「OpenWrtでIPSec VPN(7)『証明書のインストール』」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
長くなったのでページを分割しました。
[[OpenWRTでIPSec VPN(6)『CAの構築と証明書の作成』]]で作成した各種証明書等をインストールします。
*証明書のOpenWrtルータへのインストール
**ルートCA証明書のインストール
プライベートなルートCA証明書「caCert.pem」をルータにコピーします。
root@OpenWrt:/tmp/CA# cp caCert.pem /etc/ipsec.d/cacerts/
ipsecの動作のためにルータ自体にルートCA秘密鍵「caKey.pem」を保存する必要はありません。
第3者に勝手に証明書を発行されないように、ルータ上に残さないほうが良いでしょう。
ただし、caKey.pemがないと新たな証明書の発行が出来ませんので、
バックアップしたファイルは厳重に保管してください。
**OpenWrtルータの秘密鍵とServer証明書のインストール
OpenWRTルータの秘密鍵「serverKey.pem」をコピーします。
root@OpenWrt:/tmp/CA# cp serverKey.pem /etc/ipsec.d/private/
続けてOpenWrtルータの証明書「serverCert.pem」をコピーします。
root@OpenWrt:/tmp/CA# cp serverCert.pem /etc/ipsec.d/certs/
**各端末用のClient証明書のインストール
root@OpenWrt:/tmp/CA# cp iPhoneCert.pem /etc/ipsec.d/certs/
//**各端末用の秘密鍵のインストール
// root@OpenWrt:/tmp/CA# cp iPhoneKey.pem /etc/ipsec.d/private/
ここまでやってきて気がついた人がいるかもしれませんが、
証明書の発行は必ずしもOpenWRTルータ上で行う必要はありません。
別途Linuxなどで発行してももちろん構いません。(そちらのほうがより適切かもしれません)
*証明書の各端末へのインストール
作成した端末用のClient証明書をインストールします。
それぞれのOSによってやり方が異なります。
詳細な方法は各端末のマニュアルを参照してください。
----
**Apple iOS(iPhone/iPad)
ルートCA証明書「caCert.pem」とiOS用PKCS#12証明書「iPhoneCert.p12」を使用します。
(本来はiPhoneCert.p12だけでいいのですが、iOSの仕様(bug?)でルートCA証明書を取り出せないようです)
***メールで送信
手っ取り早くインストールするにはPCにバックアップした
「caCert.pem」と「iPhoneCert.p12」を添付ファイルとしてメールしてしまうことです。
添付ファイルをクリックすると、証明書のインストール画面になります。
ただし、普通のインターネットプロバイダのメール送信(SMTP)は暗号化されていないため、
盗聴(wiresharkなどでパケットキャプチャ)された場合に
証明書が流出するリスクがあることは認識しておきましょう。
***gmailの下書き経由で
gmailの受信経路はSSLで暗号化されているため比較的安全です。
PC上からWebブラウザでgmailでメールを新規作成→ファイル添付で
「caCert.pem」と「iPhoneCert.p12」を添付した後、
「下書き」として保存します。
iOS端末側からそのgmailアカウントの下書きを参照します。
添付ファイルをクリックすると、証明書のインストール画面になります。
***Web経由で
いくらgmailが安全と言っても外部のサーバに証明書を置く以上、
流出の可能性が0とはいえません。
よりセキュリティを気にする場合には PC上のIISを有効にするなどして、
自宅LAN内のパーソナルなWebサイトに証明書を置いて、
ダウンロードするようにすると良いでしょう。
----
**Android
PKCS#12形式の証明書にはルートCA証明書も含まれているので、ひとつのファイルでOKです。
***USB接続
PCとUSB接続して内蔵ストレージの「download」フォルダに
「androidCert.p12」をコピーします。
「設定」メニュー
↓
「セキュリティ」
↓
「認証情報ストレージ」の
「内部ストレージからインストール」を選びます。
Xperia Acro HD(Android 4.0.4)の場合です。
***gmail
iOSと同様にgmail経由でも良いです。
----
**Windows Vista
作成中
----
**Windows 7
作成中
----
**Windows 8
作成中
----
**MacOS X
作成中
----
長くなったのでページを分割しました。
[[OpenWRTでIPSec VPN(6)『CAの構築と証明書の作成』]]で作成した各種証明書等をインストールします。
*証明書のOpenWrtルータへのインストール
**ルートCA証明書のインストール
プライベートなルートCA証明書「caCert.pem」をルータにコピーします。
root@OpenWrt:/tmp/CA# cp caCert.pem /etc/ipsec.d/cacerts/
ipsecの動作のためにルータ自体にルートCA秘密鍵「caKey.pem」を保存する必要はありません。
第3者に勝手に証明書を発行されないように、ルータ上に残さないほうが良いでしょう。
ただし、caKey.pemがないと新たな証明書の発行が出来ませんので、
バックアップしたファイルは厳重に保管してください。
**OpenWrtルータの秘密鍵とServer証明書のインストール
OpenWRTルータの秘密鍵「serverKey.pem」をコピーします。
root@OpenWrt:/tmp/CA# cp serverKey.pem /etc/ipsec.d/private/
続けてOpenWrtルータの証明書「serverCert.pem」をコピーします。
root@OpenWrt:/tmp/CA# cp serverCert.pem /etc/ipsec.d/certs/
**各端末用のClient証明書のインストール
root@OpenWrt:/tmp/CA# cp iPhoneCert.pem /etc/ipsec.d/certs/
//**各端末用の秘密鍵のインストール
// root@OpenWrt:/tmp/CA# cp iPhoneKey.pem /etc/ipsec.d/private/
ここまでやってきて気がついた人がいるかもしれませんが、
証明書の発行は必ずしもOpenWrtルータ上で行う必要はありません。
別途Linuxなどで発行してももちろん構いません。(そちらのほうがより適切かもしれません)
*証明書の各端末へのインストール
作成した端末用のClient証明書をインストールします。
それぞれのOSによってやり方が異なります。
詳細な方法は各端末のマニュアルを参照してください。
----
**Apple iOS(iPhone/iPad)
ルートCA証明書「caCert.pem」とiOS用PKCS#12証明書「iPhoneCert.p12」を使用します。
(本来はiPhoneCert.p12だけでいいのですが、iOSの仕様(bug?)でルートCA証明書を取り出せないようです)
***メールで送信
手っ取り早くインストールするにはPCにバックアップした
「caCert.pem」と「iPhoneCert.p12」を添付ファイルとしてメールしてしまうことです。
添付ファイルをクリックすると、証明書のインストール画面になります。
ただし、普通のインターネットプロバイダのメール送信(SMTP)は暗号化されていないため、
盗聴(wiresharkなどでパケットキャプチャ)された場合に
証明書が流出するリスクがあることは認識しておきましょう。
***gmailの下書き経由で
gmailの受信経路はSSLで暗号化されているため比較的安全です。
PC上からWebブラウザでgmailでメールを新規作成→ファイル添付で
「caCert.pem」と「iPhoneCert.p12」を添付した後、
「下書き」として保存します。
iOS端末側からそのgmailアカウントの下書きを参照します。
添付ファイルをクリックすると、証明書のインストール画面になります。
***Web経由で
いくらgmailが安全と言っても外部のサーバに証明書を置く以上、
流出の可能性が0とはいえません。
よりセキュリティを気にする場合には PC上のIISを有効にするなどして、
自宅LAN内のパーソナルなWebサイトに証明書を置いて、
ダウンロードするようにすると良いでしょう。
手っ取り早く、OpenWrtルータで起動しているuhttpd を使って一時的にdownloadできるようにするには以下のようにします。
# cd /www
# ln -sf /tmp/CA/caCert.pem
# ln -sf /tmp/CA/iPhoneCert.p12
iPhoneのsafariブラウザから http://OpenWrtルータのIP/caCert.pem を指定すれば、
証明書がダウンロードされて、インストールできるようになります。
----
**Android
PKCS#12形式の証明書にはルートCA証明書も含まれているので、ひとつのファイルでOKです。
***USB接続
PCとUSB接続して内蔵ストレージの「download」フォルダに
「androidCert.p12」をコピーします。
「設定」メニュー
↓
「セキュリティ」
↓
「認証情報ストレージ」の
「内部ストレージからインストール」を選びます。
Xperia Acro HD(Android 4.0.4)の場合です。
***gmail
iOSと同様にgmail経由でも良いです。
----
**Windows Vista
作成中
----
**Windows 7
作成中
----
**Windows 8
作成中
----
**MacOS X
作成中
----