サポート

[マネージドPKI] クライアント認証 Nginxの設定方法(SHA256証明書)

  1. GMOグローバルサイン
  2. サポート・お申し込みガイド
  3. マネージドPKI
  4. [マネージドPKI] クライアント認証 Nginxの設定方法(SHA256証明書)
最終更新:2018/11/06 12:03:34

※本手順は一例となり、ご利用の環境によっては異なる場合がございます。
Nginxの動作を保証するものではございませんのであらかじめご了承ください。
本例はver 1.12.1で検証しております。

SSLクライアント認証を行うにあたって、Nginx上でSSLサーバー認証を有効にしている必要があります。
SSLサーバ証明書の設定詳細は弊社サポートページを参照してください。

認証局証明書の用意

no01.gif以下のルート証明書、中間CA証明書を取得してください。
ルート証明書(R3)
クライアント証明書用中間CA証明書v3(SHA256)

2016年7月10日以前に発行された証明書も利用する場合は、以下の中間CA証明書も取得してください。
クライアント証明書用中間CA証明書v2(SHA256)

no01.gif取得したファイルを1つのファイルにPEM形式で結合し、サーバに保存します。順不同でもかまいません。

結合の例

-----BEGIN CERTIFICATE-----
   <ルート証明書>
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
   <中間CA証明書>
-----END CERTIFICATE-----

保存先の例

/etc/nginx/root.pem

Nginx設定ファイルの変更

nginxの設定ファイルの該当部分を設定します。

設定ファイル保存場所の例

/etc/nginx/nginx.conf

クライアント認証用 認証局証明書の設定例

ssl_client_certificate /etc/nginx/root.pem;

CRLファイルの設定例

ssl_crl /etc/nginx/crl.pem;

※CRLファイルは中間CA証明書とエンドエンティティ証明書の「CRL配布ポイント」から取得したCRLファイルをPEM形式に変換し、結合したものを保存します。

変換コマンド例

openssl crl -inform der -in 変換前DERファイル名 -outform pem -out 変換後PEMファイル名

結合コマンド例

cat 結合前ファイル名a 結合前ファイル名b > 結合後ファイル名

結合の例(順不同)

-----BEGIN X509 CRL-----
   <中間CA証明書のCRL>
-----END X509 CRL-----
-----BEGIN X509 CRL-----
<エンドエンティティ証明書のCRL>
-----END X509 CRL-----

保存先の例

/etc/nginx/crl.pem

SSLクライアント認証の設定の有効化

グレー文字の箇所はSSLサーバ証明書の設定です。

server {
listen 443;
server_name ssl.globalsign.com;

ssl on;
ssl_certificate ssl.globalsign.com.pem;
ssl_certificate_key ssl.globalsign.com.key;

ssl_verify_client on;
ssl_verify_depth 3;
ssl_client_certificate /etc/nginx/root.pem;
ssl_crl /etc/nginx/crl.pem;

if ($ssl_client_s_dn !~ "O=GMO GlobalSign K.K."){
return 403;
}

if ($ssl_client_s_dn !~ "OU=Sales"){
return 403;
}

}

※if ($ssl_client_s_dn !~ で指定したクライアント証明書以外の接続を拒否するよう設定します。
専用BaseDNを利用することで、証明書のO(組織名)とOU(部門名)フィールドにはお客様固有の情報が設定されます。 この部分をクライアント認証の設定にご利用ください。

設定は以上で完了です。 Nginxを再起動し、有効なクライアント証明書でのアクセスが可能かご確認ください。

再起動コマンド例

service nginx restart

サポートサイト内検索

お気軽にお問い合わせください

03-6370-6500

音声ガイダンスが流れましたら、お問合わせの内容により以下の番号をプッシュしてください。

  1. 証明書のお申し込み、更新及びパスワードのお問い合わせ
  2. インストールなどの技術的なお問い合わせ
  3. 審査及び進捗確認に関するお問い合わせ
  4. お支払い、経理書類に関するお問い合わせ
  5. その他のお問い合わせ(5を押した上で、以下の番号をお選びください。)
    1. パートナー契約に関するお問い合わせ
    2. 採用に関するお問い合わせ
    3. 総務へのご連絡
ページのトップへ戻る