河内様 島岡@niiです。 > 2. CSRの制限が「キツイ」と感じることがあるのですが、セキュリティ上の脆 弱性などの > 根拠を示して我々を諭していただくか、ユーザの利便性をかんがみて制限をゆ るめていた > だけないでしょうか? これは残念ながらセキュリティ的な話とかではなく、調達したシステムの名前 空間の制約によるものです。。。 で、この制約を解消するには大幅な改修が必要になるようで、現状では手を入れ にくい、というのが正直なところです。 > 「STを省略する必要がなければ、IISのCSR発行ウィザードが使えたのに」 これについても多くの方々からご要望をいただいており、重要性の高い改善項目 として認識しています。 ただ、言い訳をするわけではないのですが、IISでSTを省略できないのは、必要 のある制限ではなく、MS(AD?)の独自仕様であるように私も思います。 ディレクトリ属性としてLとSTをセットで使うのは、慣例としてはよく見かけま すが、これが必須要件であることを謳っている標準というのは、私の知る限りは ないですね。 もしどなたかご存知の方がいたら、ご教示いただけると私も嬉しいです。 > 「md5でも良ければMirapointでも問題なくCSRが生成できたのに」 すみません、これは内部でも議論になっていた点ですので、早急に対応させて いただきます。 対応でき次第改めてプロジェクトHPにてアナウンスさせていただきますので、 もうしばらくお待ちください。 よろしくお願いいたします。 Masaki SHIMAOKA National Institute of Informatics (2009/12/09 0:34), Kazunori Kawauchi wrote: > 皆様よろしくお願いいたします。 > 清泉女子大学の河内と申します。 > > 現在、(動作確認のとれていないことを承知で)Mirapointへ証明書を導入しようと画策 > しております。導入した証明書を使ってWebメールへの通信を暗号化する予定です。 > > ただ、Mirapointは、a)Webベースの管理サイト b)独自OSのコマンドラインの2つがあるの > ですが、どちらの場合も発行されたCSRの署名アルゴリズムがsha1ではなくmd5になってし > まいます。 > > 1. Mirapointに対してSSL証明書を発行できる(できそうな)手順をご存じの方はいらっ > しゃらないでしょうか? > > なお、Mirapoint には別のマシンで作成した秘密鍵をインストールまたはインポートする > 機能は無いようです。 > # 以前、Windows上のIISに証明書をインストールしたときには、 > # Opensslのインストールが面倒だったために、 > # Linuxで作成した秘密鍵をPKCS#12形式に変換してインポートしました。 > > 2. CSRの制限が「キツイ」と感じることがあるのですが、セキュリティ上の脆弱性などの > 根拠を示して我々を諭していただくか、ユーザの利便性をかんがみて制限をゆるめていた > だけないでしょうか? > > 要望と言うよりもほとんど愚痴に近いのですが…、「STを省略する必要がなければ、IISの > CSR発行ウィザードが使えたのに」「md5でも良ければMirapointでも問題なくCSRが生成で > きたのに」という思いがあります。 > # 特に前者は必要のある制限なのかよく理解できていません。 > > ご返答いただければ幸いです。 > よろしくお願いいたします。 >
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature