ピア証明書の検証

Compute Cloud@Customerでは、ピア証明書の検証によって、クライアントとサーバー間の相互認証が確立されます。

ロード・バランサでSSLが設定されている場合、リスナーは、クライアントが信頼性を検証できる証明書を使用して受信クライアント・リクエストに応答します。ピア証明書の検証を有効にすると、セキュリティの追加レイヤーが追加されます。リスナーが検証できる証明書をクライアント(ピア)が提示する必要があります。

ピア証明書の検証が正しく構成されていない場合、クライアントは証明書を検証できず、クライアントSSLハンドシェイク失敗を返します。エラー・メッセージは、クライアント・タイプによって異なります。OpenSSLユーティリティを使用して、検証が失敗する深さを確認できます。

$ openssl verify -verbose -CAfile root-cert.pem intermediate-cert.pem
error 20 at 0 depth lookup: unable to get local issuer certificate

これらの検証エラーを解決するには、クライアント証明書と認証局の証明書が一致していることを確認し、証明書が正しい順序に含まれていることを確認します。