クライアント証明書付きのSSL

-
仕事でクライアント証明書付きのSSL通信を行うことになったので勉強中。

サーバはIIS7.5。

まずサーバ証明書が必要。実験用としては「インターネットインフォメーションサービスマネージャー」の「サーバー証明書」をクリックし、「自己署名入り証明書の作成」から作成する。CNは「接続」ペインに書いてあるサーバ名になるので注意。

次に名前解決。上記サーバ名で名前解決できないならクライアント側のHOSTSファイルにサーバ名とIPアドレスを記述して名前解決できるようにしておく。

次にクライアント証明書を作る。この手の解説サイトは色々あるけどわかったようなわからんような。今回は以下のサイトの記述をパクる。

http://linuxconfig.org/apache-web-server-ssl-authentication

まじめにcrlDistributionPoints(廃棄リスト配布ポイント)が記述されているが、そんなものは用意していないのでコメントアウト。
クライアント証明書をブラウザ以外でも使用するのでclient.keyとclient.cerは削除せずに残しておく。


これで作ったCA証明書であるca.cerをサーバ側のPCの「信頼されたルート証明機関」にインストールする。必ずmmc.exeを実行し、証明書スナップインを「コンピュータアカウント」で実行し、ここから「信頼されたルート証明機関」にインポートする。


クライアント証明書はIEのインターネトオプションの「コンテンツ」タブの「証明書」ボタンを押し、「インポート」ボタンを押してclient.p12ファイルを選択する。自動的に「個人」タブに入る。


念のためIEのキャッシュとSSLキャッシュをクリアし(「SSL状態のクリア」を押す)https://hogehoge/でアクセスする。これで成功した。


次にLinuxマシンからwgetで試してみる。こちらは面倒なのでサーバ証明書はチェックせず--no-check-certificateを指定しておく。クライアント証明書は--certificateオプションでclient.cerを、--private-keyオプションでclient.keyを、--ca-certificationでca.cerを指定する。具体的には以下のようになる。


> wget https://hogehoge/ --no-check-certificate --certificate=client.cer --private-key=client.key --ca-certificate=ca.cer


無事index.htmlが取得できるはず。


最後はjavaでクライアント証明書を送る。

コメント

コメントを投稿

このブログの人気の投稿

ST-M310 シフトレバーのカバー開け

-
イメージ
通勤用のCylva F24のリアディレイラーの変速の調子が悪いので調整した。完ぺきではないし、購入してからもうすぐ2年、走行距離は5000Kmは超えているはずなのでシフトケーブルも見てみたいと思い、シフターの分解をやってみる。 マニュアルはこちら。 https://si.shimano.com/pdfs/dm/DM-SL0001-09-JPN.pdf 20ページがALTUS、つまりST-M310のはず。 ねじを外せば太鼓部分を隠しているカバーが取れるように見えるけど、自分の場合二つ問題が。 一つ目はカバーがブレーキレバー部分にぶつかって取れない。Cylva F24についているシフターはブレーキレバーと一体型になっている。型番はよくわからない。マニュアルはシフターのみしか書いていないので、蓋が簡単に取れるように見えるけど、ブレーキ部分にぶつかって上には外れない。結局ブレーキ部分に当たる側をマイナスドライバーで側面の高さ分持ち上げた。 二つ目は爪の存在が説明されていない。マニュアルにはひっかけ部分の説明があるけど、そもそもインジケーターの裏が爪になっていてカバーが引っ掛かっている。この爪は真ん中に3mmぐらいの間があるので、ここにマイナスドライバを突っ込んでてこの原理で無理やり開ける必要がある。 カバーを外すとたぶんインジケーターが吹っ飛ぶけど、これは見れば直す方法はわかる。 で、中身を確認したけどきれいなもんでさびなどないし、ワイヤーの切れ・ほつれもなかった。
続きを読む

Ride with GPSで作成したルートのgpxファイルとOruxMapsの関係

-
イメージ
Ride with GPSのAndroidアプリによるナビゲーションはOruxMapsと比較して告知がしつこくない。設定があまり多くないので仕方がないが、キューシートのポイントに対して一回しかアナウンスがない(もう一回ぐらいあるかな?)。またルート外に出た場合は地味な警告音と文字の通知しかない。 OruxMapsだと、ポイントの何メートル前で警告を出すか、最大何回出すか指定できる。街中だとうるさいぐらいしつこくアナウンスが出る。同様にルート外に出た場合も、しつこくしつこくアナウンスが出る。 たぶんブルベだとこれぐらいしつこい方がミスコースをなくすためにはいいと思う。 そうすると、Ride with GPSで作成したルートを使ってOruxMapsでナビゲーションするのがよい。 色々試した感じではGPXトラックのExportで、経路マーカーとしてPOIを含めると経路マーカーとしてキューを含めるをチェックすると、POIとキューがgpxのWayPointとしてExportされる。 キュー キューはWayPointとしてExportされる。RWGPSの「種類」として選んだものがnameに入り、注記に入れたものがdescとcmtに入る。   <wpt lon="139.5624979" lat="35.5408905">     <name>Straight</name>     <cmt>PC1</cmt>     <desc>PC1</desc>     <sym>Dot</sym>     <type>Dot</type>   </wpt>   POI POIの名前として入力したものはnameに入る。 <wpt lon="139.60360027326055" lat="35.565638161972615"> <name>フオトチェック</name> <sym>Dot</sym> <type>Dot</type> </wpt> OruxMapsの発話設
続きを読む

UbuntuのpostfixでGmailにメールを転送する

-
自宅のFAX受信の調子が悪いので、FAXモデムを導入し、UbuntuのNASサーバで受信し、FAX内容はメールで自分と嫁さんの端末に送る作戦を実施する。 まずはpostfixを入れて、Gmailにメールを転送できるようにする。いろいろハマったので、メモっておく。 Ubuntu 20.4だとおおむね以下のページが正しい。自分はうまくいった。 https://blog.apar.jp/linux/14381/#toc6 インストール時のConfigurationはInternet SiteでOK。 以下の設定をmain.cfに追加。 relayhost =  ↓ relayhost = [smtp.gmail.com]:587   inet_interfaces = all  ↓ inet_interfaces = loopback-only   #(↓以下を最終行に追加) smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/gmail smtp_sasl_security_options = noanonymous smtp_sasl_tls_security_options = noanonymous smtp_sasl_mechanism_filter = plain smtp_use_tls = yes 上記/etc/postfix/gmailに相当するファイルも作っておく。  
続きを読む