Custom Search

JITAKU_SVR_Wiki

自己証明書(オレオレ認証)

証明書作成

opensslの理解はこのページでは省略

apacheや、メールなどでも証明書を必要とすることが多いので、オレオレ証明書の登場が多い。

用意するものはデフォルトで使えるものなので、特に難しいものはない。
あえて確認するのであれば、パッケージにいかがあること。

# rpm -qa |grep openssl
openssl-1.0.0-25.el6_3.1.x86_64

作り方



# cd /etc/pki/tls/certs/
→デフォルトでここにある
※今回は特に難しいことをしないので、簡単に作るだけなのでデフォルトを使用する。
 細かい設定をしたいひとはopenssl.cnfを編集する(ここでは省略)

# ls
Makefile ca-bundle.crt ca-bundle.trust.crt localhost.crt make-dummy-cert
→最初からMakefileがあるのでこれを使ってオレオレ証明を作っていく。
 ぶっちゃけ他のファイルは必要ないので消しても問題なし。

# mkdir old

# cp -p Makefile old/Makefile.org
→Makefileを編集するので、念のためバックアップ

# sed -i 's/365/3650/g' Makefile
→デフォルトで1年間を10年に変更

# make server.crt
→ここからkey,certファイルの作成
 make server.crt(作成するファイル名)  このcrtファイルと同じ名前でkeyも出来上がる(後述)

umask 77 ; \
        /usr/bin/openssl genrsa -aes128 2048 > server.key
Generating RSA private key, 2048 bit long modulus
........+++
....+++
e is 65537 (0x10001)
Enter pass phrase:	#←パスフレーズの入力
Verifying - Enter pass phrase:		#←パスフレーズを再入力
umask 77 ; \
        /usr/bin/openssl req  -new -key server.key -x509 -days 3650 -out server.crt -set_serial 0
Enter pass phrase for server.key:	#←keyファイルのパスフレーズ入力
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP	#←国名応答
State or Province Name (full name) []:Tokyo	#←都道府県名応答
Locality Name (eg, city) [Default City]:Chiyoda-Ku	#←市区町村名応答
Organization Name (eg, company) [Default Company Ltd]:oreore.com	#←会社名応答
Organizational Unit Name (eg, section) []:	#←部署名応答
Common Name (eg, your name or your server's hostname) []:hogehoge.com	#←サイト名
Email Address []:	#←管理者メールアドレス

# ls
Makefile ca-bundle.crt ca-bundle.trust.crt localhost.crt make-dummy-cert old server.crt server.key
→ここで出来あがったserver.crt server.keyオレオレ証明のkeyとcrtのペアファイルになる。

キーに付いているパスフレーズが邪魔なので解除する。

# openssl rsa -in server.key -out server.key
→鍵ファイルのパスフレーズ解除される
Enter pass phrase for server.key:
writing RSA key

以上で完了。

あとはapacheなりpostfixなりなんにでも使えるオレオレ証明。


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2015-12-22 (火) 13:59:58 (702d)