*

PHPki で簡単証明書運用 (4) 【作成した証明書を管理する】

公開日: : FreeBSD, PHP, PHPki

Seichanです.こんばんわ.
先日の「PHPki で簡単証明書運用 (3) 【署名されたサーバ証明書を作る】」の続きです.
今回はタイトルのとおり,証明書の管理について纏めます.
どんなものでもそうですが,管理が一番大事です.ましてや証明書ですからより慎重に行いましょう.

 SPONSORED LINK
 

管理画面へアクセス

証明書の作成と同様,Apacheの Alias で設定した URL に /ca をつけてブラウザでアクセスしてください.この画面は以前もアクセスしていると思いますので,認証を通過しログイントップより解説します.
こんな感じのログイントップ画面が表示されれば管理画面アクセスは完了です.

phpki013

証明書の管理

管理画面メニューの「Manage Certificates」をクリックすると,証明書の管理を行うことができます.
証明書管理画面は次の画面となります.

phpki015

右側に4つのアイコンが用意されており、それぞれ次の作業で使用します.

  1. 虫眼鏡
    選択した証明書の詳細内容を表示する
  2. ダウンロード
    選択した証明書を証明書形式を指定してダウンロードする
  3. 無効化・失効
    選択した証明書を失効させ,証明書失効リストに失効情報を記載する
  4. 更新
    選択した証明書の有効期限を更新する

証明書の詳細内容を表示する

虫眼鏡アイコン」をクリックすると、次のように詳細情報を表示できます.

phpki016

管理画面のトップで表示されるサマリはあまり多くの情報が載っていませんので,証明書の失効や更新を行う前にここで詳細情報を確認しましょう.
主な確認ポイントは次のとおりになるかと思います.

  • Serial Number

この画面上では「1048578 (0×100002)」が該当します.通常は意識することはありませんが,失効した場合のCRL(証明書失効リスト)は失効した証明書のシリアル番号で管理されますので,失効させたい場合は意識した方が良いでしょう.

  • Issuer

PHPki で管理している以上,PHPki の Root CA が載りますので,これも通常意識する必要はありませんが,きちんと PHPki の Root CA で署名されていることを確認しておきましょう.

  • Certificate purposes

証明書の種類がここでわかります.SSLサーバ証明書の場合は「SSL Server」と「Netscape SSL Server」が「Yes」になります.
証明書を多数管理すると,場合によっては同じホスト名で複数の証明書を作成することになります.その場合,失効,更新を行う際に間違って意図しない証明書を操作してしまう可能性が出てきますので,実施しようとしている証明書なのか,必ず確認しましょう.

参考までに,Certificate purposes はこのような形でリストされています.

SSL client : No
SSL client CA : No
SSL server : Yes
SSL server CA : No
Netscape SSL server : Yes
Netscape SSL server CA : No
S/MIME signing : No
S/MIME signing CA : No
S/MIME encryption : No
S/MIME encryption CA : No
CRL signing : No
CRL signing CA : No
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : No

証明書のダウンロード

ダウンロード」アイコンをクリックすると,このような画面に移動します.

phpki017

証明書作成時に PEM 形式でダウンロードすることが出来ましたが,ダウンロードを忘れた場合や他の形式でダウンロードしたい場合,ここから実施します.ダウンロード出来る証明書タイプは次のとおりです.

  • PKCS#12 Bundle

PKCS#12 は IIS や Java の証明書として利用される形式で,秘密鍵と証明書を1つのファイルに格納する形式です.Apache では扱えません.Apache で扱うには PKCS#12 を PEM に変換する必要がありますので,最初から PEM で取得したほうがはやいです.

  • PEM Certificate

PEM 形式の証明書です.ダウンロードするファイルには証明書のみが含まれます.

  • PEM Key

PEM 形式の秘密鍵 (Private Key) です.ダウンロードするファイルには秘密鍵のみが含まれます.

  • PEM Bundle

PEM 形式の秘密鍵と証明書です.ダウンロードするファイルには秘密鍵,証明書の順番で含まれます.

  • PEM Bundle w/Root

PEM 形式の秘密鍵と証明書,および CA 証明書が含まれます.ダウンロードするファイルには秘密鍵,証明書,CA 証明書の順番で含まれます.

PKCS#12 は形式として秘密鍵と証明書がセットになっていますので悩む必要はないとおもいますが,PEM 形式は無駄に複数の方法があります.こちらは利用形態に合わせてダウンロードすることになります.
一番手っ取り早いのは「PEM Bundle w/Root」でダウンロードすることです.秘密鍵と証明書を分けたい.という場合は必要に応じて,後でファイルを分割することで対応が出来ますので,都度取得や配布の手間がありません.

また,運用として秘密鍵と証明書を明示的に分けて依頼者に渡したい.というような場合は「PEM Certificate」と「PEM Key」のそれぞれをダウンロードして提供する.という形になります.

最終的にはどのような運用を行うのか.を検討したうえでダウンロード方法を決定して頂ければ問題はないでしょう.

証明書の失効

失効」アイコンをクリックすると,このような画面が表示されます.

phpki018

単純明快で「Yes」もしくは「Cancel」しかありません当然「Yes」をクリックすると失効してしまいます.

しかし,理解しておく必要がある点として,失効したからといってもその失効した証明書が有効なのか無効なのかをリアルタイムにクライアントは判断できません
CRL(証明書失効リスト) をクライアントに配布するか,各自取得してもらうか.などのアクションを取って明示的にCRLを更新するまでは,有効なものとして扱われます.

従って,どのようにCRLの更新を行うのか.の運用方法はあらかじめ検討しておく必要があります

とは言え,後述の「証明書の更新」に詳細を書きますがリアルタイムで CRL の更新・配布する仕組みを作ってしまうと PHPki の場合は運用が破たんしてしまいます…

証明書の更新

更新」アイコンをクリックすると,このような画面が表示されます.

phpki019

Certificate Password」に証明書作成時のパスワード(CA 証明書ではなく,更新する証明書のパスワード)を入力,「Certificate Life」で更新する有効期間を選択し「Submit Request」ボタンをクリックすることで期限が更新された証明書が作成されます

注意点として,新しい証明書が作成された段階で既存の証明書は失効されてしまいます.従ってCRL(証明書失効リスト)をどのように配布するのか.をあらかじめ検討しておく必要があります.

また,合わせて注意しなければならない点があります
本当に注意する必要があると思いましたので,大きくしてみました…

間違ったパスワードを入力して証明書の更新を試みた場合,新しい証明書が作成出来ないのは当然として,既存の証明書も失効されてしまいます

ですので,その場合はあらためてすぐに,失効した証明書から更新をかけて正しい証明書を作成する必要があります.
その為,上述の「証明書の失効」のところでリアルタイムにCRLを更新・配布する仕組みがあると破たんすると書いています…

この動きはどうなんだ? と思うのですが…

以上,証明書の管理でした.次は CRL と PHPki のアカウント管理ついて書こうと思います.

SPONSORED LINK
  ☆ ブログランキング参加しました (*≧∀≦)ノシ
にほんブログ村 IT技術ブログ FreeBSDへ 

関連記事

no image

5.3-RELEASE から RC に…

FreeBSD-5.3-RELEASE がもう少しで出るなぁ〜 と思っていたら,cvsweb を見た

記事を読む

no image

RBL は使ってはならない

Seichan です.毎度様です. 最近めっきり使う人がいなくなったと思っていたのに,いまだ使ってい

記事を読む

no image

FreeBSD 5.3-RELEASE がリリース

突然,5.3-RC1 に戻った,前回のリリース騒ぎ.今回はきちんとリリースされ,アナウンスされた.

記事を読む

no image

qmail

qmail も ports から入れてみた. いつも当てているパッチが Makefile 自動化と言

記事を読む

no image

CVSup と GEOM

FreeBSD で atacontrol を使いこなしてみる? を公開した前後,GEOM 関連を色々

記事を読む

no image

UPS

UPS 買いました.APC の ES 500. 前々から買いたいと言うか,必要だと思ってはいたのです

記事を読む

FreeBSD

FreeBSD で NFS (4) 【NFSクライアントとマウントオプション】

Seichan です.こんばんわ. 前回「FreeBSD で NFS (3)」までは NFS Se

記事を読む

FreeBSD

GEOM 再学習

Seichan です.こんばんわ. 最近,GEOM (modular disk I/O reque

記事を読む

no image

Pentium3

昨日,あきばに行って中古の Pentium3 800MHz を2つ買ってきました. 理由は… Pen

記事を読む

no image

ネットワーク環境を変えたのは前のエントリに言及してますが,不具合があったら連絡をぷりーづ. > お友

記事を読む

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Google Adsense

ssl_icon
PHPki で簡単証明書運用 (5) 【管理ユーザのメンテナンスとCRLの取得】

Seichanです.こんばんわ. いつものとおり,だいぶ日が経ってし

ssl_icon
PHPki で簡単証明書運用 (4) 【作成した証明書を管理する】

Seichanです.こんばんわ. 先日の「PHPki で簡単証明書運

ssl_icon
PHPki で簡単証明書運用 (3) 【署名されたサーバ証明書を作る】

Seichan です.こんばんわ. さて,先日の「PHPki で簡単

ssl_icon
PHPki で簡単証明書運用 (2) 【初期設定と Root CA 証明書作成】

Seichan です.こんばんわ. さて,先日の「PHPki で簡単

ssl_icon
PHPki で簡単証明書運用 (1) 【PHPki の修正と導入 (修正版)】

Seichan です.こんばんわ. 先日「PHPki で簡単証明書運

→もっと見る

PAGE TOP ↑