T.B.D. 概要部分は書きかけです。。。m(__)m
+-----------------+ |ルート認証局(CA) | +-----------------+ ↓ルート認証局の秘密鍵を用いて署名 +-----------------+ |中間認証局(CA) | +-----------------+ ↓中間認証局の秘密鍵を用いて署名 +-----------------+ |サーバー証明書 | +-----------------+ Webサーバー Webブラウザ +---------------+ +---------------------------------+ |ルート証明書 | |ルート証明書 (信頼している証明書)| +---------------+ +---------------------------------+ |中間証明書 | +---------------+ |サーバー証明書 | +---------------+ +---------------+ |サーバー秘密鍵 | +---------------+
aptitude install openssl
#################################################################### [ CA_default ] # <変更> 出力先ディレクトリを変更 #* dir = ./demoCA # Where everything is kept dir = RootCA
# <変更> 署名時のポリシーを変更 # 都道府県名指定なしのルート証明書とするため、 # stateOrProvinceName を optional に変更する。 # # [備考] # match : CAと一緒 # supplied : 当該項目が設定されている # optional : オプション(設定なし, 不一致でも問題ならない) # # For the CA policy [ policy_match ] countryName = match #* stateOrProvinceName = match stateOrProvinceName = optional organizationName = match organizationalUnitName = optional commonName = supplied emailAddress = optional
[ usr_cert ] ~(省略)~ # <変更> (追加) 失効リストのURLを設定する。 crlDistributionPoints = URL:http://ehobby.jp/ca/latestcrl.crl ~(省略)~ [ v3_ca ] ~(省略)~ # <変更> (追加) 失効リストのURLを設定する。 # ※署名時のオプション -extensions v3_ca 指定により、 # 署名した証明書に失効リストのURL情報が付与あれます。 crlDistributionPoints = URL:http://ehobby.jp/ca/latestcrl.crl
[ v3_ca ] ~(省略)~ # <変更> (追加) DNS情報追加 subjectAltName=@alt_names # ディレクティブに注意 !!! # [ v3_ca ] ディレクティブ内の設定はここより上に移動してください。 [ alt_names ] DNS.1 = ehobby.jp DNS.2 = www.ehobby.jp
# ------------------------------------------------------- # 設定 # ------------------------------------------------------- TARGET_DIR=RootCA # 作成先ディレクトリ IS_ROOTCA=y # ルート認証局の場合 y DAYS=3650 # 有効期間 SUBJ_C=JP # 国 SUBJ_ST= # 都道府県 SUBJ_L= # 市町村 SUBJ_OU= # 部門名 SUBJ_O="Ehobby" # 組織名 SUBJ_CN="Ehobby" # コモンネーム(*1) CNF_FILE=openssl_ca.cnf # 設定ファイル名 # (*1) サーバー証明書の場合は、FQDN を指定する。
mkdir -p ${TARGET_DIR}/{certs,crl,newcerts,private}
chmod 700 ${TARGET_DIR}/private
touch ${TARGET_DIR}/index.txt
echo 01 > ${TARGET_DIR}/serial
if [ ! -f ${CNF_FILE} ]; then echo "not found ${CNF_FILE}" exit 1 fi
SUBJ=/C=${SUBJ_C} # (1) 都道府県情報追加 if [ ! "${SUBJ_ST} = "" ]; then SUBJ="${SUBJ}/ST=${SUBJ_ST}" fi # (2) 市町村情報追加 if [ ! "${SUBJ_L} = "" ]; then SUBJ="${SUBJ}/L=${SUBJ_L}" fi # (3) 部門名情報追加 if [ ! "${SUBJ_OU} = "" ]; then SUBJ="${SUBJ}/OU=${SUBJ_OU}" fi # (4) 組織名情報追加 if [ ! "${SUBJ_O} = "" ]; then SUBJ="${SUBJ}/O=${SUBJ_O}" fi # (5) コモンネーム情報追加 if [ ! "${SUBJ_CN} = "" ]; then SUBJ="${SUBJ}/CN=${SUBJ_CN}" fi
# (1) オプション調整 # ルート認証局の場合は、証明書を作成する。 # ==> -x509 オプションの付与が必要 # 上位の認証局に署名をもらう場合は、署名要求用ファイルを作成する。 # ==> 出力ファイルに _req を付与する。 X509= OUT_FILE=cacert.pem if [ "${IS_ROOTCA}" = "y" ]; then X509=-x509 OUTFILE=cacert_req.pem fi # (2) 証明書生成 # 暗号化方式: sha256 (SHA1の場合は、-newkey rsa:2048 を指定する) # openssl req -new \ ${X509} \ -sha256 \ -config ./openssl_ca.cnf \ -out ${TARGET_DIR}/${OUT_FILE} \ -days ${DAYS} \ -keyout ${TARGET_DIR}/private/cakey.pem \ -subj "${SUBJ}"
chmod 600 ${TARGET_DIR}/private/cakey.pem
次のコマンドで証明書の内容を確認できます。
openssl x509 -text -noout -in RootCA/cacert.pem
openssl x509 -inform pem -in RootCA/cacert.pem -outform der -out RootCA/cacert.der
DER | Distinguished Encoding Rules | ASN.1のエンコード方式の一つ X.509 |
PEM | Privacy Enhanced Mail | Base64にてエンコードした形式 |
# cd [任意のディレクトリ] # mkdir IntermediateCA # mkdir IntermediateCA/{certs,crl,newcerts,private} # chmod 700 IntermediateCA/private # touch IntermediateCA/index.txt # cp /etc/ssl/openssl.conf ./openssl_intermediateca.cnf
[ CA_default ] #*dir = ./demoCA # Where everything is kept dir = ./IntermediateCA # Where everything is kept certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl are keptir ~(省略)~ [ usr_cert ] crlDistributionPoints = URI:<失効リストのURL>
echo 01 > IntermediateCA/serial
$ oepnssl req \ -new \ -sha256 -config ./openssl_intermediateca.cnf \ -out IntermediateCA/cacert_req.pem \ -days <有効期間(日数)> \ -keyout IntermediateCA/private/cakey.pem \ -subj "/C=JP/ST=<都道府県名>/O=<会社名>/OU=<部署名>/CN=<ドメイン名>" Enter PEM pass phrase: <任意のパスフレーズを入力> Verifying - Enter PEM pass phrase: <確認のため、再度パスフレーズを入力>上記のコマンドにより、次のファイルが生成されます。
cacert_req.pem | 中間認証局(CA)証明書の署名要求ファイル | 権限:-rw-r--r-- |
private/cakey.pem | 中間認証局(CA)の秘密鍵 | 権限:-rw------- |
openssl ca \ -config ./openssl_rootca.cnf \ -policy policy_match \ -extensions v3_ca \ -days <有効期間(日数)> \ -out cacert_req/<ドメイン名>-cacert.pem -infiles cacert_req/<ドメイン名>-cacert_req.pem
openssl verify -purpose sslclient -CAfile RootCA/cacert.pem \ cacert_req/<ドメイン名>-cacert.pem