こんばんわ。 できるだけセキュアなウェブサイトを作りなさいという課題で悩んでいます。 他のソフト(Poderosa等)で証明書を使用するのがあったので、Webブラウザでも以下のようなことができないかと思っています。 1)Webブラウザではhttpsでアクセスする。 2)サイトは証明書がないと見れないようにする。 3)証明書はダウンロードとかではなく、管理者からメールで送られてきた証明書ファイルを使用する。 4)証明書ファイルをインストールする時はパスワードを必要とする。 5)証明書インストール後は普通にサイトが見れる。 6)サイトが見れた後はログイン画面等別のセキュリティ設定を。 環境は仮想PCにCentOS6.4+Appachで用意しました。 6)については別のセキュリティなので無視します。 とりあえず見様見真似でopensslを使ってkey、csr、crtファイルを作り、/etc/pki/tls/certs/にセットしてみました(オレオレ証明書?)。IEからは「この Web サイトのセキュリティ証明書には問題があります。」というエラーが出ます。これは認証を受けてないからだとは思いますが、「このサイトの閲覧を続行する (推奨されません)。 」の項目があり先が見えてしまいます。続行するとアドレスバーに証明書のエラーと出ていますが、詳細を見ると強引にインストールできてしまいます。 結局のところ2)から何もできていないのですが、上記のようなサイトは作ることは可能でしょうか? 証明書は認証を必ず受けないとできないものでしょうか? 大雑羽な説明になって申し訳ありませんが上記について教えていただけないでしょうか。 参考サイト等もあれば教えていただけないでしょうか。 普段使ってるブラウザで裏でどういうことが行われているのが全く考えたことがなかったので、調べるとあまりの無知っぷりに驚いています。 よろしくお願いします。
↧