HOMEサンプル問題・例題解説303試験の例題と解説325.2 暗号化、署名および認証のX.509 証明書

303試験の例題と解説

325.2暗号化、署名および認証のX.509 証明書

303試験の試験範囲から「325.2 暗号化、署名および認証のX.509 証明書」についての例題を解いてみます。
このテーマは重要度4と高く、実務でのよく利用される範囲です。
https(SSL/TLS)の知識・Apacheにおける設定方法などしっかり把握しておきましょう。

■トピックの概要
このトピックの内容は以下の通りです。

<325.2 暗号化、署名および認証のX.509 証明書>
重要度 4

<説明>
サーバー認証とクライアント認証両方のX.509証明書の使用方法を理解していることが求められる。また、Apache HTTPD のユーザー認証とサーバー認証の実装ができること。Apache HTTPD のバージョンは2.4以降とする。

<主要な知識範囲>
・SSL、TLSおよびプロトコルのバージョンの理解。
・一般的なトランスポート層のセキュリティの脅威、例えば Man-in-the-Middleの脅威の知識。
・SNIやHSTSを含む、HTTPSサービスにmod_sslを使用したApache のHTTPDの設定。
・証明書を使用した認証ユーザにmod_sslを使用したApache HTTPDの設定。
・OCSP staplingを提供するためのmod_sslを使用したApache HTTPDの設定。
・SSL/TLSクライアント、サーバーのテストでのSSLの使用。

<重要なファイル、用語、ユーティリティ>
・中間認証局
・Cipher の設定(cipher固有の知識ではありません)
・httpd.conf
・mod_ssl
・openssl


■例題
mod_sslを使用してOCSP staplingを有効にするパラメータとして正しいものはどれか。

1.SSLUseStapling on
2.SSLUseStapling enable
3.OCSPStapling on
4.OCSPStapling enable

※この例題は実際の試験問題とは異なります。

解答と解説

答えは 「1.SSLUseStapling on」です。

その他の選択肢については、存在しません。

OCSPとは、https通信におけるX.509公開鍵証明書(サーバ証明書)の失効状態を確認するための方法です。クライアントからのOSCPリクエストに対して、OCSPレスポンダはX.509公開鍵証明書の失効状態を応答します。

OCSPレスポンダからの応答に時間を要する場合などのために、WebサーバにてOCSPレスポンダからの応答をキャッシュする機能がOCSP staplingです。

Apacheでは、mod_sslを使用してOCPS staplingを有効化することができ、以下の設定をssl.confなどに記載することで利用することが可能になります。
-------
SSLUseStapling on・・・OCSP staplingの有効化
SSLStaplingCache shmcb:/var/run/ssl_stapling(32768)・・・OCSP staplingのキャッシュタイプ/キャッシュサイズ(単位はバイト)

なお、上記設定を含むmod_ssl関連の設定については、以下のリンクから詳細が確認できます。
https://httpd.apache.org/docs/current/mod/mod_ssl.html

また、OCSP staplingは有効になっているかは、「openssl s_client -connect 接続先ホスト名:443 -status」コマンドの出力に含まれるOCSP Responseセクションで確認することができます。

■例題解説提供者
鯨井 貴博 氏(LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)
  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPI-Japanオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI-Japan事務局ではお応えできませんのでご了解ください。

このページのトップへ