TLS renegatiation attack 対応 さらに

http://kamiyn.spaces.live.com/blog/cns!5BB0A706A97A84BA!6717.entry の続き

今まで xymon (旧 hobbit) からの監視は、クライアント証明書なしで接続していた。しかしサイト全体で最初にクライアント証明書を要求する、という仕様上 xymon からの接続でもクライアント証明書は必須になってしまった。

しかし通常の認証に使う証明書をパスワードなしでサーバには置きたくないので、監視専用証明書を作成したい。

  • 監視専用のクライアント証明書を作成する
  • apache 側でその証明書が、監視対象以外で利用できないよう SSLRequire を構成する

クライアント証明書認証をするには、これぐらいの手間はしょうがないのか。監視専用のアカウントを作成するってのは、Microsoft System Center Operations Manager でもそうだしな。

監視用証明書を発行する証明機関を OpenSSL で作っておくのがよさそうだ。そうしとけば CA 単位で管理できるし。

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。