LDAP ã«ã‚ˆã‚‹ãƒ‡ã‚¸ã‚¿ãƒ«è¨¼æ˜Žæ›¸ã®ç™ºè¡Œ
9. LDAP ã«ã‚ˆã‚‹ãƒ‡ã‚¸ã‚¿ãƒ«è¨¼æ˜Žæ›¸ã®ç™ºè¡Œã“ã®ç« ã®ç„¦ç‚¹ã¯ã€ãƒ‡ã‚¸ã‚¿ãƒ«è¨¼æ˜Žæ›¸ã‚’ LDAP サーãƒå†…ã«ç™ºè¡Œã™ã‚‹æ–¹æ³•ã«ã‚ã‚Šã¾ã™ã€‚ Certification Authority (èªè¨¼å±€) ã‚’é‹å–¶ã™ã‚‹ãªã‚‰ãƒ‡ã‚¸ã‚¿ãƒ«è¨¼æ˜Žæ›¸ã‚’発行ã™ã‚‹å¿…è¦ãŒ ã‚ã‚Šã¾ã™ã€‚LDAP ã¸ã®ç™ºè¡Œã¯ã€ã“ã®æƒ…å ±ã‚’ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯å†…ã§åˆ©ç”¨ã§ãるよã†ã«ã™ã‚‹ シンプルãªæ–¹æ³•ã®ã²ã¨ã¤ã§ã™ã€‚ã¾ãŸã€è¨¼æ˜Žæ›¸å¯¾å¿œã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢ã®å¤šãも〠望ã¾ã—ã„レãƒã‚¸ãƒˆãƒªã¨ã—ã¦ã€ãƒ¦ãƒ¼ã‚¶è¨¼æ˜Žæ›¸ã« LDAP を用ã„ã¦ã„ã¾ã™ã€‚ã“ã®æ–¹æ³•ã§ã¯ãƒ¦ãƒ¼ã‚¶è¨¼æ˜Žæ›¸ã‚’ä»–ã®ãƒ¦ãƒ¼ã‚¶æƒ…å ±ã¨ä¸€ç·’ã«ã—ã¦ãŠã‘ã‚‹ã®ã§ã€ データã®ç„¡é§„ãªè¤‡è£½ãŒå¿…è¦ãªããªã‚Šã¾ã™ã€‚証明書をå–り扱ã†ã«ã¯æš—å·ãƒ„ールã‚ットãŒå¿…è¦ã§ã™ã€‚ ã“ã“ã§ä½¿ç”¨ã™ã‚‹ã®ã¯ OpenSSL ã§ã™ã€‚ 9.1. LDAP サーãƒã®è¨å®šã“ã“ã§ä½¿ç”¨ã™ã‚‹ LDAP サーãƒã¯ OpenLDAP 2.0.x ã§ã™ã€‚LDAP サーãƒã¯ã€è¨¼æ˜Žæ›¸ã‚’記録ã™ã‚‹ãŸã‚ã®å±žæ€§ã‚’æŒã¦ã‚‹
openssl:CA
google:èªè¨¼å±€+CA é•·ã„ã®ã§ã€çœŸé¢ç›®ã«CAã‚’ç«‹ã¦ã‚‹ã¤ã‚‚ã‚ŠãŒç„¡ã‘ã‚Œã°ã€ã€Œçµè«–ã€ã ã‘èªã‚ã°ok。 用語定義プライベートCAを作る秘密éµã‚’作るリクエストを作る証明書を作る秘密éµã¨è¨¼æ˜Žæ›¸ã‚’åˆæˆã™ã‚‹pkcs#12å½¢å¼ã®ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆè¨¼æ˜Žæ›¸ã‚’作る生æˆã—ãŸCA証明書ã€ã‚µãƒ¼ãƒè¨¼æ˜Žæ›¸ã€ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆè¨¼æ˜Žæ›¸ã‚’使ã£ã¦ã¿ã‚‹ãã®ä»–ãŠã¼ãˆãŒãプライベートCAã®ãƒ‡ãƒ¡ãƒªãƒƒãƒˆçµè«–å‚考ã«ã—ãŸãƒªãƒ³ã‚¯ 用語定義 CA, èªè¨¼å±€ 『証明書ã€ã‚’å¿…è¦ã¨ã™ã‚‹äººãŒæ出ã—ãŸã€Žãƒªã‚¯ã‚¨ã‚¹ãƒˆã€ã‹ã‚‰ã€CAã®ç½²å入り『証明書ã€ã‚’生æˆã™ã‚‹ã€ä½•ã‚‰ã‹ã®ã‚·ã‚¹ãƒ†ãƒ 。 èªè¨¼ã‚’è¡Œã†ã‚·ã‚¹ãƒ†ãƒ ãªã®ã§ã€CA自身ã«ã‚‚信用/ä¿¡é ¼ã¨ã„ã£ãŸç‰©ãŒå¿…è¦ã€‚ èªè¨¼å±€ã¯ã€å¤§ä¼šç¤¾ã ã£ãŸã‚Šã€å˜ã«ãƒ•ã‚¡ã‚¤ãƒ«ä¸€å¼ãŒå…¥ã£ãŸã ã‘ã®ãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªã ã£ãŸã‚Šã™ã‚‹ã€‚ å°šã€CAãŒã€ã€Žãƒªã‚¯ã‚¨ã‚¹ãƒˆã€ã‹ã‚‰ç½²å入り『証明書ã€ã‚’発行ã™ã‚‹ç‚ºã«ã¯ã€CA自分自身ã®ç§˜å¯†éµã¨è¨¼æ˜Žæ›¸ãŒå¿…è¦ã¨ãªã‚‹ã€‚ ç§˜å¯†éµ ã‚³ãƒ¬ãŒã‚ã‚‹ã¨ã€å…¬é–‹éµã«ã‚ˆ
opensslコマンド
ä¹…ç•™ã§ã™ã€‚ 証明書発行ã«ä½¿ç”¨ã™ã‚‹opensslコマンドã®å¼•æ•°ã‚’ã¾ã¨ã‚ã¦ã¿ã¾ã—ãŸã€‚ ================================================================= *タイムゾーンã®è¨å®š set tz=jst-09 セルフサインã®CA証明書発行 openssl req -keyout (CA証明書ã®ç§˜å¯†éµãƒ•ã‚¡ã‚¤ãƒ«å) -x509 -config (opensslã®è¨ 定ファイルå) -out (CA証明書ファイルå) -days (CA証明書ã®æœ‰åŠ¹æœŸé–“(æ—¥)) -new -outform pem セルフサインã®CA証明書ã®PKCS#12ãƒ‡ãƒ¼ã‚¿ä½œæˆ openssl pkcs12 -export -in (CA証明書ファイルå) -inkey (CA証明書秘密éµãƒ•ã‚¡ã‚¤ ルå) -out (PKCS#12データã®ãƒ•ã‚¡ã‚¤ãƒ«å) ユーザ証明書ã®è¨¼æ˜Žæ›¸ç™º
Apacheã®SSL対応化ã¨ç’°å¢ƒè¨å®š
Apacheã§SSLを利用ã™ã‚‹ã«ã¯ã€ãƒ¢ã‚¸ãƒ¥ãƒ¼ãƒ«ã‚’組ã¿è¾¼ã‚€ã‹ãƒ‘ッãƒã‚’é©ç”¨ã™ã‚‹å¿…è¦ãŒã‚る。ãã®ãŸã‚ã€Apacheã®ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«æ™‚ã«SSL化を行ã‚ãªã‘ã‚Œã°ãªã‚‰ãªã„。今回ã¯ã€OpenSSLを使ã†æ–¹æ³•ã¨ã€Apacheインストール後ã«æœ€å°é™ã‚„ã£ã¦ãŠãã¹ã環境è¨å®šã«ã¤ã„ã¦ç´¹ä»‹ã™ã‚‹ã€‚ å‰å›žã¯Apacheã®åŸºæœ¬çš„ãªã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«æ–¹æ³•ã‚’紹介ã—ã¦çµ‚ã‚ã£ãŸãŒã€ä»Šå›žã¯ãã®ç¶šãã¨ã—ã¦ã€SSL(Secure Sockets Layer)ã¨Apacheを連æºã•ã›ã‚‹å ´åˆã®ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«ã‚„ã€ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«å¾Œã«è¡Œã£ã¦ãŠãã¹ã便利ãªè¨å®šã«ã¤ã„ã¦ç´¹ä»‹ã™ã‚‹ã€‚ Apacheã§SSLを使ã†ã«ã¯ クレジットカード番å·ã«é™ã‚‰ãšã€ãƒ—ライベートãªæƒ…å ±ã®å…¥åŠ›ã‚’求ã‚ã‚‹Webサイトã§ã¯ã€é€šä¿¡ã‚’æš—å·åŒ–ã™ã‚‹æŠ€è¡“ãŒæ¬ ã‹ã›ãªã„。ãれを実ç¾ã™ã‚‹ã®ãŒSSLã (SSLã«ã¤ã„ã¦ã¯æºå¸¯é€šä¿¡æŠ€è¡“トレンド第2回をå‚ç…§ã—ã¦ã„ãŸã ããŸã„)。本稿ã§ã¯ã€Apacheã¨SSLを組ã¿åˆã‚ã›
OpenSSLã§ã®è‡ªå·±èªè¨¼å±€(CA)ã¨è‡ªå·±è¨¼æ˜Žæ›¸ã®ä½œæˆ
OpenSSLを利用ã—ãŸã€è‡ªå·±èªè¨¼å±€(CA)ã®æ§‹ç¯‰ã¨ã€ã‚µãƒ¼ãƒè¨¼æ˜Žæ›¸ã®ä½œæˆæ‰‹é †ã¨Apache+mod_SSLã§ã®è¨å®šæ–¹æ³•ã«ã¤ã„ã¦ã‚‚ã”紹介ã—ã¾ã™ã€‚ Section.1ã§ã¯ã€é€šå¸¸ã®https通信をå¯èƒ½ã¨ã™ã‚‹ãŸã‚ã€ä»¥ä¸‹ã®æ‰‹é †ã‚’è¡Œã„ã¾ã™ã€‚ 1.自己èªè¨¼å±€(CA)ã®æ§‹ç¯‰ 2.サーãƒã®è¨¼æ˜Žæ›¸ã®ä½œæˆ 3.自己èªè¨¼å±€ã«ã‚ˆã‚‹ã‚µãƒ¼ãƒè¨¼æ˜Žæ›¸ã¸ã®ç½²å 4.Apache+mod_sslã®è¨å®šä¾‹ Section.2ã§ã¯ã€Section.1ã«åŠ ãˆã¦ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆèªè¨¼ã«åˆ©ç”¨ã™ã‚‹è¨¼æ˜Žæ›¸ã®ç™ºè¡Œæ–¹æ³•ã¨Apacheã®è¨å®šä¾‹ã‚’示ã—ã¾ã™ã€‚ 1.クライアントèªè¨¼ç”¨è¨¼æ˜Žæ›¸ã®ä½œæˆ 2.Apache+mod_sslã§ã®è¨å®šä¾‹ 最åˆã«ã€è‡ªå·±èªè¨¼å±€(以下CA)ã®æ§‹ç¯‰ã‚’è¡Œã„ã¾ã™ã€‚ãªãŠã€CAã®æ§‹ç¯‰ã¯/usr/local/CAã«è¡Œã„ã¾ã™ã€‚ CAを作æˆã™ã‚‹ã«ã¯ã€OpenSSL付属ã®CA.shを利用ã—ã¾ã™ã€‚ (CA.shã¯ã€OpenSS
トップページ
SQL データベースæ“作言語SQLã«ã¤ã„ã¦ã€ã¾ãŸRDBMSã®æŒã¤æ©Ÿèƒ½ã«ã¤ã„ã¦è©³ã—ã解説ã—ã¾ã™ã€‚ DB概è¦ã€SQLã€ãƒ†ãƒ¼ãƒ–ルæ“作ã€ãƒ‡ãƒ¼ã‚¿æ“作 ... 特集:replication PostgreSQLã®ãƒ¬ãƒ—リケーションシステムを紹介ã—ã€ãれらã®æ©Ÿèƒ½ã‚’比較ã—ã¦ã„ãã¾ã™ã€‚ 特集:pgbench PostgreSQLã®ãƒ™ãƒ³ãƒãƒžãƒ¼ã‚¯ãƒ†ã‚¹ãƒˆã«ç”¨ã„られるプãƒã‚°ãƒ©ãƒ ã§ã‚ã‚‹ pgbench ã«ã¤ã„ã¦è§£èª¬ã—ã¾ã™ã€‚ SQL演習å•é¡Œ å„ç« ã«ç”¨æ„ã•ã‚ŒãŸæ¼”ç¿’å•é¡Œã‚’集ã‚ã¾ã—ãŸã€‚
証明書ã®å¤±åŠ¹ã¨CRLã®ç™ºè¡Œ
証明書ã®å¤±åŠ¹ã¨CRLã®ç™ºè¡Œ 2003/6/14ä½œæˆ 2004/9/19æ›´æ–° 主ã«ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆè¨¼æ˜Žæ›¸ã®å ´åˆã§ã™ãŒã€ç™ºè¡Œã—ãŸã‚ã¨ã«ç§˜å¯†éµãŒç›—ã¾ã‚ŒãŸã‚Šã€ç´›å¤±ã™ã‚‹ã“ã¨ãŒã‚ã‚Šã¾ã™ã€‚ 具体的ã«ã¯ã€pkcs12ã®ãƒ•ã‚¡ã‚¤ãƒ«ã‚’å‹æ‰‹ã«ã‚³ãƒ”ーã•ã‚ŒãŸã‚Šã€ç§˜å¯†éµãŒãƒ“ルã®OSã¨ä¸€ç·’ã«å¿ƒä¸ã—ã¦ã—ã¾ã†ã“ã¨ã‚‚ã‚ã‚Šã¾ã™ã€‚ ã¾ãŸã€ç™ºè¡Œã—ãŸäººãŒæ„図的ã«èª°ã‹ã«ç§˜å¯†éµã‚’é…布ã—ãŸã‚Šã€è²æ¸¡ã™ã‚‹å¯èƒ½æ€§ã‚‚ã‚ã‚Šã¾ã™ã€‚ ãã†ã„ã£ãŸè¨¼æ˜Žæ›¸ã‚’ã„ã¤ã¾ã§ã‚‚信用ã™ã‚‹ã‚ã‘ã«ã¯ã„ã‹ãªã„ã®ã§ç„¡åŠ¹ã¨ãªã£ãŸè¨¼æ˜Žæ›¸ã®ãƒªã‚¹ãƒˆã‚’CAã‹ã‚‰ç™ºè¡Œã—ã¦ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆè¨¼æ˜Žæ›¸ã®æ¤œè¨¼ã‚’ã™ã‚‹Webサーãƒã«é…布ã—ã¾ã™ã€‚ 1.証明書ã®å¤±åŠ¹ ã•ã£ããã€è¨¼æ˜Žæ›¸ã‚’失効ã—ã¾ã™ã€‚ CAã§ç™ºè¡Œã—ãŸè¨¼æ˜Žæ›¸ã‚’使ã£ã¦CAã§å¤±åŠ¹æ‰‹ç¶šãã‚’ã™ã‚‹ã“ã¨ã«ãªã‚Šã¾ã™ã€‚ -revokeオプションã®ã‚ã¨ã«ã€CAãŒç™ºè¡Œã—ãŸè¨¼æ˜Žæ›¸ã‚’指定ã—ã¾ã™ã€‚
SSL用証明書ã®ä½œæˆ(Windowsç·¨)
Windows環境ã§opensslã«ã‚ˆã‚‹å„種ã®éµã‚„証明書ã®ç™ºè¡Œã«ã¤ã„ã¦æ•´ç†ã—ã¾ã—ãŸã€‚ Linuxç³»ã¯çµæ§‹ã„ã‚ã„ã‚ãªã‚µã‚¤ãƒˆã§ç´¹ä»‹ã•ã‚Œã¦ã„ã¾ã™ãŒã€Windowsã«ã¤ã„ã¦ã¯ç’°å¢ƒãŒç•°ãªã‚‹ã“ã¨ã‹ã‚‰ãªã‹ãªã‹ãã®ã¾ã¾ã§ã¯ã†ã¾ãã„ãã¾ã›ã‚“。ãŠã‚„ã˜ã‚‚何度ã‹ãƒˆãƒ©ã‚¤ã—ã¦ã¯å¤±æ•—ã—ã¦ããŸã®ã§ã€ã“ã“ã§æ•´ç†ã—ã¦ãŠãã“ã¨ã«ã—ã¾ã—ãŸã€‚今回ã¯ã€ãŸã¾ãŸã¾BBSã§ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆè¨¼æ˜Žæ›¸ã«é–¢ã™ã‚‹è©±é¡Œã‚‚ã‚ãŒã£ã¦ã„ãŸã®ã§ã€ãã‚Œã«ã¤ã„ã¦ã‚‚æ•´ç†ã—ã¾ã—ãŸã€‚ ãã®å¾Œã€åˆã‚ã«æ•´ç†ã—ãŸæ–¹æ³•ã§ã¯ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆãŒInternetExploreã§ã¯å•é¡Œãªã„ãŒã€Netscape ã§ã¯ã†ã¾ãインストールã§ããªã„ã“ã¨ãŒåˆ¤æ˜Žã—ã¾ã—ãŸã€‚ã¾ãŸã€ä¸‡ãŒä¸€ã®å ´åˆã®è¨¼æ˜Žæ›¸ã®å¤±åŠ¹å‡¦ç†ã‚‚é…布ã•ã‚Œã¦ã„ã‚‹opensslã®ãƒã‚¤ãƒŠãƒªã«ãƒã‚°ãŒã‚ã‚Šã€index.txtãŒå£Šã‚Œã‚‹ã¨ã„ã†å•é¡ŒãŒã‚ã‚Šã†ã¾ãã§ããªã„ã“ã¨ãŒåˆ¤æ˜Žã—ã¾ã—ãŸã€‚ã„ã‚ã„ã‚探ã—回ã£ãŸã®ã§ã™ãŒã€æœ€æ–°ã®ãƒã‚¤ãƒŠãƒªãŒã©ã†ã—ã¦ã‚‚見ã¤ã‹ã‚‰ãªã‹ã£ãŸ
opensslコマンドtips — ã‚ã‚Šãˆã‚‹ãˆã‚Šã‚
opensslコマンドtips å…ƒã¯ã€AirOneã®ã‚»ã‚ュリティ関連ã®ãƒ•ã‚¡ã‚¤ãƒ«ã®èª¬æ˜Žæ–‡æ›¸ã§ã™ã€‚ opensslコマンドã®tips文書ã¨ã—ã¦ä½¿ãˆã‚‹ã®ã§ã€ã„ãã¤ã‹è¿½è¨˜ã—ã¦ã€å…¬é–‹ã—ã¾ã™ã€‚ * PKI関連 ========= ** identity.pem(秘密éµãƒ•ã‚¡ã‚¤ãƒ«) ** cert.pem(証明書ファイル) AirOneã®èµ·å‹•æ™‚ã«identity.pemã¨cert.pemã®æ•´åˆæ€§ãƒã‚§ãƒƒã‚¯ã‚’è¡Œã„ã¾ã™(airu_cert_validate())。 ãƒã‚§ãƒƒã‚¯é …ç›®ã€ã‚¨ãƒ©ãƒ¼ã‚³ãƒ¼ãƒ‰ã€è§£æžæ–¹æ³•ã‚’説明ã—ã¾ã™ã€‚ ãƒã‚§ãƒƒã‚¯é …ç›® ------------ 1. cert.pemãŒx509ã®ãƒ•ã‚©ãƒ¼ãƒžãƒƒãƒˆã‹? エラーコード: #0301005 解æžæ–¹æ³•: openssl x509 -text -in cert.pem ã§ã‚¨ãƒ©ãƒ¼ãŒã§ãªã„ã“ã¨ã€‚ 2. identity.pemãŒå…¥åŠ›ãƒ‘スワードã§èªã‚ã‚‹ã‹? エラーコード:
OpenSSLを使ã£ãŸCAã®æ§‹ç¯‰
CAを構築ã™ã‚‹ã¨ã¯ã‚µãƒ¼ãƒã‚„クライアントèªè¨¼ã®ãŸã‚ã®è¨¼æ˜Žæ›¸ã‚’ 発行ã™ã‚‹ã“ã¨ãŒã§ãるよã†ã«ã™ã‚‹ã“ã¨ã‚’æ„味ã—ã¾ã™. 誤解ã—ã¦ã¯ãªã‚‰ãªã„ã®ã¯ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯ã‚µãƒ¼ãƒã®ã‚ˆã†ã« ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯ã«æŽ¥ç¶šã•ã‚ŒãŸãƒ›ã‚¹ãƒˆã®ç‰¹å®šã®ãƒãƒ¼ãƒˆã§æŽ¥ç¶šã‚’å¾…ã¡å—ã‘ã¦ã€ クライアントãŒãã“ã«æŽ¥ç¶šã—ã¦ã€ã‚³ãƒžãƒ³ãƒ‰ã‚’発行ã—〠çµæžœã‚’å¾—ã‚‹ãŸã‚ã®ã‚µãƒ¼ãƒã‚’作るã‚ã‘ã§ã¯ãªã„ã¨ã„ã†ã“ã¨ã§ã™. 確ã‹ã«ä¾é ¼è€…ã‹ã‚‰CSRã‚’å—ã‘å–ã‚Šã€ãã‚Œã«åŸºã¥ã„ã¦è¨¼æ˜Žæ›¸ã‚’ 発行ã—ã¾ã™ãŒã€ã“ã®å—ã‘渡ã—ã®ãŸã‚ã®æ‰‹é †ãŒå®šã‚られã¦ã„ã‚‹ ã‚ã‘ã§ã¯ã‚ã‚Šã¾ã›ã‚“。WWWã®CGIã§å—ã‘渡ã—ã‚’è¡Œã£ã¦ã‚‚〠メールã§æ‰‹å‹•ã§é€ã£ã¦ã‚‚よã„ã‚ã‘ã§ã™ã€‚ ã“ã®éƒ¨åˆ†ã¯è¦ç´„ãŒã‚ã‚‹ã‚ã‘ã§ã¯ã‚ã‚Šã¾ã›ã‚“。 èªè¨¼å±€ã‚’構築ã™ã‚‹ã®ã«å¿…è¦ãªã®ã¯ã€éµãƒšã‚¢ã‚’作りã€è¨¼æ˜Žæ›¸ã‚’作る ソフトウェアを用æ„ã™ã‚‹ã“ã¨ã€ã¾ãŸæ§‹ç¯‰ã™ã‚‹èªè¨¼å±€è‡ªèº«ã® CA証明書を作るã®ã«å¿…è¦ãªã‚‚ã®ã‚’作æˆã™ã‚‹ã“ã¨ã§ã™ã€‚ OpenSSLã®ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ« インストールã¯ç°¡å˜
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
インストール
openssl -- OpenSSL command line tool
Citrix Login
IBM Developer
http://mars.elcom.nitech.ac.jp/security/openssl/ca.html
{{#tags}}- {{label}}
{{/tags}}