openssl_自己証明書

JITAKU_SVR_Wiki

自己証明書(オレオレ認証) †

証明書作成 †

opensslの理解はこのページでは省略

apacheや、メールなどでも証明書を必要とすることが多いので、オレオレ証明書の登場が多い。

用意するものはデフォルトで使えるものなので、特に難しいものはない。
あえて確認するのであれば、パッケージにいかがあること。

# rpm -qa |grep openssl
openssl-1.0.0-25.el6_3.1.x86_64

作り方 †

# cd /etc/pki/tls/certs/
→デフォルトでここにある
※今回は特に難しいことをしないので、簡単に作るだけなのでデフォルトを使用する。
　細かい設定をしたいひとはopenssl.cnfを編集する(ここでは省略)

# ls
Makefile ca-bundle.crt ca-bundle.trust.crt localhost.crt make-dummy-cert
→最初からMakefileがあるのでこれを使ってオレオレ証明を作っていく。
　ぶっちゃけ他のファイルは必要ないので消しても問題なし。

# mkdir old

# cp -p Makefile old/Makefile.org
→Makefileを編集するので、念のためバックアップ

# sed -i 's/365/3650/g' Makefile
→デフォルトで1年間を10年に変更

# make server.crt
→ここからkey,certファイルの作成
　make server.crt(作成するファイル名) 　このcrtファイルと同じ名前でkeyも出来上がる(後述)

umask 77 ; \
        /usr/bin/openssl genrsa -aes128 2048 > server.key
Generating RSA private key, 2048 bit long modulus
........+++
....+++
e is 65537 (0x10001)
Enter pass phrase:	#←パスフレーズの入力
Verifying - Enter pass phrase:		#←パスフレーズを再入力
umask 77 ; \
        /usr/bin/openssl req  -new -key server.key -x509 -days 3650 -out server.crt -set_serial 0
Enter pass phrase for server.key:	#←keyファイルのパスフレーズ入力
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP	#←国名応答
State or Province Name (full name) []:Tokyo	#←都道府県名応答
Locality Name (eg, city) [Default City]:Chiyoda-Ku	#←市区町村名応答
Organization Name (eg, company) [Default Company Ltd]:oreore.com	#←会社名応答
Organizational Unit Name (eg, section) []:	#←部署名応答
Common Name (eg, your name or your server's hostname) []:hogehoge.com	#←サイト名
Email Address []:	#←管理者メールアドレス

# ls
Makefile ca-bundle.crt ca-bundle.trust.crt localhost.crt make-dummy-cert old server.crt server.key
→ここで出来あがったserver.crt server.keyオレオレ証明のkeyとcrtのペアファイルになる。

キーに付いているパスフレーズが邪魔なので解除する。

# openssl rsa -in server.key -out server.key
→鍵ファイルのパスフレーズ解除される
Enter pass phrase for server.key:
writing RSA key

以上で完了。

あとはapacheなりpostfixなりなんにでも使えるオレオレ証明。