｜Top｜過去ログ目次｜掲示板｜

作成日：2006年01月19日　作成：おやじ

掲示板で過去に質問された内容です。

---

No.5536　SSLでのクライアント証明書失効について

• SSLでのクライアント証明書失効について - pen 06/01/19-18:40 No.5536
  • stunnelあたりを使わないと無理？ - おやじ 06/01/19-22:51 No.5538
    • Re: stunnelあたりを使わないと無理？ - pen 06/01/19-23:47 No.5540
      • Courierは失効リストの設定ができますか？ - おやじ 06/01/20-00:14 No.5541
        • Re: Courierは失効リストの設定ができますか？ - pen 06/01/20-00:29 No.5542

---

No.5536　投稿時間：2006年01月19日(Thu) 18:40　投稿者名：pen　ＵＲＬ：
タイトル：SSLでのクライアント証明書失効について

はじめましてpenです。

いつも大変参考にさせてもらっておりますが、ちょっとSSLの件で質問させてください。

Courier-pop3d-sslに対してCA認証局やサーバ証明書の作成はひとつですが、クライアント証明書を複数作成して各クライアントには一意の証明書を配布して、メールの受信を行わせたい。
　その一人のクライアントが証明書を紛失してしまったなどのトラブルが発生し、そのクライアントに配布した証明書だけを失効したい。

実際、ためしにできるかどうか試してみましたが、うまく失効できず、メールの受信の通信ができてしまいます。
そもそも、クライアント証明書は１つしか対応できないのか、もしくは失効仕方がまちがっているのでしょうか？

---

No.5538　投稿時間：2006年01月19日(Thu) 22:51　投稿者名：おやじ　ＵＲＬ：
タイトル：stunnelあたりを使わないと無理？

> Courier-pop3d-sslに対してCA認証局やサーバ証明書の作成はひとつですが、クライアント証明書を複数作成して各クライアントには一意の証明書を配布して、メールの受信を行わせたい。
> 　その一人のクライアントが証明書を紛失してしまったなどのトラブルが発生し、そのクライアントに配布した証明書だけを失効したい。
>
> 実際、ためしにできるかどうか試してみましたが、うまく失効できず、メールの受信の通信ができてしまいます。
> そもそも、クライアント証明書は１つしか対応できないのか、もしくは失効仕方がまちがっているのでしょうか？

メールでクライアント認証はやったことがない(そもそもできるのか？)ので良くわかりませんが、認証ができるとしても失効処理もできるのですか？
調べないとわかりませんが、Courier-imapでは失効処理はできるのでしょうか？　stunnelあたりを使わないと無理？

---

No.5540　投稿時間：2006年01月19日(Thu) 23:47　投稿者名：pen　ＵＲＬ：
タイトル：Re: stunnelあたりを使わないと無理？

> > Courier-pop3d-sslに対してCA認証局やサーバ証明書の作成はひとつですが、クライアント証明書を複数作成して各クライアントには一意の証明書を配布して、メールの受信を行わせたい。
> > 　その一人のクライアントが証明書を紛失してしまったなどのトラブルが発生し、そのクライアントに配布した証明書だけを失効したい。
> >
> > 実際、ためしにできるかどうか試してみましたが、うまく失効できず、メールの受信の通信ができてしまいます。
> > そもそも、クライアント証明書は１つしか対応できないのか、もしくは失効仕方がまちがっているのでしょうか？
>
> メールでクライアント認証はやったことがない(そもそもできるのか？)ので良くわかりませんが、認証ができるとしても失効処理もできるのですか？
> 調べないとわかりませんが、Courier-imapでは失効処理はできるのでしょうか？　stunnelあたりを使わないと無理？

メールでのクライアント認証はできました。クライアント証明書をアンインストールすると受信できなくなることも確認しました。
これに関してまったく情報ないですね。。。非常に苦しんでます。
そもそも複数作成したクライアント証明書って結局中身みんな同じなんですかね。。。もしかしたら、失効処理以前の問題かもしれません。。。

---

No.5541　投稿時間：2006年01月20日(Fri) 00:14　投稿者名：おやじ　ＵＲＬ：
タイトル：Courierは失効リストの設定ができますか？

> メールでのクライアント認証はできました。クライアント証明書をアンインストールすると受信できなくなることも確認しました。
> これに関してまったく情報ないですね。。。非常に苦しんでます。
> そもそも複数作成したクライアント証明書って結局中身みんな同じなんですかね。。。もしかしたら、失効処理以前の問題かもしれません。。。

そんなことはありません。それではクライアント証明書にはなりませんから。
下記をみていただきたいのですが、ApacheにしろstunnelやPostfixにしろcrl.pem(失効リスト)を設定できますが、Courier-imapにはそれらしき記述が見当たりません。
ということで、失効処理ができないのかな？と思っているしだいです。おやじが、よく見きれていないだけかもしれませんが・・・。

http://www.aconus.com/~oyaji/suse/apache_ssl_suse.htm

---

No.5542　投稿時間：2006年01月20日(Fri) 00:29　投稿者名：pen　ＵＲＬ：
タイトル：Re: Courierは失効リストの設定ができますか？

> > メールでのクライアント認証はできました。クライアント証明書をアンインストールすると受信できなくなることも確認しました。
> > これに関してまったく情報ないですね。。。非常に苦しんでます。
> > そもそも複数作成したクライアント証明書って結局中身みんな同じなんですかね。。。もしかしたら、失効処理以前の問題かもしれません。。。
>
> そんなことはありません。それではクライアント証明書にはなりませんから。
> 下記をみていただきたいのですが、ApacheにしろstunnelやPostfixにしろcrl.pem(失効リスト)を設定できますが、Courier-imapにはそれらしき記述が見当たりません。
> ということで、失効処理ができないのかな？と思っているしだいです。おやじが、よく見きれていないだけかもしれませんが・・・。
>
> http://www.aconus.com/~oyaji/suse/apache_ssl_suse.htm

ご返答ありがとうございます。
確かに、courierのpop3d-sslファイル(imapの設定ファイルとも内容は同じ）にはcrt.pemを指定するパラメータがみつかりません。それがないため、失効させたいリストを読み込むことができないということですよね？

当然以下のコマンドを実行しただけでは失効されないんでしょうかね？
# openssl ca -gencrl -revoke ./xxxx/newcert.pem -out ./demoCA/crl/crl.pem

もう、丸3日検証しましたが、全く進展ないです。。。。

---

｜掲示板｜▲頁先頭｜

---