クライアント認証の実現

クライアント認証とは

作業の手順

クライアント認証を行うにはCAに鍵ペアとクライアント証明書を作ってもらい、 それをクライアントのプログラムに組み込むことが必要です。

作業の手順

apacheのクライアント認証 SSLCACertificatePath クライアント認証で利用する クライアント証明書を発行する認証局の証明書を格納する SSLVerifyClient  クライアントに対してどのような認証を要求するかを設定します。この項目は0〜3の数字となり、それぞれ以下のような認証を意味します。 0:認証しない 1:信頼されているCAが発行した証明書を持っているクライアントのみ受け入れる 2:クライアントは、サーバに信頼されているCAによる証明書を提出しなければなりません。 3:クライアントは証明書を提示して認証を受けることができます。この場合の証明書は、サーバに信頼されているCAでなくても問題ありません。 SLFakeBasicAuth  通常のパスワード認証のかわりに、証明書のクライアント識別子(DN:Distinguished Name)を用いた認証をないます。クライアント証明書によるアクセスコントロールを行なう場合にこれを指定します

自己署名型証明書を使う方法

サーバの管理者がCAを兼ねている場合は、自己署名型の証明書を使う場合は 以下の処理だけでサーバ認証がようにもっと簡単です。

処理内容処理する人
鍵ペアと自己署名型証明書を作るCAの管理者
秘密鍵と証明書をサーバに組み込むサーバの管理者

サーバの認証が不要でSSLによる暗号化通信の機能だけでよいという場合は これでとりあえず実現できます。

 

Copyright (C)2001 Takeshi FUJIKI