- - PR -
クライアント証明書はどこがよいでしょう?
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-12-02 14:13
こちらの板の方ハジメマシテ、るーさまと申します。 会社でSSLを用いた通信の一環としてクライアント認証を実装することになりました。 サーバ側の証明書はベリサイン等たくさんあるようなのですが、 クライアント側の証明書はあまりネットでも見かけず、提案に苦労しています。 (ベリサインのマネージドPKIは高すぎて論外の状況です) 過去ログ等でも結構ですので、法人で使えそうなクライアント証明書をご存知でしたら 教えていただければと思います。 Windows Server 2003 (IIS6.0) を用いてウェブサーバを構築しているので、 やっぱりCAを立ててやるべきなのでしょうか・・・? | ||||
|
投稿日時: 2004-12-06 23:25
ナルと申します。はじめまして。
どこのクライアント証明書にするか、どれくらいのユーザ数なのか、どのような用途なのかを十分に検討する必要があると思います。 例えば、社内での利用だけであれば Windows Server 2003などに標準でついてくるMicrosoftのCAでも十分かもしれません。 しかし、将来的には拡張して社外とのメールにS/MIMEをするためにも使用したいということであれば、色々なメーラにルートCAが組み込まれているVeriSignが高価であってもいいと思います。 | ||||
|
投稿日時: 2004-12-10 09:21
ナル様、返信が遅れまして大変申し訳ございません。
顧客のWebアクセスコントロールにしか用いない上に、 利用するユーザー数も100には満たないので、余計に悩んでしまうのです。 (これだったらCAを立てても良いような・・・) ただ、保証面においてはお金を賭けた方が確実であると言われてしまったのです。 Webのアクセスコントロールに証明書を用いるやり方はメジャーではないのでしょうか? | ||||
|
投稿日時: 2004-12-10 09:33
unibon です。こんにちわ。
大手では野村證券の「野村ホームトレード」が古くからクライアント証明書を使っています。 (なおクライアント証明書を使わないアクセス方法もユーザーが選べます。) 証明書のパスを見ると独自のCAでやっているような。私は見方が良く分かりませんが... 
まあ、選択肢が複数あれば、お金が、より、かかる方に向かうのは世の常ですけど。 | ||||
|
投稿日時: 2004-12-10 22:19
ナルです。こんばんわ。
Webのアクセスコントロールに証明書を用いる方法は今では珍しいことではありませんよ。 少し気になるのは、『顧客のWebアクセスコントロールに用いる』という点です。 この場合にはお客様はインターネットを介してWebに接続するという利用方法ではないかと想定していますが、そういう場合にはルートCAの証明書の配布方法が問題になることがあります。 自社でCAを独自に立てた場合には、そのルートCA証明書をインターネットを経由してお客様のPCに信頼する証明書として取り込んでもらわなければいけません。その際に如何に安全な方法でルートCA証明書とお客様に発行した証明書を配布するかがポイントになりますし、リスクを背負うことになってしまいます。 逆にVeriSign社などCAを使用した場合には、すでにWebブラウザなどに組み込まれていますから、そのような心配は無用です。 お金をかければ安全なシステムとなると思います。『保証面においてはお金を賭けた方が確実である』というのも、この点などを考慮した指摘かもしれません。 # 断っておきますが、私はVeriSign社の差し金ではありませんので。 | ||||
|
投稿日時: 2004-12-10 23:10
クライアント証明書を発行する場合、できあがった証明書をクライアントに取りに来てもらい、
さらに証明書ストアにインストールしてもらう必要があります。 Verisign のマネージメント PKI の場合、技術的にどうやっているのかよくわかりませんが、 取りに行ったときに、Web 経由でインストールされるようになっていたと思います。 そういう点で手間が顧客側の手間は少し軽くなるでしょうし、配布側もいちいち証明書を作成したりする必要がないため、手間が軽くなるでしょう。 逆にその手間を惜しまないということでしたら OpenSSL などで証明書を発行しても全く問題ないと思います。(サーバ証明書はダメです) 実際のところは、クライアント認証はCAの管理が大変ということや、 公開鍵暗号方式に関する専門知識がいくらか要求されることもあってか、 よほどサーバ上で公開されている情報が部外者に漏れて困る場合を除いては、 SSLサーバ認証+ベーシック認証が用いられているように思います。 ちなみにクライアント認証をするのに、クライアント側はその証明書に対するルート証明書を持っている必要はなかったと思います。(サーバ側が必ず持っているため) | ||||
|
投稿日時: 2004-12-13 11:47
unibon様、ご返信ありがとうございます。
野村ホームトレードのHP見てみました。確かに証明書使っていますね。 証券系のページでは珍しいとのことですが、少しだけ自信(何の?)がつきました。 でも、やっぱり独自ですか・・・。 ナル様、こんにちは。 ローカルでCAを運営するとルートCAの配布が問題となるのですよね。。 確かメディアに格納して手動でルートCAのインストールも出来たと思うのですが、 数が多くなるとそれも辛い・・・。オンラインは仰る通りセキュリティが・・・。 手間を掛ければ低コスト、信頼性をとれば高コスト。悩ましいところです。 でも、比較するためにもっと多くのクライアント証明書の販売企業を知りたいのです。 あんとれ様、はじめまして。 Webでの個人ストアへのインストールは、Win 2003の証明機関でも出来たと思いますが・・・。 どちらにせよ、証明書の発行は手動で行わなければなりませんよね。。 OpneSSLはローカルCAを立てる時に参考にさせて頂きます。情報提供ありがとうございます。 > 実際のところは、クライアント認証はCAの管理が大変ということや、 > 公開鍵暗号方式に関する専門知識がいくらか要求されることもあってか、 > よほどサーバ上で公開されている情報が部外者に漏れて困る場合を除いては、 > SSLサーバ認証+ベーシック認証が用いられているように思います。 ウチの会社はあんとれ様と同意見なのですが、 顧客側が証明書によるクライアント認証を希望していまして・・・。 で、示しをつけるには大手のものを利用したほうが良いだろうという結論に至ったのです。 どこかにクライアント認証の紹介(広告)のページってないんでしょうか? | ||||
|
投稿日時: 2004-12-14 09:27
クライアント証明書の紹介ページというのは見たことは無いのですが、
クライアント証明書関連のサービスでは、VeriSign以外では下記の3社が行っていた覚えがあります。 しっかりと調べたわけではないのでRootCAがどこなのかはわかりませんが、たぶんWindowsにはデフォルトで入っているのではないでしょうか。 ご参考になれば幸いです。 NTTコミュニケーションズ http://www.blade-ntt.com/certificate/index.html セコムトラストネット http://www.secomtrust.net/service/ninsyo/formem.html#03 インテックコミュニケーションズ http://www.einspki.jp/service/public_client/index.html | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。