SMTP over TLSのクライアント証明書認証No.22725
Keiichi さん 05/05/02 20:45
 
鶴亀メールでSMTP over TLSを使用するとき、クライアント証明書
認証は可能でしょうか?

メールサーバの証明書認証対応について検討しているのですが、
対応できるクライアントがいるのかどうか探しています。

もし、試したことのある方がいらっしゃったら教えていただけ
ませんでしょうか?よろしくお願いいたします。
[ ]
RE:22725 SMTP over TLSのクライアント証No.22742
秀まるお2 さん 05/05/05 21:33
 
 鶴亀メールは、Windowsに標準で付いてるSSL/TLS関係のライブラリをそのまま
使っているので、もしWindows標準のライブラリ(SChannelっていう
ライブラリ)が、その「クライアント証明書」にも対応していれば、鶴亀メール
でも対応できている可能性が高いと思います。

 ただ、僕自身はそういうテストをしたことがないので、果たしてどうかは分か
りません。

 テストできる環境があるのなら、一度試してみて欲しいですけど。

 あと、Becky!さんも鶴亀メールと同じWindows標準のライブラリを使ってます
ので、鶴亀メールがダメだとしても、もしBecky!さんが大丈夫なら、つまり僕が
うまく対応すれば鶴亀メールでもうまく出来るようになるってことだと思います。
[ ]
RE:22725 SMTP over TLSのクライアント証No.22748
TaMaT さん 05/05/06 05:27
 
>鶴亀メールでSMTP over TLSを使用するとき、クライアント証明書
>認証は可能でしょうか?
>
>メールサーバの証明書認証対応について検討しているのですが、
>対応できるクライアントがいるのかどうか探しています。
>
>もし、試したことのある方がいらっしゃったら教えていただけ
>ませんでしょうか?よろしくお願いいたします。
>

TaMaTと申します。

取り急ぎご報告ですが、当方自宅環境(WinXP)にて構築してあった
stunnel-4.10を用いたクライアント認証(目的はhttps)の環境に
今回鶴亀メールを相乗りさせてみましたが、
とりあえずサーバに対応するクライアント証明書が正しく提示されないとエラーとな
る、
までは確認できました。
なお、ログではI 暗号化開始 (TLS1.0/RC4/128bit)と表示されます。

ただし別件で新規発言をさせていただいておりますが、
クライアント証明書が複数ある場合の挙動に不明な残っておりますので、参考程度に
お受取ください。
[ ]
RE:22748 SMTP over TLSのクライアント証No.22749
秀まるお2 さん 05/05/06 10:25
 
 ということは、鶴亀メールではクライアント証明書での認証は出来ないってこ
となんですね。たぶん、鶴亀メール側でちゃんとした実装をしないとダメなんで
しょうね。

 こちらでちゃんとしたテスト環境が構築できれば対応できる可能性が高いです
けど…。今のところは対応できてないってことでお願いします。>Keiichi様
[ ]
RE:22749 SMTP over TLSのクライアント証No.22751
TaMaT さん 05/05/06 12:42
 
> ということは、鶴亀メールではクライアント証明書での認証は出来ないってこ
>となんですね。たぶん、鶴亀メール側でちゃんとした実装をしないとダメなんで
>しょうね。
>
> こちらでちゃんとしたテスト環境が構築できれば対応できる可能性が高いです
>けど…。今のところは対応できてないってことでお願いします。>Keiichi様

ちょっと微妙ですね。
Windowsに登録されているクライアント証明書が1枚だけで、それがちょうど今回鶴亀
メールがアクセスしようとしているサーバと合致するものなら問題なく動作しますし、
おそらく複数枚あっても最初に取得されるクライアント証明書が上記合致を満たせば
動作すると思います。
ただ、複数枚あっても常に正しい証明書を提示するところまで要求されると
すこし機能不備があるかもしれないな、と感じています。
もしもそれを満たす機能がすでにあるようでしたらすみませんがご容赦願います。
[ ]
RE:22751 SMTP over TLSのクライアント証No.22753
秀まるお2 さん 05/05/06 13:42
 
 自分で作っていて自分で分かってないのでなんですが、ソースコードを見直し
たら、クライアント署名書認証関係の処理がありました。ってことで、一応対応
してはいるようです。
[ ]
RE:22753 SMTP over TLSのクライアント証No.22845
Keiichi さん 05/05/15 23:58
 
> 自分で作っていて自分で分かってないのでなんですが、ソースコードを見直し
>たら、クライアント署名書認証関係の処理がありました。ってことで、一応対応
>してはいるようです。

コメントをいただいていたのに気がつかず返信が遅くなりすみません。
4.15で証明書の選択にも対応していただいているということなので、
サーバの準備ができ次第試してみます。

ちなみに環境はCourier POP + OpenSSLを想定しています。
[ ]