ブラウザのSSL用設定


自己認証したSSLサイトにアクセスした場合、証明機関がブラウザに登録されていないため警告がでます。アクセスするたびに警告が出るのは、不便なのでその対策を行います。
また、クライアント認証を行う場合には、更にクライアント証明書のインストールが必要になります。

■CA証明書のインストール

SSLアクセス時の警告対策として、ブラウザにプライベートCAの証明書をインストールします。対策方法はInternet ExplorerとNetscape Navigatorで異なり、Netscape Navigatorはいたって簡単で、警告画面から証明書をインポートするだけです。

◆Internet Explorerの設定

  1. Internet Explorer 6の場合、証明機関が登録されていないため、下記のような警告がでます。



  2. 「証明書の表示」からたどると、証明書をインストールできるように見えますが、Intenet Explorerでは、この方法では警告画面から証明書をインポートできません。こちら(Windows編Linux編)を参考にして、CA証明書をブラウザにインポートするためのderファイルを作成します。

  3. 家庭内では、このca.derファイルをフロッピーにコピーしてクライアントにインポートすれば、以降、改めてアクセスしても上記画面はでなくなります。おやじは必要ありませんが、遠隔地の不特定多数の方を対象にするにはそうもいきませんので、CA証明書をWeb ページなどで公開する方法があります。下記が、同じディレクトリにca.derをおいて配布するcgi例で、適当な名前をつけて設置してください。当サイトのCA証明書は、皆さんには意味がないと思いますが、こちらからダウンロードできます。

    #!/bin/sh
    echo "Content-type: application/x-x509-ca-cert"
    echo "Content-Disposition: attachment; filename=ca.der"
    echo
    cat ca.der


  4. 上記のcgiでダウンロードすると以下のような画面が表示されます。



  5. ここで「保存」すれば、以下はフロッピーからのインストールと同じです。保存したca.derファイルの上で右クリックし、証明書のインストールを選択すると、証明書のインポートウィザードが開きます。



  6. 「次へ」を押し、「証明書をすべて次のストアに配置する」を選択し、「参照」から「信頼されたルート証明機関」を選択します。



  7. 「完了」を押して終わりです。



◆Netscape Navigatorの設定

  1. Netscape Navigator 7の場合、下記のような警告がでますが、「この証明書を永続的に記憶する」にチェックマークを入れ、「続行」から指示に従ってインストールするだけで、証明書をインポートできます。




■クライント証明書のインストール

 このクライアント用証明書は、認証局で署名されたクライアント用証明書を持たない端末(ブラウザ)からのアクセス制限をするため使用されるものであり、サーバ側でのクライアント認証の対応ができていなければ、使用できません。前述のように、クライアント用証明書は認証局で署名されたものなので、サーバ管理者から受け取ることになります。クライアント証明書の作成方法はこちらを参考にしてください。ここでは、先のページで作成されたクライント証明書(ex.  client1.p12ファイル)のクライアントへのインストール方法を示します。

◆Internet Explorerの設定

  1. client1.p12ファイルをダブルクリックすると、証明書のインポートウィザードが起動する。



  2. 「次へ」を押すと、パスワード入力を求められるので、pkcs12形式のファイル(client1.p12)作成時に入力したExport用パスワードを入力する。従って、このパスワードも何らかの形でクライアントに通知する必要がある。少なくとも、両方を同一メールで送るなんてことはやめたほうがよい。



  3. 証明書をどこに保管するか聞かれるが、CA証明書もインストールする場合があるので自動にする。



  4. 上記で「次へ」を押せばインポートが完了するはずである。内容を確認して閉じる。



  5. CA証明書が同梱されている場合は、ここで以下のような警告がでるので内容を確認してOKを押す。



  6. 実際にサイトにhttpsでアクセス(https://www.aconus.com/~oyaji/)すると、下記のように使用できるクライアント証明書が表示されるので、使用する証明書を選択してOKを押せばアクセスできるはずである。ここで、証明書が表示されない場合は、サーバ証明書を含め全てのアクセス条件がマッチしていないからなので、慎重にはじめから見直してみよう。



  7. サーバ側で失効処理されたクライント証明書でアクセスしようとすると、以下のような画面が表示されアクセスできなくなる。




◆Netscape Navigatorの設定

  1. Netscape Navigator 7の場合、「編集」から「設定」を開き、「プライバシーとセキュリティ」の「証明書」を選択する。



  2. 上記で、「証明書の管理」を選択する。



  3. 上記の「証明書マネージャ」で「インポート」選択し、インストールする証明書(client1.p12等)を選択すると、下記画面が表示されるので、初回インストール時に設定したセキュリティデバイスのマスターパスワードを入力する。(セキュリティデバイスのマスターパスワードは、証明書の初回インストール時のみ入力するが、以降何かするたびに聞かれるので忘れないこと。おやじはいい加減に設定して苦労した。)



  4. パスワード入力を求められるので、pkcs12形式のファイル(client1.p12)作成時に入力したExport用パスワードを入力する。



  5. 問題が無ければ、以下のように警告が出る。



  6. インストールが成功すると、以下のように表示されるので、確認し画面を閉じる。



  7. 実際にサイトにhttpsでアクセス(https://www.aconus.com/~oyaji/)すると、下記のように証明書を受け入れるか聞かれるので受け入れ操作をする。



  8. サーバ側で失効処理されたクライント証明書でアクセスしようとすると、以下のような画面が表示されアクセスできなくなる。





Top Pageへ   戻る