はじめましてpenです。
いつも大変参考にさせてもらっておりますが、ちょっとSSLの件で質問させてください。
Courier-pop3d-sslに対してCA認証局やサーバ証明書の作成はひとつですが、クライアント証明書を複数作成して各クライアントには一意の証明書を配布して、メールの受信を行わせたい。
その一人のクライアントが証明書を紛失してしまったなどのトラブルが発生し、そのクライアントに配布した証明書だけを失効したい。
実際、ためしにできるかどうか試してみましたが、うまく失効できず、メールの受信の通信ができてしまいます。
そもそも、クライアント証明書は1つしか対応できないのか、もしくは失効仕方がまちがっているのでしょうか?
> Courier-pop3d-sslに対してCA認証局やサーバ証明書の作成はひとつですが、クライアント証明書を複数作成して各クライアントには一意の証明書を配布して、メールの受信を行わせたい。
> その一人のクライアントが証明書を紛失してしまったなどのトラブルが発生し、そのクライアントに配布した証明書だけを失効したい。
>
> 実際、ためしにできるかどうか試してみましたが、うまく失効できず、メールの受信の通信ができてしまいます。
> そもそも、クライアント証明書は1つしか対応できないのか、もしくは失効仕方がまちがっているのでしょうか?
メールでクライアント認証はやったことがない(そもそもできるのか?)ので良くわかりませんが、認証ができるとしても失効処理もできるのですか?
調べないとわかりませんが、Courier-imapでは失効処理はできるのでしょうか? stunnelあたりを使わないと無理?
> > Courier-pop3d-sslに対してCA認証局やサーバ証明書の作成はひとつですが、クライアント証明書を複数作成して各クライアントには一意の証明書を配布して、メールの受信を行わせたい。
> > その一人のクライアントが証明書を紛失してしまったなどのトラブルが発生し、そのクライアントに配布した証明書だけを失効したい。
> >
> > 実際、ためしにできるかどうか試してみましたが、うまく失効できず、メールの受信の通信ができてしまいます。
> > そもそも、クライアント証明書は1つしか対応できないのか、もしくは失効仕方がまちがっているのでしょうか?
>
> メールでクライアント認証はやったことがない(そもそもできるのか?)ので良くわかりませんが、認証ができるとしても失効処理もできるのですか?
> 調べないとわかりませんが、Courier-imapでは失効処理はできるのでしょうか? stunnelあたりを使わないと無理?
メールでのクライアント認証はできました。クライアント証明書をアンインストールすると受信できなくなることも確認しました。
これに関してまったく情報ないですね。。。非常に苦しんでます。
そもそも複数作成したクライアント証明書って結局中身みんな同じなんですかね。。。もしかしたら、失効処理以前の問題かもしれません。。。
> メールでのクライアント認証はできました。クライアント証明書をアンインストールすると受信できなくなることも確認しました。
> これに関してまったく情報ないですね。。。非常に苦しんでます。
> そもそも複数作成したクライアント証明書って結局中身みんな同じなんですかね。。。もしかしたら、失効処理以前の問題かもしれません。。。
そんなことはありません。それではクライアント証明書にはなりませんから。
下記をみていただきたいのですが、ApacheにしろstunnelやPostfixにしろcrl.pem(失効リスト)を設定できますが、Courier-imapにはそれらしき記述が見当たりません。
ということで、失効処理ができないのかな?と思っているしだいです。おやじが、よく見きれていないだけかもしれませんが・・・。
http://www.aconus.com/~oyaji/suse/apache_ssl_suse.htm
> > メールでのクライアント認証はできました。クライアント証明書をアンインストールすると受信できなくなることも確認しました。
> > これに関してまったく情報ないですね。。。非常に苦しんでます。
> > そもそも複数作成したクライアント証明書って結局中身みんな同じなんですかね。。。もしかしたら、失効処理以前の問題かもしれません。。。
>
> そんなことはありません。それではクライアント証明書にはなりませんから。
> 下記をみていただきたいのですが、ApacheにしろstunnelやPostfixにしろcrl.pem(失効リスト)を設定できますが、Courier-imapにはそれらしき記述が見当たりません。
> ということで、失効処理ができないのかな?と思っているしだいです。おやじが、よく見きれていないだけかもしれませんが・・・。
>
> http://www.aconus.com/~oyaji/suse/apache_ssl_suse.htm
ご返答ありがとうございます。
確かに、courierのpop3d-sslファイル(imapの設定ファイルとも内容は同じ)にはcrt.pemを指定するパラメータがみつかりません。それがないため、失効させたいリストを読み込むことができないということですよね?
当然以下のコマンドを実行しただけでは失効されないんでしょうかね?
# openssl ca -gencrl -revoke ./xxxx/newcert.pem -out ./demoCA/crl/crl.pem
もう、丸3日検証しましたが、全く進展ないです。。。。