Lighttpd クライアント証明書認証

tag-icon tag-icon lighttpd client-certificate
Lighttpd クライアント証明書認証

私は自分の内部 Windows CA を使用して lighttpd でクライアント証明書認証を有効にしようとしています。免責事項: 私はまだ PKI について非常に初心者です :D

私のホームラボには、オフラインのルート CA と従属 CA があります。ルート CA は、信頼された CA の下で Firefox にすでにインポートされています。クライアント証明書については、openssl を使用して CSR を生成し、クライアント認証が有効になっているテンプレートを使用して従属 CA で署名しました。このクライアント証明書も、pfx ファイルとして Firefox にインポートされます。また、lighttpd を次のように構成しました。

ssl.pemfile = "/etc/lighttpd/certs/lighttpd.pem"
ssl.ca-file = "/etc/lighttpd/certs/ca.cer"
ssl.verifyclient.activate = "enable"
ssl.verifyclient.enforce = "enable"
ssl.verifyclient.username = "SSL_CLIENT_S_DN_CN"

次のエラーが発生します:

Firefox エラー:

Peer does not recognize and trust the CA that issued your certificate.
Error code: SSL_ERROR_UNKNOWN_CA_ALERT

Lighttpd エラー:

SSL: 1 error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed 
SSL: 1 -1 error:140E0197:SSL routines:SSL_shutdown:shutdown while in ini

他の:

Acceptable client certificate CA names
DC = org, DC = homelab, CN = homelab-V-2019-ICA-CA
Client Certificate Types: RSA sign, DSA sign, ECDSA sign

CA.cer

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            5a:00:00:00:02:47:18:65:49:6e:51:2a:56:00:00:00:00:00:02
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=V-2019-RCA-CA
        Validity
            Not Before: Nov 24 06:00:19 2020 GMT
            Not After : Nov 24 06:10:19 2021 GMT
        Subject: DC=org, DC=homelab, CN=homelab-V-2019-ICA-CA
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)

クライアント証明書

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            56:00:00:00:23:c0:0e:f2:75:d8:de:ef:65:00:00:00:00:00:23
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: DC = org, DC = homelab, CN = homelab-V-2019-ICA-CA
        Validity
            Not Before: Dec  1 23:54:33 2020 GMT
            Not After : Nov 24 06:10:19 2021 GMT
        Subject: C = US, ST = Rhode Island, L = Providence, O = HOMELAB, OU = HOMELAB, CN = homelab-V-2019-ICA-CA.homelab.org
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
...
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            1.3.6.1.4.1.311.21.10:

ここからどこへ行けばよいかわかりません。どんな助けや記事でもいただければ幸いです。:)

答え1

誰かがこれに遭遇した場合、何が問題なのか考えました。今考えてみると、それは明らかです。ADCS Web 登録ページからダウンロードした従属 CA 証明書を使用していました。代わりに、証明パス -> 証明書の表示 (ルート CA 上) -> 詳細 -> ファイルにコピー -> Base-64 エンコード X.509) をクリックして従属 CA 証明書からエクスポートしたルート CA 証明書を使用しました。この行にはこれを使用しました。

ssl.ca ファイル = "/etc/lighttpd/certs/ca.cer"

クライアント証明書を Firefox にインポートしましたが、正常に動作します。

関連情報