- 追加された行はこの色です。
- 削除された行はこの色です。
* OpenSSLを使った鍵・証明書の作成 [#ja4d72da]
* OpenSSLを使ったサーバ証明書・サーバ秘密鍵の作成 [#f933d66a]
** CA(自己認証)の鍵・証明書の作成 [#j2725b47]
** サーバ秘密鍵の作成 [#f8fbb2fe]
openssl genrsa -rand /var/log/wtmp -out server.key -des3 2048
パスフレーズなしにするには-des3をオプションから除く。
CAの秘密鍵を作成
openssl genrsa -rand /var/log/messages -out ca.key 1024
*** 秘密鍵の内容確認 [#f97a43f2]
openssl rsa -in server.key -text
CA証明書の署名要求を作成する。
openssl req -new -days 3650 -key ca.key -out ca.csr
** 署名要求CSRファイルの作成 [#yf829c92]
openssl req -new -key server.key -out server.csr
CA証明書を自己署名して発行する。
openssl x509 -days 3650 -in ca.csr -out ca.crt -req -signkey ca.key
*** 署名要求CSRファイルの内容確認 [#mbabd8e9]
openssl req -in server.csr -text
** 証明書をPEMフォーマットからDERフォーマットへ変換 [#ub9e0def]
Windows IEなどにインストールするCA証明書はDERフォーマットである必要がある。
openssl x509 -in ca.crt -outform DER -out ca.der
** サーバ用鍵・証明書を作成 [#f8fbb2fe]
サーバ用の秘密鍵を作成する。
openssl genrsa -rand /var/log/maillog -out server.key 1024
サーバ証明書のCSRを作成
openssl req -new -key server.key -out server.csr
認証局が使用するシリアルナンバーのファイルを作成する。
echo 01 >ca.srl
サーバ証明書を発行する。
** サーバ証明書の作成 [#h5d57440]
*** CA証明書で署名する場合 [#naf90db0]
CA(認証局)が使用するシリアルナンバーのファイルを作成する。
echo 01 > ca.srl
CA証明書で簡易署名してサーバ証明書を発行する。
openssl x509 -req -CA ca.crt -CAkey ca.key -in server.csr -out server.crt -CAserial ca.srl -days 3650
** 自己署名のサーバ証明書を作成 [#e3012ee3]
*** 自己署名の場合 [#z9116a5f]
openssl req -new -x509 -days 3650 -key server.key > server.crt
** PEM形式の証明書の内容をテキストで表示する [#w575b791]
*** PEM形式の証明書の内容をテキストで表示する [#w575b791]
openssl x509 -noout -text -in server.crt
** 秘密鍵からパスフレーズを削除 [#ef20fd58]
cp id_rsa id_rsa.orig
openssl rsa -in id_rsa.orig -out id_rsa
** 参考 [#i50d06e1]
- http://www.daily-labo.com/ygg16_1.html
- http://siisise.net/linux/ssl.html
- http://park15.wakwak.com/~unixlife/practical/openssl.html
- http://bitarts.jp/tech/linux/openssl.html
