示板で過去に質問された内容です。

No.5536 SSLでのクライアント証明書失効について


No.5536 投稿時間:2006年01月19日(Thu) 18:40 投稿者名:pen URL:
タイトル:SSLでのクライアント証明書失効について

はじめましてpenです。

いつも大変参考にさせてもらっておりますが、ちょっとSSLの件で質問させてください。

Courier-pop3d-sslに対してCA認証局やサーバ証明書の作成はひとつですが、クライアント証明書を複数作成して各クライアントには一意の証明書を配布して、メールの受信を行わせたい。
 その一人のクライアントが証明書を紛失してしまったなどのトラブルが発生し、そのクライアントに配布した証明書だけを失効したい。

実際、ためしにできるかどうか試してみましたが、うまく失効できず、メールの受信の通信ができてしまいます。
そもそも、クライアント証明書は1つしか対応できないのか、もしくは失効仕方がまちがっているのでしょうか?


No.5538 投稿時間:2006年01月19日(Thu) 22:51 投稿者名:おやじ URL:
タイトル:stunnelあたりを使わないと無理?

> Courier-pop3d-sslに対してCA認証局やサーバ証明書の作成はひとつですが、クライアント証明書を複数作成して各クライアントには一意の証明書を配布して、メールの受信を行わせたい。
>  その一人のクライアントが証明書を紛失してしまったなどのトラブルが発生し、そのクライアントに配布した証明書だけを失効したい。
>
> 実際、ためしにできるかどうか試してみましたが、うまく失効できず、メールの受信の通信ができてしまいます。
> そもそも、クライアント証明書は1つしか対応できないのか、もしくは失効仕方がまちがっているのでしょうか?

メールでクライアント認証はやったことがない(そもそもできるのか?)ので良くわかりませんが、認証ができるとしても失効処理もできるのですか?
調べないとわかりませんが、Courier-imapでは失効処理はできるのでしょうか? stunnelあたりを使わないと無理?


No.5540 投稿時間:2006年01月19日(Thu) 23:47 投稿者名:pen URL:
タイトル:Re: stunnelあたりを使わないと無理?

> > Courier-pop3d-sslに対してCA認証局やサーバ証明書の作成はひとつですが、クライアント証明書を複数作成して各クライアントには一意の証明書を配布して、メールの受信を行わせたい。
> >  その一人のクライアントが証明書を紛失してしまったなどのトラブルが発生し、そのクライアントに配布した証明書だけを失効したい。
> >
> > 実際、ためしにできるかどうか試してみましたが、うまく失効できず、メールの受信の通信ができてしまいます。
> > そもそも、クライアント証明書は1つしか対応できないのか、もしくは失効仕方がまちがっているのでしょうか?
>
> メールでクライアント認証はやったことがない(そもそもできるのか?)ので良くわかりませんが、認証ができるとしても失効処理もできるのですか?
> 調べないとわかりませんが、Courier-imapでは失効処理はできるのでしょうか? stunnelあたりを使わないと無理?

メールでのクライアント認証はできました。クライアント証明書をアンインストールすると受信できなくなることも確認しました。
これに関してまったく情報ないですね。。。非常に苦しんでます。
そもそも複数作成したクライアント証明書って結局中身みんな同じなんですかね。。。もしかしたら、失効処理以前の問題かもしれません。。。


No.5541 投稿時間:2006年01月20日(Fri) 00:14 投稿者名:おやじ URL:
タイトル:Courierは失効リストの設定ができますか?

> メールでのクライアント認証はできました。クライアント証明書をアンインストールすると受信できなくなることも確認しました。
> これに関してまったく情報ないですね。。。非常に苦しんでます。
> そもそも複数作成したクライアント証明書って結局中身みんな同じなんですかね。。。もしかしたら、失効処理以前の問題かもしれません。。。

そんなことはありません。それではクライアント証明書にはなりませんから。
下記をみていただきたいのですが、ApacheにしろstunnelやPostfixにしろcrl.pem(失効リスト)を設定できますが、Courier-imapにはそれらしき記述が見当たりません。
ということで、失効処理ができないのかな?と思っているしだいです。おやじが、よく見きれていないだけかもしれませんが・・・。

http://www.aconus.com/~oyaji/suse/apache_ssl_suse.htm


No.5542 投稿時間:2006年01月20日(Fri) 00:29 投稿者名:pen URL:
タイトル:Re: Courierは失効リストの設定ができますか?

> > メールでのクライアント認証はできました。クライアント証明書をアンインストールすると受信できなくなることも確認しました。
> > これに関してまったく情報ないですね。。。非常に苦しんでます。
> > そもそも複数作成したクライアント証明書って結局中身みんな同じなんですかね。。。もしかしたら、失効処理以前の問題かもしれません。。。
>
> そんなことはありません。それではクライアント証明書にはなりませんから。
> 下記をみていただきたいのですが、ApacheにしろstunnelやPostfixにしろcrl.pem(失効リスト)を設定できますが、Courier-imapにはそれらしき記述が見当たりません。
> ということで、失効処理ができないのかな?と思っているしだいです。おやじが、よく見きれていないだけかもしれませんが・・・。
>
> http://www.aconus.com/~oyaji/suse/apache_ssl_suse.htm

ご返答ありがとうございます。
確かに、courierのpop3d-sslファイル(imapの設定ファイルとも内容は同じ)にはcrt.pemを指定するパラメータがみつかりません。それがないため、失効させたいリストを読み込むことができないということですよね?

当然以下のコマンドを実行しただけでは失効されないんでしょうかね?
# openssl ca -gencrl -revoke ./xxxx/newcert.pem -out ./demoCA/crl/crl.pem

もう、丸3日検証しましたが、全く進展ないです。。。。



掲示板▲頁先頭