この特集のトップページへ
Chapter 8:プレゼンテーション層の構築

head2.gif8.3.3 クライアント証明書を使った認証
 SSLによる暗号化機能を有効にすると,クライアント証明書を使った認証を実現できる。

 クライアント証明書とは,ユーザーを識別するデジタルデータのことである。クライアント証明書を使うと,ユーザー名とパスワードを入力する一般的なユーザーの識別法よりも,厳格にユーザーを識別することができる。

 クライアント証明書は,ユーザーが申請した情報を証明機関(公的証明機関や証明書サービス)の秘密鍵で暗号化したものである。ユーザーが申請する情報には,ユーザー名,メールアドレス,会社名,住所などがある。クライアント証明書は,サーバー側にSSLで暗号化して送付されるので,途中で偽造されることはない。また,クライアント証明書は,Webブラウザにインストールされるので,ユーザーはアクセスのたびにログオン名やパスワードを入力するのではなく,どのクライアント証明書をサーバーに送信するのかを選択するだけでよい。つまり,クライアント証明書は,IDカードのような一種の身分証明書に相当する(Fig.8-93

Fig.8-93 クライアント証明書
fig8_93

●クライアント証明書の作成とインストール
 クライアント証明書を作成してインストールする手順は,(1)「クライアント証明書の要求」の作成ならびに発行依頼,(2)証明機関による発行処理,(3)発行されたクライアント証明書のインストール,という3段階である。

 先に説明したように,クライアント証明書はサーバー側にインストールするものではなく,クライアント側にインストールするものである。よって,証明機関による発行処理以外は,すべてクライアント側のWebブラウザで操作する。

○「クライアント証明書の要求」の作成ならびに発行依頼
 クライアント証明書を取得するには,「クライアント証明書の要求」を作成し,それを証明書サービスに送付して発行を依頼しなければならない。そのためには,Webブラウザを使って,“http://証明書サービスがインストールされているサーバー名/CertSrv/”を開き,[証明書の要求]を選択して[次へ>]ボタンを押す(Fig.8-90を参照)。

One Point!クライアント証明書はサーバー証明書と同様,証明書サービスを使うではなくVerisignなどの公的証明機関を通じて取得することもできるが,その方法についての説明は割愛する

 すると,Fig.8-94に示すように,どのようなクライアント証明書を要求するのかを尋ねられるので,[Webブラウザ証明書]を選択して[次へ>]ボタンを押す。

Fig.8-94 要求する種類の選択
fig8_94

 名前や電子メールアドレスなどを入力する項目が表示されるので,それらの情報を適切に入力し,[送信>]ボタンを押す(Fig.8-95)。

Fig.8-95 識別情報の入力
fig8_95

 すると,Fig.8-96のように,要求が保留中であることが示される。これで,要求の送信は完了である。

Fig.8-96 保留中の証明書
fig8_96

One Point!Fig.8-96に表示されるメッセージには,「1日から2日後のこのウィブサイトを再度参照してください」とあるが深い意味はない。管理者がこの要求を証明書サービスを通じて操作してクライアント証明書を発行すれば,その時点で(1日や2日待たずとも)クライアント証明書を取得できる。1日から2日後というメッセージは,管理者が要求を処理するのにかかると思われる一般的な作業日時ということでしかない
○証明機関による発行処理
 クライアントから送付されたクライアント証明書の要求は,証明書サービスに随時追加される。追加された要求は,[証明機関]管理ツールの[保留中の要求]のなかに含まれる(Fig.8-97)。

 Fig.8-97ではウィンドウの横幅の都合上,スクロールアウトしていて見えないが,ここには要求を作成したユーザー名や電子メールアドレスなど,Fig.8-95で入力したすべての情報が表示される。証明書サービスの管理者は,この項目を参照し,問題がなければ,右クリックして表示されたメニューから[すべてのタスク]−[発行]を選択する。この作業により,クライアント証明書が発行される。

Fig.8-97 クライアント証明書の発行
fig8_97

○発行されたクライアント証明書のインストール
 証明書サービスでクライアント証明書を発行したら,次に証明書サービスがインストールされたサーバーにクライアント側からアクセスし,発行ずみとなったクライアント証明書を取得,Webブラウザにインストールする。

 そのためには,“http://証明書サービスがインストールされているサーバー名/CertSrv/”を開き,[保留中の証明書の確認]を選択して[次へ]ボタンを押す(Fig.8-62を参照)。すると,Fig.8-98に示すように,発行されたクライアント証明書の一覧が表示される。ここでインストールしたいクライアント証明書を選択し,[次へ]ボタンを押す。

One Point! クライアント証明書を受け取るWebブラウザは,クライアント証明書を要求したWebブラウザでなければならない。
Fig.8-98 保留中の証明書の要求の確認
fig8_98

 すると,Fig.8-99に示すとおり,[この証明書のインストール]というリンクが表示される。この部分をクリックすると,クライアント証明書をWebブラウザにインストールすることができる。

Fig.8-99 クライアント証明書のインストール
fig8_99

Prev 41/43 Next