3

Web ブラウザーで使用するクライアント証明書をエクスポートしようとしています。

目標は、<Location> ディレクティブを使用して管理領域へのアクセスを制限することです。自己署名 CA の使用に関する多数のチュートリアルを見てきました。サードパーティを使用してこれをどのように行いますか?

1) 信頼されたルート CA の場合、CA をクライアント pfx に含める必要がありますか? 私は両方の例を見てきました。

CA なし:

openssl pkcs12 -export -inkey KEYFILENAME -in CERTFILEFILENAME -out XXX.pfx

CA の場合:

openssl pkcs12 -export  -in my.crt- inkey my.key -certfile my.bundle -out my.pfx

2) httpd.conf セットアップに信頼できる CA の SSLCACertificateFile を含める必要がありますか?

SSLVerifyClient none
SSLCACertificateFile conf/ssl.crt/ca.crt
<Location /secure/area>
SSLVerifyClient require
SSLVerifyDepth 1
</Location>

http://www.modssl.org/docs/2.8/ssl_howto.html#ToC8

4

1 に答える 1

5

サードパーティの CA 署名付き証明書を使用してクライアント証明書を発行することはできません。クライアント証明書の発行には自己署名 CA が必要であり、この CA を次のように指定する必要があります。SSLCACertificateFile

サンプル:

    SSLCertificateFile /etc/apache2/ssl/apache.cer # site certificate signed by verisign
    SSLCertificateKeyFile /etc/apache2/ssl/apache.key # site key for certificate signed by verisign
    SSLCACertificateFile /etc/apache2/ssl/apachelca2.pem # your self signed CA

キーと証明書の両方が含まれていることに注意してくださいapachelca2.pem...クライアント証明書を発行するコマンドライン:

openssl req -config /usr/share/apache2/ssleay.cnf -new -key client.key -out client.csr

openssl x509 -req -days 365 -CA /etc/apache2/ssl/apachelca2.pem -CAkey /etc/apache2/ssl/apachelca2.pem -CAcreateserial -in client.csr -extfile /usr/share/apache2/ssleay.cnf -extensions v3_req -out client.crt
于 2009-10-24T09:23:49.683 に答える