SSL認証

えー、コンピュータ関連のカテゴリ作っちゃいました。BLOGって日記みたいなイメージありますけど、本来は色々な記事を書いてそれに関する評論とかするものなんですね。って、半年間ぐらいずっと日記作っていた私が言うことじゃないんですが(^^;

さて、SSL認証です。実のところ私もよくわかってない（ぉぃ　記憶ではHTTPセッションの中にSSLポートと呼ばれるセキュリティセッションを張り、外部からの盗聴を防ぐことにより安全に通信が出来ると。セキュリティセッションを張るためにはお互いの身分を証明するためにサーバ証明書とユーザ証明書が必要。

…よくわからん（ぉぃ

なんて書いておいてきちんと調べてみたら全然違った(^^;　難しいなぁ。ようはクライアントから見てアクセスするサーバが信用できるかどうかが問題なんですよ。信用できないサーバだったら盗聴されてもおかしくないので:-)　じゃあどうやってそれを見極めるか？ってことですけど、やっぱりお金を払って「うちは大丈夫ですよ！」ってことを申請してもらうしかないんですね。

サーバ証明書って言って証明書を作成してくれる機関があります。有名なのは日本ベリサイン¹っていう会社です。発行して貰った証明書（実は目に見えるファイル）をサーバ側にインストールします。この証明書の中にはサーバアドレス（http://www.hogehoge.jp/みたいな）とか、国・メールアドレス・会社名とかが記載してあって、クライアントからアクセスされたときに情報が正しければ信用されるっていう仕組みですわ。まぁ、機関が作る証明なので大丈夫っていう保証なんですけどね(^^;

で、信用されるとサーバ証明書自体がクライアントに送信されます。証明書の中には公開鍵というのが入っていて、公開鍵を元に以後通信するときに暗号する為の共通鍵というのを作成します。クライアントとサーバのやりとは共通鍵を使って行うので暗号が実行中ってことですね:-) じゃあサーバはどうやって暗号化されている共通鍵を読み込むか？ってとこですが、サーバがそれを解除するための秘密鍵ってのを持ってるんです。解除した後は共通鍵で通信を行うと。

あー、めんどーだなぁ(^^;

まだ完全に理解してないのがくやしい…。

以前、予備知識無しでマイクロソフトのIISでチャレンジしたんですが見事挫折したので（当たり前）、今回はOpenSSLってのを使ってみました。このサイトを見ながらやってみました。結果、アッサリ出来たヽ(^.^;)丿

DDNS名で証明書作成したらローカルからのアクセスでは認証されないという問題にぶち当たり…。そりゃまぁLANからのアクセスではサーバのローカル名（マシン名）でアクセスするから当然と言えば当然。コマンドで作成しなくてはならないという状況からそれぞれオプションとかもあるんですが、全くもって理解出来ず(T-T) もうちょっと勉強せんとなぁ。

あ、ちなみに「証明書を作成した」とありますが、本当は専門機関に作成して貰う必要があるんですよ？ただ、IIS（正確にはWindows 2000 Serverとかの認証サービス）でもOpenSSLでも認証局（CA）ってのを設置することが可能なんです。

「お金がかからなくて美味しい！」とも言ってられないんです、実は。だって、自分で設置したんだから誰も信用してくれないんですもん。今だと無料で正式作成してくれるサービスとかあるから結構便利な時代になったと思うんですがね。お試しで行うんだったら自分とこで作成したい！ってことでOpenSSLとかを使いました。