意外にハマったのでメモ。 OCSPとは OCSP(Online Certificate Status Protocol)とは、SSL/TLS暗号化通信の初期フェーズにおいて証明書の失効を確認するための手順。 従来は署名所失効リスト(CRL)が利用されていたが、CRLはリストが肥大化しダウンロードに非常に時間がかかるようになってきたため、単一レコードの取得で済むOCSPが、現在では証明書の失効を確認する方法として一般的になった。 OCSP Staplingとは 通常は以下の図のように、証明書をダウンロードしたクライアントがOCSP Responderにサーバ証明書の失効を確認する。 OCSP Staplingに対応すると、以下の図のように証明書の失効確認をサーバ側で処理することができる。 また、OCSPレスポンスは一定の間はサーバにキャッシュされ、都度OCSP Responderに問い合わせ
SREチームの小林(し)です。 BASEでは独自ドメインで運用されているショップさんでHTTPSで表示できる機能を実装しました。 「BASE」が独自ドメインのSSL証明書の無料発行・自動管理を開始 ‐常時SSLで安心安全なネットショップ運営を 去年の3月にサブドメインで運用されているショップさんに関しては全てHTTPS化は実装していましたが、独自ドメインで表示されているショップさんはHTTPの表示のままでした。今回から独自ドメインを利用されているショップさんもHTTPSでアクセスが可能となり、全てのショップさんでHTTPSでのアクセスが可能となります。 今回の機能ではHTTPSアクセスに必要な証明書の取得は無料で行い、かつ管理は僕たちがやりますのでショップさんの方で証明書の取得・管理は不要です。 利用方法などはマニュアルにお任せし、今回は裏側の実装について紹介します 証明書 今回証明書を発
確かにサーバ証明書を発行するだけでしたら二階層で十分です。 規模が小さければそれで問題ありません。 しかし、大規模に証明書を発行するにはイロイロと不都合があります。 中間CAで代表的なのはWindows PKIです。 基本的にルートCAはオフラインで構築されるので、ルートCAから発行される証明書は常に人手を介します。 しかしそれでは、Active Directoryのメリットが減ってしまいます。 なので、ルートCAは中間CAの証明書を作成するのみとし、中間CAがAD管理下のアカウントやサーバに対して証明書を発行する体系をとります。 この場合、ルートCAはオフラインのままですが、中間CAからはオンラインで自動的に証明書を発行することができ、かつ、ある程度の安全性を保ったままにする事ができます。 パブリック認証局の場合、組織が異なることが多いです。 親会社がルートCAを持ち、子会社が中間CAで
CentOSでは、POP3/IMAPサーバとしてDovecotが用意されており、一般的にはほとんど設定することなく利用可能です。しかし、Dovecotはmobileimapとの相性が悪くmobileimapが起動できないので、CentOSでも従来どおりCourier-IMAPを動かすことにしました。 なお、squirrelmailでは特に問題が発生しないので、mobileimapを使用しないなら管理を考えるとDovecotを使用したほうが良いと考えます。 Courier-IMAPをこちらからダウンロードしますが、4.0系から認証ライブラリ(Courier authentication library)が別になったので、こちらの rpmを先に作成してインストールしてからでないと、Courier-IMAPの rpmが作成できないことと、rpmの作成までは一般ユーザで行わないとエラーがでるので注
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
