OpenWrtでIPSec VPN(7)『証明書のインストール』

長くなったのでページを分割しました。
OpenWRTでIPSec VPN(6)『CAの構築と証明書の作成』で作成した各種証明書等をインストールします。

証明書のOpenWrtルータへのインストール

ルートCA証明書のインストール

プライベートなルートCA証明書「caCert.pem」をルータにコピーします。
root@OpenWrt:/tmp/CA# cp caCert.pem /etc/ipsec.d/cacerts/
ipsecの動作のためにルータ自体にルートCA秘密鍵「caKey.pem」を保存する必要はありません。
第3者に勝手に証明書を発行されないように、ルータ上に残さないほうが良いでしょう。
ただし、caKey.pemがないと新たな証明書の発行が出来ませんので、
バックアップしたファイルは厳重に保管してください。

OpenWrtルータの秘密鍵とServer証明書のインストール

OpenWRTルータの秘密鍵「serverKey.pem」をコピーします。
root@OpenWrt:/tmp/CA# cp serverKey.pem /etc/ipsec.d/private/

続けてOpenWrtルータの証明書「serverCert.pem」をコピーします。
root@OpenWrt:/tmp/CA# cp serverCert.pem /etc/ipsec.d/certs/

各端末用のClient証明書のインストール

root@OpenWrt:/tmp/CA# cp iPhoneCert.pem /etc/ipsec.d/certs/

ここまでやってきて気がついた人がいるかもしれませんが、
証明書の発行は必ずしもOpenWrtルータ上で行う必要はありません。
別途Linuxなどで発行してももちろん構いません。(そちらのほうがより適切かもしれません)

証明書の各端末へのインストール

作成した端末用のClient証明書をインストールします。
それぞれのOSによってやり方が異なります。
詳細な方法は各端末のマニュアルを参照してください。

Apple iOS(iPhone/iPad)

ルートCA証明書「caCert.pem」とiOS用PKCS#12証明書「iPhoneCert.p12」を使用します。
(本来はiPhoneCert.p12だけでいいのですが、iOSの仕様(bug?)でルートCA証明書を取り出せないようです)

メールで送信

手っ取り早くインストールするにはPCにバックアップした
「caCert.pem」と「iPhoneCert.p12」を添付ファイルとしてメールしてしまうことです。

添付ファイルをクリックすると、証明書のインストール画面になります。

ただし、普通のインターネットプロバイダのメール送信(SMTP)は暗号化されていないため、
盗聴(wiresharkなどでパケットキャプチャ)された場合に
証明書が流出するリスクがあることは認識しておきましょう。

gmailの下書き経由で

gmailの受信経路はSSLで暗号化されているため比較的安全です。
PC上からWebブラウザでgmailでメールを新規作成→ファイル添付で
「caCert.pem」と「iPhoneCert.p12」を添付した後、
「下書き」として保存します。

iOS端末側からそのgmailアカウントの下書きを参照します。

添付ファイルをクリックすると、証明書のインストール画面になります。

Web経由で

いくらgmailが安全と言っても外部のサーバに証明書を置く以上、
流出の可能性が0とはいえません。
よりセキュリティを気にする場合には PC上のIISを有効にするなどして、
自宅LAN内のパーソナルなWebサイトに証明書を置いて、
ダウンロードするようにすると良いでしょう。

手っ取り早く、OpenWrtルータで起動しているuhttpd を使って一時的にdownloadできるようにするには以下のようにします。
# cd /www
# ln -sf /tmp/CA/caCert.pem
# ln -sf /tmp/CA/iPhoneCert.p12

iPhoneのsafariブラウザから http://OpenWrtルータのIP/caCert.pem を指定すれば、
証明書がダウンロードされて、インストールできるようになります。


Android

PKCS#12形式の証明書にはルートCA証明書も含まれているので、ひとつのファイルでOKです。

USB接続

PCとUSB接続して内蔵ストレージの「download」フォルダに
「androidCert.p12」をコピーします。

「設定」メニュー
   ↓
「セキュリティ」
   ↓
「認証情報ストレージ」の
「内部ストレージからインストール」を選びます。
Xperia Acro HD(Android 4.0.4)の場合です。

gmail

iOSと同様にgmail経由でも良いです。

Windows Vista

作成中

Windows 7

作成中

Windows 8

作成中

MacOS X

作成中