LinuCレベル3 303試験の例題と解説

325.2暗号化、署名および認証のX.509 証明書

303試験の試験範囲から「325.2 暗号化、署名および認証のX.509 証明書」についての例題を解いてみます。
このテーマは重要度4と高く、実務でのよく利用される範囲です。
https(SSL/TLS)の知識・Apacheにおける設定方法などしっかり把握しておきましょう。
■トピックの概要
このトピックの内容は以下の通りです。
<325.2 暗号化、署名および認証のX.509 証明書>
重要度 4
<説明>
サーバー認証とクライアント認証両方のX.509証明書の使用方法を理解していることが求められる。また、Apache HTTPD のユーザー認証とサーバー認証の実装ができること。Apache HTTPD のバージョンは2.4以降とする。
<主要な知識範囲>
・SSL、TLSおよびプロトコルのバージョンの理解。
・一般的なトランスポート層のセキュリティの脅威、例えば Man-in-the-Middleの脅威の知識。
・SNIやHSTSを含む、HTTPSサービスにmod_sslを使用したApache のHTTPDの設定。
・証明書を使用した認証ユーザにmod_sslを使用したApache HTTPDの設定。
・OCSP staplingを提供するためのmod_sslを使用したApache HTTPDの設定。
・SSL/TLSクライアント、サーバーのテストでのSSLの使用。
<重要なファイル、用語、ユーティリティ>
・中間認証局
・Cipher の設定(cipher固有の知識ではありません)
・httpd.conf
・mod_ssl
・openssl
■例題
mod_sslを使用してOCSP staplingを有効にするパラメータとして正しいものはどれか。
1.SSLUseStapling on
2.SSLUseStapling enable
3.OCSPStapling on
4.OCSPStapling enable
※この例題は実際の試験問題とは異なります。


解答と解説

答えは「1.SSLUseStapling on」です。

その他の選択肢については、存在しません。
OCSPとは、https通信におけるX.509公開鍵証明書(サーバ証明書)の失効状態を確認するための方法です。クライアントからのOSCPリクエストに対して、OCSPレスポンダはX.509公開鍵証明書の失効状態を応答します。
OCSPレスポンダからの応答に時間を要する場合などのために、WebサーバにてOCSPレスポンダからの応答をキャッシュする機能がOCSP staplingです。
Apacheでは、mod_sslを使用してOCPS staplingを有効化することができ、以下の設定をssl.confなどに記載することで利用することが可能になります。
-------
SSLUseStapling on・・・OCSP staplingの有効化
SSLStaplingCache shmcb:/var/run/ssl_stapling(32768)・・・OCSP staplingのキャッシュタイプ/キャッシュサイズ(単位はバイト)
なお、上記設定を含むmod_ssl関連の設定については、以下のリンクから詳細が確認できます。
https://httpd.apache.org/docs/current/mod/mod_ssl.html
また、OCSP staplingは有効になっているかは、「openssl s_client -connect 接続先ホスト名:443 -status」コマンドの出力に含まれるOCSP Responseセクションで確認することができます。
■例題解説提供者
鯨井 貴博 氏(LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)
ページトップへ