MacOS X and Safari Browser Information

MacOS X & SafariブラウザでWIDEメンバ証明書を使えるようにする方法:

※最適かどうかは不明ですが、
これまでにうまくいったことのあるケースをご紹介します。

ポイントは、ルートCA証明書を X509Anchorsに登録することです。
(1),(2)で微妙に挙動が違いますが、原因はまだわかりません。

(1) Mac OS X 4.x の場合

この方法では、CA証明書を表示したときに赤字の警告が表示されるかも
　しれません。

　01) 配布された証明書を foobar-moca.p12 として DeskTopに保存
02) KeyChain Access を実行
03) 「キーチェーン: ログイン」で 01 で作成したファイルをD&D
04) 例によって、「無効な機関によって署名されています」が出る
05) 「キーチェーン: ログイン」、「分類: 証明書」を選択
06) 「WIDE ROOT CA 02」を選択
07) ファイルメニューから書き出しを選択
08) 名前: WIDE ROOT CA 02、
場所: デスクトップ、
フォーマット: 証明書(/cer)
でファイルを保存
09) 「キーチェーン:X509 Anchors」を選択
10) 左上の鍵をclickして、ロックを解除
11) "WIDE ROOT CA 02.cer"をD&Dする
12) KeyChain Access を終了
13) 証明書を利用する各種Applicationsを終了
14) Safariを起動
　15) "WIDE Root CA 02"を「常に信頼する」に設定する。

(2) Mac OS X 3.x /Mac OS X 4.x の場合

(1)とは違い、CA証明書の組み込みをコマンドラインで実行する分、手間はかかりますが
　　WG内で確認した範囲では確実です。

1. CA証明書の入手
$ ftp http://www.wide.ad.jp/ca/wideroot-cacert_4096.cer
$ ftp http://moca.wide.ad.jp/moca-02_4096.cer

2. fingerprintの確認
$ openssl x509 -noout -fingerprint -sha1 -inform der \
-in wideroot-cacert_4096.cer
SHA1 Fingerprint=4C:57:B2:D5:6B:94:C2:5F:F2:CA:4A:D1:A8:3D:A4:C0:6F:EE:5C:2C
$ openssl x509 -noout -fingerprint -md5 -inform der \
-in wideroot-cacert_4096.cer
MD5 Fingerprint=D2:2E:63:73:4A:DC:B6:93:33:0E:A8:09:6F:53:A3:72

3. moCA証明書の検証
$ openssl x509 -inform der -in wideroot-cacert_4096.cer \
-outform pem -out wideroot-cacert_4096.pem
$ openssl x509 -inform der -in moca-02_4096.cer \
-outform pem -out moca-02_4096.pem
$ openssl verify -CAfile wideroot-cacert_4096.pem \
moca-02_4096.pem
moca-02_4096.pem: OK

4. 証明書をキーチェーンにインポート
$ sudo certtool i wideroot-cacert_4096.cer d \
k=/System/Library/Keychains/X509Anchors
$ sudo certtool i moca-02_4096.cer d \
k=/System/Library/Keychains/X509Certificates

5. .p12ファイルをキーチェーンアクセスで読み込む。

Mac OS X 10.4 では手順2以降以下の方法でもインポートできます。

2. WIDE ROOT CA 証明書をインポート
2.1. 証明書ファイルを開く
wideroot-cacert_4096.cer をダブルクリック、もしくは
「キーチェーンアクセス」のアプリケーションアイコンに
ドラッグ & ドロップする
2.2. fingerprintの確認
表示された「証明書の追加」パネル内の「証明書を表示」
ボタンをクリックする。
「詳細な情報」から「指紋」を表示させ、fingerprintを
確認する
2.3 キーチェンにインポート
「証明書の追加」パネルで「キーチェーン」としてX509Anchorsを
選択し、「OK」ボタンを押す
「認証」パネルが表示された場合は、管理者アカウントで認証する
3. moCA 証明書をインポート
3.1. 証明書ファイルを開く
moca-02_4096.cer をダブルクリック、もしくは
「キーチェーンアクセス」のアプリケーションアイコンに
ドラッグ & ドロップする
3.2 証明書の検証
表示された「証明書の追加」パネル内の「証明書を表示」
ボタンをクリックする。
「この証明書は有効です」と表示されていることを確認する
「この証明書は不明な機関によって署名されています」と
表示された場合は、「キーチェーンアクセス」を一度終了して
3.1からやり直す
3.3 キーチェンにインポート
「証明書の追加」パネルで「キーチェーン」としてX509Certificatesを
選択し、「OK」ボタンを押す
「認証」パネルが表示された場合は、管理者アカウントで認証する

-------------------------------------------------------------------
○その他の情報

　・複数のクライアント証明書を"ログイン"キーチェーンにインストールした場合
　　証明書の選択に問題がある。
　　⇒「分類」の「鍵」で秘密鍵の「アクセス制御」設定を開き、「これらの
　　　アプリケーションによるアクセスを常に許可」からSafariを削除する。
　　　そうしないと使ったことがない証明書が有効に扱われない。

　・証明書が"無効な機関によって署名されている"または"証明書は有効では
　　ありません"と表示される。
　　⇒古い"ROOT CA"証明書、"members only CA"証明書を削除してキーチェーン
　　　を起動しなおすと直る。

　・Apple Mailでは署名に使う鍵を選べない。

[関連URL]
http://member.wide.ad.jp/wg/moca/announce050905-j.html
http://member.wide.ad.jp/wg/moca/announce050905-e.html
http://moca.wide.ad.jp/
http://www.wide.ad.jp/ca/

moCA WG, WIDE Project, Jul., 2006