クライアント証明書認証(Apache+OpenSSL)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
[[CentOS7]]
*クライアント証明書認証(Apache+OpenSSL) [#bc484653]
Webページへのアクセス制限にクライアント証明書によるアクセ...
ユーザー名/パスワードによるアクセス制限では、ユーザー名...
※Webサーバー、Webサーバー間通信内容暗号化が導入済であること
**事前準備 [#v9a07549]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/pki/tls/misc/CA &color(lime)...
|CADAYS="-days 36500" &color(lime){← CA証明書有効期限を1...
|[root@localhost ~]# vi /etc/pki/tls/openssl.cnf &color(l...
|# Extensions to add to a CRL. Note: Netscape communicato...
|[root@localhost ~]# cp /etc/pki/tls/openssl.cnf /etc/pki...
|[root@localhost ~]# vi /etc/pki/tls/openssl-ca.cnf &colo...
|[ usr_cert ] &br; &br; # These extensions are added whe...
|[root@localhost ~]# cp /etc/pki/tls/openssl.cnf /etc/pki...
|[root@localhost ~]# vi /etc/pki/tls/openssl-client.cnf &...
|[ usr_cert ] &br; &br; # These extensions are added whe...
*CA証明書作成 [#h0aa24c8]
|BGCOLOR(black):COLOR(white):|c
|SSLEAY_CONFIG="-config /etc/pki/tls/openssl-ca.cnf" /etc...
|CA certificate filename (or enter to create) &color(lime...
|[root@localhost ~]# echo 00 > /etc/pki/CA/crlnumber &col...
*クライアント証明書作成 [#dc682db6]
**対話型の場合※作成数が少ない場合 [#td4e6266]
|BGCOLOR(black):COLOR(white):|c
|Generating a 2048 bit RSA private key &br; ......+++ &br...
|[root@localhost ~]# SSLEAY_CONFIG="-config /etc/pki/tls/...
|Using configuration from /etc/pki/tls/openssl.cnf &br; E...
|[root@localhost ~]# openssl pkcs12 -export -in newcert.p...
|Enter pass phrase for newkey.pem: &color(lime){← クライ...
**非対話型の場合※作成数が多く、スクリプト化して複数ユーザ...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# openssl req -config /etc/pki/tls/ope...
|Generating a 2048 bit RSA private key &br; ................
|[root@localhost ~]# openssl ca -batch -key &color(lime){...
|Using configuration from /etc/pki/tls/openssl-client.cnf...
|[root@localhost ~]# openssl pkcs12 -passin pass:&color(l...
|&color(lime){ここで作成された「ユーザー名.p12」ファイル...
**後始末 [#vaf7d2db]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cp newcert.pem /etc/pki/CA/certs/&co...
|[root@localhost ~]# rm -f newcert.pem newkey.pem newreq....
**クライアント証明書をBASIC認証用ユーザーデータベースに登...
|BGCOLOR(black):COLOR(white):|c
|&color(lime){BASIC認証用ユーザーデータベース(例:/etc/htt...
|[root@localhost ~]# htpasswd -bcm /etc/httpd/conf/.htpas...
|&color(lime){BASIC認証用ユーザーデータベース(例:/etc/htt...
|[root@localhost ~]# htpasswd -bm /etc/httpd/conf/.htpass...
|&color(lightpink){※ ''password'' は例ではないので、その...
*Apache設定 [#u3548e2f]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/httpd/conf.d/ssl.conf &color...
|[root@localhost ~]# vi /etc/httpd/conf.d/virtualhost-hog...
|# Certificate Authority (CA): &br; # Set the CA cert...
|[root@localhost ~]# systemctl reload httpd &color(lime){...
*クライアント証明書認証確認 [#ad00d518]
**クライアント証明書によるアクセス制限を行うWebページを作...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# mkdir /var/www/html/strictsecret &co...
|[root@localhost ~]# vi /var/www/html/strictsecret/.htacc...
|&color(lime){# アクセス元が内部以外の場合はクライアント...
|[root@localhost ~]# echo test > /var/www/html/strictsecr...
**クライアント証明書登録 [#je6b6cd0]
''【PCの場合】''
サーバーから送付された「ユーザー名.p12」ファイルをクライ...
-※パスワードはクライアント証明書登録用パスフレーズを指定...
-※CA証明書インストールに伴うセキュリティ警告メッセージに...
-※Chrome、IE、Edgeは上記でOKだが、Firefoxは個別にインスト...
''【スマホの場合】''
サーバーからメール添付で送付された「ユーザー名.p12」ファ...
※パスワードはクライアント証明書登録用パスフレーズを指定する
-内部からhttps://hoge.com/strictsecret/へアクセスして、証...
-外部からhttps://hoge.com/strictsecret/へアクセスして、証...
-外部からhttps://hoge.com/strictsecret/へアクセスして、証...
*クライアント証明書失効 [#v19407c2]
クライアント証明書が不要になった場合に、該当のクライアン...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# openssl ca -gencrl -revoke /etc/pki/...
|Using configuration from /etc/pki/tls/openssl.cnf &br; E...
|[root@localhost ~]# openssl ca -gencrl -out /etc/pki/CA/...
|Using configuration from /etc/pki/tls/openssl.cnf &br; E...
|[root@localhost ~]# systemctl reload httpd &color(lime){...
**外部からhttps://hoge.com/strictsecret/へアクセスして、...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/cron.weekly/crlupdate &color...
|#!/bin/sh &br; openssl ca -batch -key CA証明書パスフレー...
|[root@localhost ~]# chmod 700 /etc/cron.weekly/crlupdate...
&color(red){''※証明書失効リストの有効期限は初期設定で30日...
終了行:
[[CentOS7]]
*クライアント証明書認証(Apache+OpenSSL) [#bc484653]
Webページへのアクセス制限にクライアント証明書によるアクセ...
ユーザー名/パスワードによるアクセス制限では、ユーザー名...
※Webサーバー、Webサーバー間通信内容暗号化が導入済であること
**事前準備 [#v9a07549]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/pki/tls/misc/CA &color(lime)...
|CADAYS="-days 36500" &color(lime){← CA証明書有効期限を1...
|[root@localhost ~]# vi /etc/pki/tls/openssl.cnf &color(l...
|# Extensions to add to a CRL. Note: Netscape communicato...
|[root@localhost ~]# cp /etc/pki/tls/openssl.cnf /etc/pki...
|[root@localhost ~]# vi /etc/pki/tls/openssl-ca.cnf &colo...
|[ usr_cert ] &br; &br; # These extensions are added whe...
|[root@localhost ~]# cp /etc/pki/tls/openssl.cnf /etc/pki...
|[root@localhost ~]# vi /etc/pki/tls/openssl-client.cnf &...
|[ usr_cert ] &br; &br; # These extensions are added whe...
*CA証明書作成 [#h0aa24c8]
|BGCOLOR(black):COLOR(white):|c
|SSLEAY_CONFIG="-config /etc/pki/tls/openssl-ca.cnf" /etc...
|CA certificate filename (or enter to create) &color(lime...
|[root@localhost ~]# echo 00 > /etc/pki/CA/crlnumber &col...
*クライアント証明書作成 [#dc682db6]
**対話型の場合※作成数が少ない場合 [#td4e6266]
|BGCOLOR(black):COLOR(white):|c
|Generating a 2048 bit RSA private key &br; ......+++ &br...
|[root@localhost ~]# SSLEAY_CONFIG="-config /etc/pki/tls/...
|Using configuration from /etc/pki/tls/openssl.cnf &br; E...
|[root@localhost ~]# openssl pkcs12 -export -in newcert.p...
|Enter pass phrase for newkey.pem: &color(lime){← クライ...
**非対話型の場合※作成数が多く、スクリプト化して複数ユーザ...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# openssl req -config /etc/pki/tls/ope...
|Generating a 2048 bit RSA private key &br; ................
|[root@localhost ~]# openssl ca -batch -key &color(lime){...
|Using configuration from /etc/pki/tls/openssl-client.cnf...
|[root@localhost ~]# openssl pkcs12 -passin pass:&color(l...
|&color(lime){ここで作成された「ユーザー名.p12」ファイル...
**後始末 [#vaf7d2db]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cp newcert.pem /etc/pki/CA/certs/&co...
|[root@localhost ~]# rm -f newcert.pem newkey.pem newreq....
**クライアント証明書をBASIC認証用ユーザーデータベースに登...
|BGCOLOR(black):COLOR(white):|c
|&color(lime){BASIC認証用ユーザーデータベース(例:/etc/htt...
|[root@localhost ~]# htpasswd -bcm /etc/httpd/conf/.htpas...
|&color(lime){BASIC認証用ユーザーデータベース(例:/etc/htt...
|[root@localhost ~]# htpasswd -bm /etc/httpd/conf/.htpass...
|&color(lightpink){※ ''password'' は例ではないので、その...
*Apache設定 [#u3548e2f]
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/httpd/conf.d/ssl.conf &color...
|[root@localhost ~]# vi /etc/httpd/conf.d/virtualhost-hog...
|# Certificate Authority (CA): &br; # Set the CA cert...
|[root@localhost ~]# systemctl reload httpd &color(lime){...
*クライアント証明書認証確認 [#ad00d518]
**クライアント証明書によるアクセス制限を行うWebページを作...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# mkdir /var/www/html/strictsecret &co...
|[root@localhost ~]# vi /var/www/html/strictsecret/.htacc...
|&color(lime){# アクセス元が内部以外の場合はクライアント...
|[root@localhost ~]# echo test > /var/www/html/strictsecr...
**クライアント証明書登録 [#je6b6cd0]
''【PCの場合】''
サーバーから送付された「ユーザー名.p12」ファイルをクライ...
-※パスワードはクライアント証明書登録用パスフレーズを指定...
-※CA証明書インストールに伴うセキュリティ警告メッセージに...
-※Chrome、IE、Edgeは上記でOKだが、Firefoxは個別にインスト...
''【スマホの場合】''
サーバーからメール添付で送付された「ユーザー名.p12」ファ...
※パスワードはクライアント証明書登録用パスフレーズを指定する
-内部からhttps://hoge.com/strictsecret/へアクセスして、証...
-外部からhttps://hoge.com/strictsecret/へアクセスして、証...
-外部からhttps://hoge.com/strictsecret/へアクセスして、証...
*クライアント証明書失効 [#v19407c2]
クライアント証明書が不要になった場合に、該当のクライアン...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# openssl ca -gencrl -revoke /etc/pki/...
|Using configuration from /etc/pki/tls/openssl.cnf &br; E...
|[root@localhost ~]# openssl ca -gencrl -out /etc/pki/CA/...
|Using configuration from /etc/pki/tls/openssl.cnf &br; E...
|[root@localhost ~]# systemctl reload httpd &color(lime){...
**外部からhttps://hoge.com/strictsecret/へアクセスして、...
|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi /etc/cron.weekly/crlupdate &color...
|#!/bin/sh &br; openssl ca -batch -key CA証明書パスフレー...
|[root@localhost ~]# chmod 700 /etc/cron.weekly/crlupdate...
&color(red){''※証明書失効リストの有効期限は初期設定で30日...
ページ名: