DocJp102: HTTPS X.509 クライアント認証の動作概説

Title: HTTPS X.509 クライアント認証の動作概説

通常の HTTPS では、TeamPage にアクセスするブラウザーは、TeamPage のサーバー証明書を元にサーバーを信頼するかどうかのチェックだけを行います。逆に、X.509 は、TeamPage が、アクセスしてきたブラウザーのクライアント証明書を元にブラウザを信頼できるかチェックします。

ブラウザーは、TeamPage サーバーとの接続を確立するため、TeamPage サーバーが信頼する証明書を提示しなければなりません。

つまり、通常の HTTPS では、TeamPage にブラウザーでアクセスしたとき、ブラウザーが TeamPage サーバー（の証明書）を信頼していればユーザー名とパスワードを入力してログインできますが、X.509 では、ブラウザーに TeamPage サーバーが信頼するクライアント証明書がインストールされていないと、いくら正しいユーザー名とパスワードを知っていてもログインできません。

既定では、Java (TeamPage) は最高位 CA への証明書チェインがあるブラウザの証明書を信用しますが、独自の証明書を信用するようにもできます。

X.509 クライアント認証が動作するようにするには、次のことが必要です。

どの CA を信用すべきかを TeamPage に設定する。
信用された CA によって署名された証明書を全てのユーザーのブラウザにインストールする。

詳しい設定方法は、HTTPS X.509 クライアント認証の有効化を参照してください。

TeamPage を複数のポートで運用し、片方では証明書が必要で（主にファイアーウォール越しのインターネット公開ポート）、もう片方では証明書が必要ない設定（主にファイアーウォールの内側の社内ネットワーク）にすることもできます。これを行うには、TeamPage の設定ファイルである Traction.properties の編集が必要です。詳しくは FAQ214: 複数のポートでTeamPageを運用するにはを参照してください。

ブラウザにはどの CA の署名もない証明書をインストールできますが、TeamPageにはCAの署名が入った非個人向け証明書のみをインストールできます。

Java (TeamPage) が最上位 CA を信用しないようにすることもできます。これを行うと、TeamPage は、インストールされた CA の証明書だけを信用します。詳しい設定については、弊社までお問い合わせください。

標準的な X.509 の設定では、信用されたブラウザならどれでも TeamPage への接続が許可されます。認証は独立して扱われます。Active Directory や NTLM を混在利用するとき、ユーザーが署名入りの信用された証明書があれば自動的にログインされるので、これはとても便利な動作になります。

Attachments:

x509.png

参照されている (4)

FAQ2282: SSLの秘密鍵やサーバー証明書はどこに保存されますか？DocJp126: TLS マネージャー概説 DocJp104: HTTPS X.509 クライアント認証の有効化 DocJp68: インストール＆セットアップガイド

参照している (2)

DocJp109: HTTPS 動作概要 FAQ214: 複数のポートでTeamPageを運用するには

Article: DocJp102 (permalink)
Date: 2009/09/14; 14時48分06秒 JST

Author Name: TeamPage サポート
Author ID: jpbo