相互TLS認証設定が有効になっているサードパーティAPIに接続しようとしています。そのため、キーストア内にクライアント証明書をインストールし、TLSハンドシェイクプロセスで送信することになっています。
このプロセスでは、現在、クライアント側の証明書としてcommodoポジティブSSLを使用しています。TLS呼び出しを行うと、Evnthoughサーバーは証明書を要求していますが、クライアントは証明書を送信していません。SChannel Logをチェックすると、次のような警告が表示されます
リモートサーバーがTLSクライアント認証を要求しましたが、適切なクライアント証明書が見つかりませんでした。匿名接続が試行されます。このTLS接続要求は、サーバーのポリシー設定に応じて成功または失敗する場合があります。
私の疑問はこのようなものです、クライアント側認証の目的で正しいタイプのX509証明書を使用していますか?他の特定のタイプを使用する必要がありますか?現在の証明書が送信されないため。
回答:
場合によります。X.509v3証明書には通常、許可された使用法(EKU)のリストを含む「拡張キー使用法」拡張フィールドが付属しています。
通常のWeb サーバー証明書には、「TLSサーバー認証」の使用法が含まれます(「TLS Webサーバー」と表示されることもありますが、実際にはWeb固有ではありません)。
クライアントとして機能するには、「TLSクライアント認証」を備えた証明書が必要です(Web固有のものは何もないにもかかわらず、「TLS Webクライアント」として表示されることがよくあります)。
通常の「Webサーバー」SSL証明書には両方の使用法が含まれることが非常に一般的です。たとえば、Let's EncryptおよびDigiCertによって発行された証明書を調べています。 。
ただし、他の一部のCA、特に民間組織のCAでは、ほとんどの証明書にどちらか一方の使用法がありますが、両方が使用されることはほとんどありません。
たとえば、OpenVPNは(他のプログラムのように「少なくとも TLSクライアント」ではなく)「TLSクライアントのみ」を厳密に必要とするため、スクリプトはサーバーのみの証明書とクライアントのみの証明書を発行しますが、混合証明書は発行しません。easy-rsa
そのため、証明書を調べて、必要なEKUが含まれていることを確認する必要があります。実際に仕事をするすべての証明書ツール-たとえばでは、証明書のプロパティのWindowsでダイアログが、意志のWebブラウザとして、「V3拡張機能」の下にこれを示すだろうopenssl x509、certtool、certutilなど、
独自の内部CAを実行している場合も覚えておく必要があります。中間CA証明書を使用する場合は、それに注意を払ってください。中間体は、EKU拡張子を持つ必要はありませんが、彼らは次の場合に行うことがあり、その中間で発行されたすべての証明書は、それによって制約されています。(商業的に証明書を取得する場合、心配する必要はありません。)
さらに、証明書にはいくつかの非常に一般的な制限を含む基本的な「キー使用法」フィールドがあります。たとえば、「デジタル署名」は、証明書がデータに署名できることを意味します 「鍵合意」は静的DH / ECDH用であるようです。「キー暗号化」は、静的RSAハンドシェイクを許可します。
公式のX.509v3ドキュメントは、次の場合に必要な使用法が非常にわかりにくいです。商用CAは通常、このフィールドを正しく取得します。ただし、プライベートCAについては、再確認する価値があります。