「通信途中のデータを盗聴されたくない」という用件なら、自社で認証局サーバを立て、
それに電子証明書を発行させるという仕組みでもOKだと思います。
ちなみに不特定多数のクライアントではなく、ある決まったクライアントだけが、サーバに情報を送るモデルです。
このモデルだと外部認証局を使うメリットはあまり無いと思うのですが、ご意見を聞かせていただければと思います。
また認証局を自社サーバで行う手順を教えて下さい(ポイントだけでもかまいません)。
特定のクライアントだけが 接続するってことはないと思われますので、外部認証は 必要だと思います。
ひとつずつIPアドレスをチェックして 使えそうなところを 探している人もいますからね。
すみません、URLはダミーです。
私のところでも、決まったクライアントからデータを提出してもらうのに、SSLを利用していますが、この決まったクライアントが社外にあります。この「データ取引先」のシステム部門の一部が、当方の独自認証局発行の証明書の利用(ルート証明書として取り込むこと)を拒否したため、結局ベリサインになってしまいました。
クライアントが完全に自分(自社)でコントロールできるなら、仰るような方法(独自認証局+IPアドレス制御)で大丈夫だと思います。
ありがとうございます!
独自認証局発行の証明書の利用(ルート証明書として取り込むこと)を拒否
上記 URL は、openssl を使った認証局の運営方法です。
確かに、特定クライアントで SSL を使うのであれば、
外部の認証局を使わず、プライベート CA で、というのは、
ありですが、自分で認証局を運用する、というのは、
その認証局自体を安全に運用できるか、という点で、
リスクを伴います。そのリスクを外部認証局に委託する
ことで、リスクを軽減させる、ということは考えられます。
まぁ、世の中の認証局のレベルも上から下までありますが(^^;。
あと、まじめに考えると、証明書の有効期限の更新や、
失効処理などが面倒なんで、その辺を任せてしまう、
というメリットはあるかもしれません。
ありがとうございます!
認証局自体を安全に運用
http://www.microsoft.com/japan/technet/prodtechnol/winxppro/plan...
Windows XP Professional と Windows Server 2003 の PKI 拡張機能
Microsoft Windows XP と Server 2003 を使う場合。
Verisignなどの外部認証局が必要なのはサーバのためでなくクライアント側で(埋め込まれているルート証明書を使って)サーバ認証するためではないですか。クライアント認証が目的なら、外部認証局でなくてもよいと思います。
ありがとうございます!
ソフトイーサ (株) - 業界標準の広域イーサネットと インターネットVPN を目指して
特定クライアントということなら
SoftEtherを使ったVPNを構築してしまうのもありでしょう。SoftEther 2.0(まだβ1ですが)なら、認証も強化されて自認証/他認証の双方が使えます。SSL認証とAES等の暗号化も使えますので、よりセキュアですね。
ただ、クライアント側でSoftEtherクライアントを組み込む必要があります。
ちなみに、社内認証局の場合、特定クライアントといえど、Windowsでのアクセスならいちいち警告メッセージが出ますし、社内認証局を外部に開けるという行為だけでも信頼性を問われます。
ありがとうございます!
http://www.atmarkit.co.jp/fsecurity/rensai/re_pki04/re_pki01.htm...
@IT:PKI再入門 - 第4回 公開鍵に基づく信頼
URLにあげた Man-In-The-Middle Attackを防ぐことができなくなります。
またそのシステムを使う人は、「証明書が信頼されている機関から発行されていない」警告を多く見ることになります。
そして、一々証明書を表示して本当に自社のサーバが発行した証明書かどうかをチェックしたりはしないでしょう。
その状態に慣れてしまうことで、セキュリティに対するリテラシーが低下するのではないでしょうか。
ありがとうございます!
セキュリティに対するリテラシーが低下する
おっしゃるとおり、ある決まったクライアントだけが利用するのであればプライベートCAで問題ありません。
実際、社内IPネットワークを用いた通信を使う際には、この手法で実行されます。
ですが此れはあくまで閉じた世界、例えば自社内で本社と拠点間の通信、などという場合にのみ有効な話です。
ある会社Aと業務上の付き合いのあるBということになれば別です。
A社がCA局を立てたとしても、A社の悪意のある社員がいればプライベートCAで、B社を騙すこともできてしまいます。
こうしたことを防ぐ為にも、A社でもないB社でもない、第三者の認証「パブリックCA」が必要となる訳です。
ちなみに認証局を自社サーバで行う場合は、Windowsサーバのみでできますよ。
ありがとうございます!
A社でもないB社でもない、第三者の認証
IPアドレスの制限は、外部のマシンに対しては 有効です。
社内においてのセキュリティは、必要はないのでしょうか?
社内においてセキュリティが必要な場合は、やはりなんらかの認証をしたほうがいいと思われます。
ありがとうございます!
ありがとうございます!
サーバにアクセスできるクライアントのIPを制限しようと考えています。