HomeServer25 の履歴(No.6)

[ トップ ]   [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ ]

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• HomeServer25 へ行く。
  • 1 (2020-07-20 (月) 00:16:34)
  • 2 (2020-07-20 (月) 10:07:12)
  • 3 (2020-09-04 (金) 08:33:24)
  • 4 (2020-09-04 (金) 09:47:46)
  • 5 (2020-09-05 (土) 21:35:02)
  • 6 (2020-10-05 (月) 04:33:09)
  • 7 (2020-10-05 (月) 05:54:45)
  • 8 (2020-10-05 (月) 21:16:27)
  • 9 (2020-10-05 (月) 21:17:53)
  • 10 (2020-10-06 (火) 02:24:04)
  • 11 (2020-10-06 (火) 08:40:42)
  • 12 (2020-10-06 (火) 11:16:30)
  • 13 (2020-10-08 (木) 05:25:36)
  • 14 (2020-10-08 (木) 06:57:32)

---

考え方†

• mvc (=kgb.hmuna.com) には公式なサーバー証明書を導入済み
• mvc のログイン認証は local IP ゾーン（VPN 接続を含む）は認証なし、その他は One Time パスワード認証を要求
• これに加えクライアント認証を導入し、認証済クライアントはパスワード無しで接続できるようにしたい
• 発行済のサーバー証明書からクライアント証明書を発行する方法が無い（CoMoDo には別にクライアント認証オプションあり）
  • Comodo Client Certificates
• 一方でオレオレ認証ベースでのクライアント証明書を発行する事例は多数参考記事がある
  • オレオレ認証局でのクライアント証明書の作り方(sha256)
  • オレオレ認証局でクライアント認証 ～ ウェブの Basic 認証をリプレース
  • クライアント証明書によるアクセス制限

• （方針）クライアント証明書については、公式サーバー証明書とは別にオレオレ認証局で作り Apache2 に組み込んで動作確認する
  • この考え方（＝サーバー証明書とクライアント証明書は別の認証局を使う）で正しいことを CyberTrust に確認した。

再挑戦 2020-10 (/etc/ssl/private2_for_clientcertificate で作業）†

まずクライアント証明書を発行するためのプライベート認証局を作成†

• この ページの手順に従って自己認証局を作成
  • クライアント証明書を発行するための自己認証局設定ファイル（openssl-ca.cnf）を準備する
    • /etc/ssl/openssl.cnf をコピーしてリネーム
    • openssl-ca.cnf

      munakata@mvc:/etc/ssl/private2_for_client_certificate$ diff openssl-ca.cnf ../openssl.cnf
      73c73
      < default_days	= 3650			# how long to certify for
      ---
      > default_days	= 365			# how long to certify for
      170c170
      < basicConstraints=CA:TRUE
      ---
      > basicConstraints=CA:FALSE
      183d182
      < nsCertType = sslCA, emailCA
      190d188
      < keyUsage = cRLSign, keyCertSign
      218d215
      < keyUsage = cRLSign, keyCertSign

• 自己認証局の秘密鍵 (ca.key) の作成
  • パスフレーズ = magumaguking (サーバー証明書発行とは別にする）

    munakata@mvc:/etc/ssl/private2_for_client_certificate$ sudo openssl genrsa -des3 -out ca.key 2048
    Generating RSA private key, 2048 bit long modulus (2 primes)
    ..............................+++++
    ..............................................................................................................................................................................+++++
    e is 65537 (0x010001)
    Enter pass phrase for ca.key:  <-------------- magumaguking
    Verifying - Enter pass phrase for ca.key: <--- magumaguking
    
    munakata@mvc:/etc/ssl/private2_for_client_certificate$ ls -la
    合計 52
    drwxr-xr-x  2 root root  4096 10月  5 09:44 .
    drwxr-xr-x 12 root root  4096  9月  4 15:57 ..
    -r--------  1 root root  1751 10月  5 09:49 ca.key
    -rw-r--r--  1 root root 10927 10月  5 09:23 openssl-ca.cnf

• 自己認証局の証明書（ca.crt）の作成
  • CN = kgb.hmuna.com <----- サーバー名を設定

    munakata@mvc:/etc/ssl/private2_for_client_certificate$ sudo openssl req -new -x509 -days 3650 -sha256 -key ./ca.key -out ./ca.crt -config openssl-ca.cnf
    Enter pass phrase for ./ca.key:  <--------- magumaguking
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:JP
    State or Province Name (full name) [Some-State]:Kanagawa
    Locality Name (eg, city) []:Yokohama
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:IT
    Organizational Unit Name (eg, section) []:Admin
    Common Name (e.g. server FQDN or YOUR name) []:kgb.hmuna.com
    Email Address []:admin@hmuna.com
    
    munakata@mvc:/etc/ssl/private2_for_client_certificate$ ls -la
    合計 28
    drwxr-xr-x  2 root root  4096 10月  5 10:11 .
    drwxr-xr-x 12 root root  4096  9月  4 15:57 ..
    -rw-r--r--  1 root root  1428 10月  5 10:11 ca.crt
    -r--------  1 root root  1751 10月  5 09:49 ca.key
    -rw-r--r--  1 root root 10927 10月  5 09:23 openssl-ca.cnf

• ブラウザにインポートする用にder形式の証明書 (ca.der) の作成

  munakata@mvc:/etc/ssl/private2_for_client_certificate$ sudo openssl x509 -inform pem -in ./ca.crt -outform der -out ./ca.der
  
  munakata@mvc:/etc/ssl/private2_for_client_certificate$ ls -la
  合計 32
  drwxr-xr-x  2 root root  4096 10月  5 10:16 .
  drwxr-xr-x 12 root root  4096  9月  4 15:57 ..
  -rw-r--r--  1 root root  1428 10月  5 10:11 ca.crt
  -rw-r--r--  1 root root  1012 10月  5 10:16 ca.der
  -r--------  1 root root  1751 10月  5 09:49 ca.key
  -rw-r--r--  1 root root 10927 10月  5 09:23 openssl-ca.cnf

• 後々必要になるファイル（index.txt, serial）を作成

  munakata@mvc:/etc/ssl/private2_for_client_certificate$ sudo touch index.txt
  munakata@mvc:/etc/ssl/private2_for_client_certificate$ sudo sh -c "echo '1000' > serial"
  
  munakata@mvc:/etc/ssl/private2_for_client_certificate$ ls -al
  合計 36
  drwxr-xr-x  2 root root  4096 10月  5 10:28 .
  drwxr-xr-x 12 root root  4096  9月  4 15:57 ..
  -rw-r--r--  1 root root  1428 10月  5 10:11 ca.crt
  -rw-r--r--  1 root root  1012 10月  5 10:16 ca.der
  -r--------  1 root root  1751 10月  5 09:49 ca.key
  -rw-r--r--  1 root root     0 10月  5 10:26 index.txt
  -rw-r--r--  1 root root 10927 10月  5 09:23 openssl-ca.cnf
  -rw-r--r--  1 root root     5 10月  5 10:28 serial

作成した自己認証局を使ってクライアント証明書を作成†

• この ページの手順に従ってクライアント証明書を発行
  • クライアント証明書を発行するための設定ファイル（openssl-client.cnf）を準備する
    • /etc/ssl/openssl.cnf をコピーしてリネーム
    • openssl-client.cnf

• クライアント証明書用の CSR（= Certificate Signing Request）の発行
  • パスフレーズ = magumagumocha
  • CN = kgb.hmuna.com

    munakata@mvc:/etc/ssl/private2_for_client_certificate$ sudo openssl req -new -config ./openssl-client.cnf -sha256 -keyout cl.key -out cl.csr
    Generating a RSA private key
    ..........................................+++++
    ......+++++
    writing new private key to 'cl.key'
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:JP
    State or Province Name (full name) [Some-State]:Kanagawa
    Locality Name (eg, city) []:Yokohama
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:IT
    Organizational Unit Name (eg, section) []:Admin
    Common Name (e.g. server FQDN or YOUR name) []:nanamocha.com
    Email Address []:
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:

• クライアント証明書の発行 （上記のプライベート認証局でサイン）

JCAN 証明書†

• JCAN証明書
• Apache でクライアント認証を実現する

参考 URL†

• (基本) openssl 1.1.1 man page [#u3bf0083]
• Apacheでクライアント認証をおこない、Javaで証明書情報を取得
• クライアント証明書によるアクセス制限 (百蔵の部屋)
• 今度こそopensslコマンドを理解して使いたい (1) ルートCAをスクリプトで作成する
• クライアント証明書認証の設定メモ（Apache2.4 + CentOS）

     

Site admin: munakata

PukiWiki 1.5.4 © 2001-2022 PukiWiki Development Team. Powered by PHP 8.3.6. HTML convert time: 0.004 sec.