お知らせ:


 ◇ YouTube Apple Japan チャンネル で有用なヒントや使い方を配信中です。
 ◇ iOS 向け Apple サポート App のバージョン 2.4 が公開されました。

お知らせ: macOS Mojave にアップグレードする


macOS Mojave には、ダークモードやスタックなどの新機能や、3 つの新しい内蔵 App が新たに加わり、クリックするたびにさらに多くのことができるようになります。 macOS Mojave へのアップグレード方法はこちら >

しばらく返答が寄せられていないようです。 再度ディスカッションを開始するには、新たに質問してください。

質問:

質問: 証明書のエクスポート禁止方法について

WindowsServerにて発行した秘密鍵を含むユーザー証明書、

クライアント証明書をMacにインポートしましたが、

書き出しを禁止した状態でインポートできません。


Macの使用者に証明書を抜き取られないようにしたいのですが

windowsのようにエクスポート禁止を設定できる機能は無いでしょうか?

MacBook Pro, macOS High Sierra (10.13.3)

投稿日

返信

ページコンテンツが読み込まれました

2018/03/15 17:28 m-tamura への返信 m-tamura への返信

??

証明書の秘密鍵って、そもそも、他のマシンに転送するようなことはしてはいけないのですが。Windowsサーバで発行したのなら、そのWindowsサーバでのみ使うべきなものです。逆に公開鍵の方は、他のマシンなどに転送して使うものですから、転送禁止は意味がないと思うのですが。

Windowsサーバをマックユーザにも使わせるなら、その秘密鍵はマックユーザのマシンで発行したもの(macOSのキーチェーンで、秘密鍵と公開鍵のペアを簡単に発行できます)をWindowsサーバの秘密鍵で署名したものを使わせるようにすべきなのでは?これなら、Windowsサーバの秘密鍵を持ち出す必要はないし、(Windowsサーバの管理者の許可なしに)ユーザが勝手にWindowsサーバを利用することもできないと思うのですが。Windowsサーバの秘密鍵で署名することはWindowsサーバの管理者でないとできませんので。

2018/03/15 17:28

返信 参考になった

2018/03/15 17:37 はに への返信 はに への返信

はにさん

ご返答ありがとうございます。

説明が不足しており申し訳ありません。

秘密鍵はあくまでmacOS用のユーザーの秘密鍵です。

WindowsServerで各ユーザー用に秘密鍵を発行しております。


はにさんにご説明頂いた状況を元とした場合であれば

マックユーザのマシンで発行したものWindowsサーバの秘密鍵で署名したものを使わせるようにし、

マックユーザが自身に持っている秘密鍵をエクスポートできないようにしたいということです。

マックユーザが自身の持つ証明書もしくは秘密鍵、つまりmacOSのキーチェーンにある秘密鍵と公開鍵のペア

別のPCにユーザがコピーできないようにしたいと言うのが今回の目的です。

2018/03/15 17:37

返信 参考になった

2018/03/15 20:53 m-tamura への返信 m-tamura への返信

> 別のPCにユーザがコピーできないようにしたい


同じユーザでないとコピーできませんので、別ユーザがコピーするというのはなかなか敷居が高いと思います。また、コピーしても、それを鍵として使うというのはそれなりに敷居は高いと思います。

でもユーザ自身が秘密鍵と公開鍵のペアをコピーして他人に渡してしまうということを想定されてるのでしょうか?

もしそうなら、署名する際に、ユーザマシンのMACアドレスなどのマシン情報も入れておくとか。これだと、サーバ側でコピーかどうか簡単にチェックできまます。そういうスクリプトを作って、ログインの際に自動でチェックすることもそんなに難しくないと思います。

2018/03/15 20:53

返信 参考になった

2018/03/20 16:44 はに への返信 はに への返信

はにさん、ご返答ありがとうございます。

そうです。ユーザー自身が秘密鍵と公開鍵のペアを別のPCで使用するのを防止したいのです。

証明書はインターネット上で認証しますのでMACアドレスでは識別できないようですし、

そもそも証明書認証システム側にそういったものはないようでした。


具体的にはWindowsの以下のような状態にできないかどうかを模索しております。

証明書のエクスポート時、秘密キー付きのオプションがグレーアウトしている | Symantec

2018/03/20 16:44

返信 参考になった
ユーザのユーザプロフィール: m-tamura

質問: 証明書のエクスポート禁止方法について