2016年1月25日月曜日

証明書の失効リスト(CRL)でハマる | ライタス株式会社

答えを知っていれば、大した話ではないのですが、
知らなかったために、かなりハマったお話です。


オレオレクライアント証明書(自前CAで作成した証明書のこと)を利用して個人認証をされているWEBサイトがありました。
サーバーをリプレースするとのことだったので、
新たにサーバーを作って、WEB機能を移行したのですが、
クライアント証明書が思うように認証されません。


原因が最初サッパリだったのですが、
チェックするべき重要なポイントが2箇所ありました。

1. ルート証明書
2. 失効リスト


1つめは、サーバーにルート証明書を入れ忘れただけの話だったのですが、
オレオレ証明書の場合は、特に要注意ですね。
普通(?)の公認CAで出力された証明書は、最初からサーバーにインストールされていることが多く、
見落としがちなので、注意が必要かと思います。

2つめは、証明書の仕組みを知っていれば、気がつくポイントの一つですが、
見かけ上の振る舞いでは、気が付かない事が多いのです・・・

今回は、Windows CAで証明書を作成したのですが、デフォルトの設定では、
CRLが、自動埋め込みになっているので、設定を変えてあげないと、使える証明書になりませんのでこちらも要注意ですね。


CRLを編集する方法は以下に記載があります。
http://technet.microsoft.com/ja-jp/library/cc753296(v=ws.10).aspx



今回は、証明書を入れたPCからWEBサイトを参照したところ、403.13 Forbittenが出たので、
分かったことですが、気が付かないままの可能性もあったので、ヒヤッとしました。

http://support.microsoft.com/kb/294305/ja
|


本記事は、弊社代表のブログ記事なんでもIT屋の宿命からの転載です。

0 件のコメント:

コメントを投稿