※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

OpenSSLでの認証局(のメモ)

認証局の作成

認証局を作成します。インストール先を/opt/opensslとします。

  • # tar zxvf openssl-0.9.6c.tar.gz 
    # cd openssl-0.9.6c
    # ./config --prefix=/opt/openssl --openssldir=/opt/openssl/ssl
    # make
    # make install
    
  • 認証局設定
    # vi /opt/openssl/ssl/openssl.cnf
    #dir            = ./demoCA              # Where everything is kept
         ↓ディレクトリを変更
    dir             = /opt/openssl/ssl      # Where everything is kept
    
    #default_days   = 365                   # how long to certify for
         ↓証明する有効期限を変更
    default_days    = 3650                  # how long to certify for
    
  • インデックスファイルの作成とシリアルファイルの作成
    # touch /opt/openssl/ssl/index.txt
    # echo 01 > /opt/openssl/ssl/serial
    
  • 認証局の作成
    # cd /opt/openssl/ssl/
    # /opt/openssl/bin/openssl req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 7300
    
  • 認証局証明書の中身確認
    /opt/openssl/bin/openssl x509 -in cacert.pem -text
    

サーバ証明書作成(証明するサーバで実施します。)

  • サーバ用秘密鍵の作成
    # cd /opt/apache/conf/cert
    # openssl genrsa -out server.key 1024
    
  • サーバ用公開鍵の作成
    # openssl req -new -key server.key -out server.csr
    
  • 秘密鍵からパスフレーズを削除
    # cp -p server.key server.key_tmp
    # openssl rsa -in server.key_tmp -out server.key
    

作成して出来た証明書要求(server.csr)を認証局のあるサーバに格納します。

証明書作成(サーバで作成されたサーバ証明書を証明します。)

格納された証明書要求を配置します。便宜上、/opt/openssl/bin/openssl/serverに配置したとします。

# mkdir /opt/openssl/bin/openssl/server
# server配下に証明書要求を配置します。
# cd /opt/openssl/bin/openssl/server
# /opt/openssl/bin/openssl ca -policy policy_anything -out server.crt -infiles server.csr 

上記で出力したserver.crtを証明するサーバに返却&格納します。