#1. はじめに
CIS(IBM Cloud Internet Service)でmTLSを構成する(1) - 基本設定編の続きです。
前回はクライアント証明書ありでcurlを使ってmTLSで接続できることは確認した。今回はブラウザ経由で接続してみたい。クライアント証明書の設定方法はブラウザごとにお作法が違うようなので、今回はMac上でChrome/Safariで接続できるように構成してみる。
#2. pkcs12形式の証明書を作成
以下でクライアントに配布するclient.p12というクライアント証明書を作成する。
pkcs12形式の証明書を作成
# openssl pkcs12 -export -out client.p12 -inkey client-key.pem -in client.pem -certfile ca.pem
Enter Export Password:
Verifying - Enter Export Password:
#3. クライアント証明書をMacのキーチェーンアクセスにインポート
上記client.p12をダブルクリックし、設定したパスワードを入力
証明書が取り込まれたことがわかる。
#4. importしたCA証明書を常に信頼に変更
CA証明書をダブルクリックし、「この証明書を使用するとき:」を常に信頼するに変更する。
これで、CA証明書、クライアント証明書の両方が信頼済みになる。
#5. クライアント証明書にて、新規識別プリファレンスを設定
「新規識別プリファレンス」を選択
対象のURLおよび証明書を選択
設定後の確認。「すべての項目」を選択すれば、識別プリファレンスを確認できる。
#6. Chromeからアクセス
Chromeからアクセスすると初回アクセスに以下のメッセージが表示される。
無事アクセスできた!Safariでも同様のメッセージが出るが、同じ設定でやはりアクセスできるようになる。
