この記事は過去のUPKIイニシアティブに掲載されていたものです

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-odcert:10] Re: MirapointでCSR発行できません(+CSRの制限についての要望)



河内様

島岡@niiです。

> 2. CSRの制限が「キツイ」と感じることがあるのですが、セキュリティ上の脆
弱性などの
> 根拠を示して我々を諭していただくか、ユーザの利便性をかんがみて制限をゆ
るめていた
> だけないでしょうか?

これは残念ながらセキュリティ的な話とかではなく、調達したシステムの名前
空間の制約によるものです。。。
で、この制約を解消するには大幅な改修が必要になるようで、現状では手を入れ
にくい、というのが正直なところです。

> 「STを省略する必要がなければ、IISのCSR発行ウィザードが使えたのに」

これについても多くの方々からご要望をいただいており、重要性の高い改善項目
として認識しています。
ただ、言い訳をするわけではないのですが、IISでSTを省略できないのは、必要
のある制限ではなく、MS(AD?)の独自仕様であるように私も思います。
ディレクトリ属性としてLとSTをセットで使うのは、慣例としてはよく見かけま
すが、これが必須要件であることを謳っている標準というのは、私の知る限りは
ないですね。
もしどなたかご存知の方がいたら、ご教示いただけると私も嬉しいです。

> 「md5でも良ければMirapointでも問題なくCSRが生成できたのに」

すみません、これは内部でも議論になっていた点ですので、早急に対応させて
いただきます。
対応でき次第改めてプロジェクトHPにてアナウンスさせていただきますので、
もうしばらくお待ちください。

よろしくお願いいたします。

Masaki SHIMAOKA
National Institute of Informatics

(2009/12/09 0:34), Kazunori Kawauchi wrote:
> 皆様よろしくお願いいたします。
> 清泉女子大学の河内と申します。
> 
> 現在、(動作確認のとれていないことを承知で)Mirapointへ証明書を導入しようと画策
> しております。導入した証明書を使ってWebメールへの通信を暗号化する予定です。
> 
> ただ、Mirapointは、a)Webベースの管理サイト b)独自OSのコマンドラインの2つがあるの
> ですが、どちらの場合も発行されたCSRの署名アルゴリズムがsha1ではなくmd5になってし
> まいます。
> 
> 1. Mirapointに対してSSL証明書を発行できる(できそうな)手順をご存じの方はいらっ
> しゃらないでしょうか?
> 
> なお、Mirapoint には別のマシンで作成した秘密鍵をインストールまたはインポートする
> 機能は無いようです。
> # 以前、Windows上のIISに証明書をインストールしたときには、
> # Opensslのインストールが面倒だったために、
> # Linuxで作成した秘密鍵をPKCS#12形式に変換してインポートしました。
> 
> 2. CSRの制限が「キツイ」と感じることがあるのですが、セキュリティ上の脆弱性などの
> 根拠を示して我々を諭していただくか、ユーザの利便性をかんがみて制限をゆるめていた
> だけないでしょうか?
> 
> 要望と言うよりもほとんど愚痴に近いのですが…、「STを省略する必要がなければ、IISの
> CSR発行ウィザードが使えたのに」「md5でも良ければMirapointでも問題なくCSRが生成で
> きたのに」という思いがあります。
> # 特に前者は必要のある制限なのかよく理解できていません。
> 
> ご返答いただければ幸いです。
> よろしくお願いいたします。
> 

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature