運用するサイトのアクセスを制限する方法としては、サイトにパスワード認証をかける方法の他に、クライアント証明書を使って制限する方法があります。
クライアント証明書の発行には、商用サービスを利用することもできますが、自己署名CA局を設置し、自分で発行した証明書を使って運用することも可能です。
この場合、A) 自己署名CA局の秘密鍵の管理、B) 発行したクライアント証明書の失効処理、C) クライアント証明書自身の管理(申請者に確実に渡ること、コピーされて利用されないようにすること)などの管理が必要です。
この記事では、自己署名CA局を立ち上げて、自分でクライアント証明書を発行する方法について説明します。
1 CA局の設置
1)/etc/pki/tlsのopenssl.cnfの編集
①証明書の有効期間を伸ばすため、以下のパラメータを変更する
default_days = 3650 # how long to certify for
②証明書を発行する際に入力する発行者の情報をいちいち入力しなくても済むように[ req_distinguished_name ]以下の情報を編集する(オプション)
③[ usr_cert ]の以下のパラメータを設定変更する
basicConstraints=CA:TRUE
nsCertType = sslCA
keyUsage = cRLSign, keyCertSign
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid