RaspberryPi/証明書/CA証明書作成 のバックアップ(No.5)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- RaspberryPi/証明書/CA証明書作成 へ行く。
CA証明書作成 †
事前に環境構築を実施しておく必要があります。 ここでは、ルート認証局用のCA証明書作成方法を記載します。 中間認証局用 CA証明書作成については、証明書署名要求(CSR)作成と署名を参照ください。
ルート認証局用 CA証明書作成 †
次のコマンドを実行します。 ★<>の部分は適宜変更のこと。
#
# 1. 設定
#
# CERT=rootca (固定)
#
# HASH=<ハッシュアルゴリズム>
# -sha1 : SHA-1
# -sha256 : SHA-2 ★推奨
# ※-md5 のような指定も可能であるが、通常指定しません。
#
# KEY=<
# DAYS=<証明書の有効期限日数>
#
# SUBJ=<識別情報>
# 識別情報には、次のような情報を指定する。
# /C=国/ST=都道府県/L=市町村/O=組織/OU=部門/CN=コモンネーム
#
CERT=rootca
HASH=-sha256
DAYS=720
SUBJ="/C=JP/O=<組織>/CN=<コモンネーム(例:XXX Root CA)>"
#
# 2. 秘密鍵と証明書を生成
openssl req -new \
-x509 \
-config ./openssl.cnf \
-out ca/${CERT}.pem \
-extensions cert_${CERT} \
-days ${DAYS} \
-keyout ca/private/cakey.pem \
-subj "${SUBJ}"
#
# 3. 秘密鍵の権限を自分しかアクセスできないように変更
chmod 600 ca/private/cakey.pem
#
# 4. der 形式ファイルの生成 (ブラウザ等に取り込むための形式)
openssl x509 -inform pem -in ca/${CERT}.pem -outform der -out ca/${CERT}.der
生成された証明書の確認 †
次のコマンドで証明書の内容を確認できます。
openssl x509 -text -noout -in ca/${CERT}.pem
参考情報 †
証明書のエンコード形式について †
拡張子 .pem, .der は証明書のエンコード形式を表します。
- DER (Distinguished Encoding Rules) ASN.1 のバイナリエンコード方式の1つ。 .cer, .crt の拡張子となっている場合があります。
- PEM (Privacy Enhanced Mail) BASE64にてエンコードした形式。 さまざまな種類の X.509 v3 ファイルに使用されます。
証明書の種類について †
- CRT 証明書には、CRT拡張子が使用されます。証明書は、バイナリのDERまたはASCIIのPEMとしてエンコードできます。
- CER CRTの代替形式。
- KEY 公開鍵と秘密鍵の両方のPKCS#8鍵に使用されます。 キーはバイナリDERまたはASCIIのPEMとしてエンコードできます。
