Top過去ログ目次掲示板

作成日:2005年09月10日 作成:おやじ
掲示板で過去に質問された内容です。

No.5140 クライアント認証によるHTTPSアクセスができない

No.5140 投稿時間:2005年09月10日(Sat) 20:13 投稿者名:盆ー URL:http://http://www.aconus.com/~oyaji/www/certs_win.htm
タイトル:クライアント認証によるHTTPSアクセスができない

はじめまして。ピーといいます。
おやじさんのサイトを参考にいまクライアント認証によるHTTPSアクセスを構築中でありますが、アクセスできない状況でございます。

ピーの現状の環境は以下のようになっておりますが、何が原因か良くわかりません。

OS:Windows XP SP2
HTTPサーバ:Apache_2.0.54-Openssl_0.9.8-Win32
netstat状態:port80および443は起動
アクセス状況:HTTPアクセス(可能),HTTPSアクセス(不可)
certsディレクトリ:cacert.pem,crl.pem,server.crt,server.keyをcopy
テスト方法:
PCが1台しかないので、HTTPサーバ構築しているPC上にクライアント証明書をインストールしてHTTSアクセス
テスト結果:
デジタル証明書の選択GUI画面表示しOKボタン押下後,ページを表示できませんエラーが表示(※セキュリティの警告CGI画面は表示されません)

おやじさん、ご教授お願いできませんでしょうか?

No.5141 投稿時間:2005年09月11日(Sun) 02:04 投稿者名:珈琲たいむ URL:
タイトル:Re: クライアント認証によるHTTPSアクセスができない

おやじ様ではないのですが・・・
単にSSL認証キーを作ってのhttps アクセスではなくて、SSLVerifyClient require でもってクライアント認証キーによる https アクセスのことでしょうか?
・・・ここで多分話しが分かれると思ったもので・・・

No.5142 投稿時間:2005年09月11日(Sun) 06:15 投稿者名:ピー URL:http://http://www.aconus.com/~oyaji/www/certs_win.htm
タイトル:Re^2: クライアント認証によるHTTPSアクセスができない

>SSLVerifyClient require でもってクライアント認証キーによる >https アクセスのことでしょうか?
ssl.conf内でもSSLVerifyClient requireを設定しているので、珈琲たいむさんが言われているアクセス方法の場合です。

ピーが実現させたいのは、正規のクライアント証明書を持っているユーザしかHTTPサーバにアクセスできないような環境を構築することです。

よろしくお願いいたします。

No.5145 投稿時間:2005年09月11日(Sun) 10:12 投稿者名:おやじ URL:
タイトル:この掲示板を皆さんの情報交換の場として活用してください。

> おやじ様ではないのですが・・・

ここはおやじ専用の掲示板ではありません。聞くだけでなく、自分が知っていることや経験したことがあり参考になると思うならば、どんどんレスしていただいたほうがいいのではないでしょうか?
それが、自分のスキルアップにつながりますし、おやじも新たな情報が入るので勉強になりますから。
是非、この掲示板を皆さんの情報交換の場として活用していただければと思います。

No.5143 投稿時間:2005年09月11日(Sun) 09:48 投稿者名:おやじ URL:
タイトル:もう少し情報がほしいですね。

> OS:Windows XP SP2
> HTTPサーバ:Apache_2.0.54-Openssl_0.9.8-Win32
> netstat状態:port80および443は起動
> アクセス状況:HTTPアクセス(可能),HTTPSアクセス(不可)
> certsディレクトリ:cacert.pem,crl.pem,server.crt,server.keyをcopy
> テスト方法:
> PCが1台しかないので、HTTPサーバ構築しているPC上にクライアント証明書をインストールしてHTTSアクセス
> テスト結果:
> デジタル証明書の選択GUI画面表示しOKボタン押下後,ページを表示できませんエラーが表示(※セキュリティの警告CGI画面は表示されません)

443が動いているとおっしゃっているのと、「デジタル証明書の選択GUI画面表示しOKボタン押下後」とあるので大丈夫とは思うのですが、クライアント認証以前に、普通にHTTPSアクセスはできているのでしょうか?これができてない状態で一気にはできませんので、どうでしょうか?サーバ側のクライアント認証に関する設定を止めてアクセスできればOKです。
因みに、クライアント証明書はどうやって作成されたのでしょうか? 見落としてましたが、openssl ca を使うので0.9.8は作成できないことがわかったので、hpのほうは修正しておきましたが・・・。
「デジタル証明書の選択GUI画面表示しOKボタン押下後」というのは、はっきり覚えていないのですが、クライアント証明書が2個以上(1個ででないのは確認済み)あるときしか出なかったと思うのですが、そういう状況ということでいいですよね。(Netscape系だけ?)

No.5146 投稿時間:2005年09月11日(Sun) 16:08 投稿者名:ピー URL:http://http://www.aconus.com/~oyaji/www/certs_win.htm
タイトル:Re: もう少し情報がほしいですね。

> 443が動いているとおっしゃっているのと、「デジタル証明書の選択GUI画面表示しOKボタン押下後」とあるので大丈夫とは思うのですが、クライアント認証以前に、普通にHTTPSアクセスはできているのでしょうか?これができてない状態で一気にはできませんので、どうでしょうか?サーバ側のクライアント認証に関する設定を止めてアクセスできればOKです。

クライアント認証以前は、普通にHTTPSアクセスはできていました。念のため、クライアント認証を動かす設定を削除して再度普通のHTTPSアクセスを試みてみたのですが、アクセスは可能であります。


> 因みに、クライアント証明書はどうやって作成されたのでしょうか? 見落としてましたが、openssl ca を使うので0.9.8は作成できないことがわかったので、hpのほうは修正しておきましたが・・・。

OpenSSLは、おやじさんのダウンロードサイトより9月4日にOpenSSL-0.9.8-Win32.lzhをダンロードさせて頂き使用しています。
クライアント証明書(***.p12)の作成方法についてですが、おやじさんのサイトに記載されておりますコマンドでは作成エラーとなってしまいましたので、以下のようにコマンドを投入して作成しております。

【作成エラーとなったコマンド】
openssl pkcs12 -export -inkey newreq.pem -in newcert.pem -certfile ./demoCA/cacert.pem -out ***.p12 -name "*** key" -caname "Private_CA"
【今回ピーが証明書を作成したコマンド】
openssl pkcs12 -export -inkey newkey.pem -in newcert.pem -certfile ./demoCA/cacert.pem -out ***.p12 -name "*** key" -caname "Private_CA"

> 「デジタル証明書の選択GUI画面表示しOKボタン押下後」というのは、はっきり覚えていないのですが、クライアント証明書が2個以上(1個ででないのは確認済み)あるときしか出なかったと思うのですが、そういう状況ということでいいですよね。(Netscape系だけ?)

ピーの環境では、クライアント証明書が1つの場合でも選択GUI画面が表示されます。因みにクライアント証明書が複数または0の場合でも同様で、選択GUI画面が表示されます。ブラウザはIEを使用しております。

一度、おやじさんのダウンロードサイトからOpenSSL-0.9.7e-Win32.lzhをダウンロードさせて頂き、Ver0.9.7eのOpenSSLで再度試してみます。確認できましたら、またご連絡させて下さい。

よろしくお願いいたします。


掲示板▲頁先頭