YanoRyuichi.com/
Wiki
Blog
GitHub
Sandbox
開始行:
* OpenSSLのCAコマンドを使ったCA構築 [#n2e59462]
** CA構築の準備 [#f9ac15cb]
mkdir /var/pki
cd /var/pki/
cp /etc/pki/tls/misc/CA .
cp /etc/pki/tls/openssl.cnf .
- CA(CA作成スクリプト)やopenssl.cnfの設置場所はOSによっ...
- なお、CAスクリプトを使わずにopensslコマンドだけでもCA構...
- また、CAスクリプトやCAスクリプト内で呼び出されるopenssl...
- したがって、OS標準のCAスクリプトとopenssl.cnfをコピーし...
- 今回は作業を/var/pki以下で行い、認証局の設置場所(CATOP...
** CA・openssl.cnfの設定 [#g10e00f0]
*** openssl.cnf [#r7b7f770]
vi openssl.cnf
[ CA_default ]
dir = /var/pki/myCA # CATOPのファイルパス
default_days = 3650 # 証明書の有効期限 不意な期...
default_md = sha256 # 鍵の暗号化方式 SHA1はすで...
default_bits = 2048 # 同上
default_crl_days = 3650 # 証明書失効リストの有効期限...
# 発行した全証明書が無効になる
# なので、長めにしておく。た...
countryName_default = JP # ...
stateOrProvinceName_default = Tokyo
localityName_default = 1-2-3, Ginza, Chuou-ku
emailAddress_default = foo@example.co.jp
*** CA [#of0c2ca2]
vi CA
CADAYS="-days 3650 # CA...
if [ -z "$DAYS" ] ; then DAYS="-days 3650" ; fi # 認...
if [ -z "$CATOP" ] ; then CATOP=/var/pki/myCA ; fi # CATOP
** CA証明書・秘密鍵の作成 [#if175212]
*** CA作成スクリプトの実行 [#u595de39]
SSLEAY_CONFIG="-config ./openssl.cnf" CATOP=/var/pki/myC...
- CA certificate filename (or enter to create) Enterキー...
- Enter PEM pass phrase: CA秘密鍵のパスフレーズ
- Verifying - Enter PEM pass phrase: 同上、再入力する
- 以降、住所などのDN情報を入力する
- A challenge password []: なしでよい
- Enter pass phrase for ./myCA/private/./cakey.pem: パス...
*** CA作成スクリプトによって作成されたファイル [#i1891ddc]
- CA証明書 /var/pki/myCA/cacert.pem
- CA秘密鍵 /var/pki/myCA/private/cakey.pem
myCA/index.txt.attr
myCA/private/cakey.pem
myCA/newcerts/XXX.pem
myCA/certs
myCA/careq.pem
myCA/crl
myCA/cacert.pem
myCA/index.txt
myCA/index.txt.old
myCA/serial
** CA証明書の内容確認 [#pd1397b9]
openssl x509 -in ./myCA/cacert.pem -text
** CA秘密鍵の内容確認 [#jcd4d0f4]
openssl rsa -in ./myCA/private/cakey.pem -text
** CA証明書をPEM形式からDER形式(IE等ブラウザ用)に変換 [...
openssl x509 -in ./myCA/cacert.pem -outform der -out ./m...
** 参考 [#n02396f8]
*** CAコマンド [#rbec2e7a]
- http://fc-lab.com/network/server/pki/openssl.html
- http://tenj.jp/modules/smartsection/item.php?itemid=139
*** opensslコマンド [#f82d0a54]
- http://ash.jp/sec/openssl.htm
終了行:
* OpenSSLのCAコマンドを使ったCA構築 [#n2e59462]
** CA構築の準備 [#f9ac15cb]
mkdir /var/pki
cd /var/pki/
cp /etc/pki/tls/misc/CA .
cp /etc/pki/tls/openssl.cnf .
- CA(CA作成スクリプト)やopenssl.cnfの設置場所はOSによっ...
- なお、CAスクリプトを使わずにopensslコマンドだけでもCA構...
- また、CAスクリプトやCAスクリプト内で呼び出されるopenssl...
- したがって、OS標準のCAスクリプトとopenssl.cnfをコピーし...
- 今回は作業を/var/pki以下で行い、認証局の設置場所(CATOP...
** CA・openssl.cnfの設定 [#g10e00f0]
*** openssl.cnf [#r7b7f770]
vi openssl.cnf
[ CA_default ]
dir = /var/pki/myCA # CATOPのファイルパス
default_days = 3650 # 証明書の有効期限 不意な期...
default_md = sha256 # 鍵の暗号化方式 SHA1はすで...
default_bits = 2048 # 同上
default_crl_days = 3650 # 証明書失効リストの有効期限...
# 発行した全証明書が無効になる
# なので、長めにしておく。た...
countryName_default = JP # ...
stateOrProvinceName_default = Tokyo
localityName_default = 1-2-3, Ginza, Chuou-ku
emailAddress_default = foo@example.co.jp
*** CA [#of0c2ca2]
vi CA
CADAYS="-days 3650 # CA...
if [ -z "$DAYS" ] ; then DAYS="-days 3650" ; fi # 認...
if [ -z "$CATOP" ] ; then CATOP=/var/pki/myCA ; fi # CATOP
** CA証明書・秘密鍵の作成 [#if175212]
*** CA作成スクリプトの実行 [#u595de39]
SSLEAY_CONFIG="-config ./openssl.cnf" CATOP=/var/pki/myC...
- CA certificate filename (or enter to create) Enterキー...
- Enter PEM pass phrase: CA秘密鍵のパスフレーズ
- Verifying - Enter PEM pass phrase: 同上、再入力する
- 以降、住所などのDN情報を入力する
- A challenge password []: なしでよい
- Enter pass phrase for ./myCA/private/./cakey.pem: パス...
*** CA作成スクリプトによって作成されたファイル [#i1891ddc]
- CA証明書 /var/pki/myCA/cacert.pem
- CA秘密鍵 /var/pki/myCA/private/cakey.pem
myCA/index.txt.attr
myCA/private/cakey.pem
myCA/newcerts/XXX.pem
myCA/certs
myCA/careq.pem
myCA/crl
myCA/cacert.pem
myCA/index.txt
myCA/index.txt.old
myCA/serial
** CA証明書の内容確認 [#pd1397b9]
openssl x509 -in ./myCA/cacert.pem -text
** CA秘密鍵の内容確認 [#jcd4d0f4]
openssl rsa -in ./myCA/private/cakey.pem -text
** CA証明書をPEM形式からDER形式(IE等ブラウザ用)に変換 [...
openssl x509 -in ./myCA/cacert.pem -outform der -out ./m...
** 参考 [#n02396f8]
*** CAコマンド [#rbec2e7a]
- http://fc-lab.com/network/server/pki/openssl.html
- http://tenj.jp/modules/smartsection/item.php?itemid=139
*** opensslコマンド [#f82d0a54]
- http://ash.jp/sec/openssl.htm
ページ名: