sslについて質問です。

特定のクライアントだけが 接続するってことはないと思われますので、外部認証は 必要だと思います。

ひとつずつＩＰアドレスをチェックして 使えそうなところを 探している人もいますからね。

すみません、URLはダミーです。

私のところでも、決まったクライアントからデータを提出してもらうのに、SSLを利用していますが、この決まったクライアントが社外にあります。この「データ取引先」のシステム部門の一部が、当方の独自認証局発行の証明書の利用（ルート証明書として取り込むこと）を拒否したため、結局ベリサインになってしまいました。

クライアントが完全に自分（自社）でコントロールできるなら、仰るような方法（独自認証局＋IPアドレス制御）で大丈夫だと思います。

上記 URL は、openssl を使った認証局の運営方法です。

確かに、特定クライアントで SSL を使うのであれば、

外部の認証局を使わず、プライベート CA で、というのは、

ありですが、自分で認証局を運用する、というのは、

その認証局自体を安全に運用できるか、という点で、

リスクを伴います。そのリスクを外部認証局に委託する

ことで、リスクを軽減させる、ということは考えられます。

まぁ、世の中の認証局のレベルも上から下までありますが(^^;。

あと、まじめに考えると、証明書の有効期限の更新や、

失効処理などが面倒なんで、その辺を任せてしまう、

というメリットはあるかもしれません。

Microsoft Windows XP と Server 2003 を使う場合。

Verisignなどの外部認証局が必要なのはサーバのためでなくクライアント側で(埋め込まれているルート証明書を使って)サーバ認証するためではないですか。クライアント認証が目的なら、外部認証局でなくてもよいと思います。

特定クライアントということなら

SoftEtherを使ったVPNを構築してしまうのもありでしょう。SoftEther 2.0(まだβ1ですが)なら、認証も強化されて自認証/他認証の双方が使えます。SSL認証とAES等の暗号化も使えますので、よりセキュアですね。

ただ、クライアント側でSoftEtherクライアントを組み込む必要があります。

ちなみに、社内認証局の場合、特定クライアントといえど、Windowsでのアクセスならいちいち警告メッセージが出ますし、社内認証局を外部に開けるという行為だけでも信頼性を問われます。

URLにあげた Man-In-The-Middle Attackを防ぐことができなくなります。

またそのシステムを使う人は、「証明書が信頼されている機関から発行されていない」警告を多く見ることになります。

そして、一々証明書を表示して本当に自社のサーバが発行した証明書かどうかをチェックしたりはしないでしょう。

その状態に慣れてしまうことで、セキュリティに対するリテラシーが低下するのではないでしょうか。

おっしゃるとおり、ある決まったクライアントだけが利用するのであればプライベートCAで問題ありません。

実際、社内IPネットワークを用いた通信を使う際には、この手法で実行されます。

ですが此れはあくまで閉じた世界、例えば自社内で本社と拠点間の通信、などという場合にのみ有効な話です。

ある会社Ａと業務上の付き合いのあるＢということになれば別です。

Ａ社がＣＡ局を立てたとしても、Ａ社の悪意のある社員がいればプライベートＣＡで、Ｂ社を騙すこともできてしまいます。

こうしたことを防ぐ為にも、Ａ社でもないＢ社でもない、第三者の認証「パブリックＣＡ」が必要となる訳です。

ちなみに認証局を自社サーバで行う場合は、Windowsサーバのみでできますよ。

ＩＰアドレスの制限は、外部のマシンに対しては 有効です。

社内においてのセキュリティは、必要はないのでしょうか？

社内においてセキュリティが必要な場合は、やはりなんらかの認証をしたほうがいいと思われます。