CA証明書作成

事前に環境構築を実施しておく必要があります。 ここでは、ルート認証局用のCA証明書作成方法を記載します。 中間認証局用 CA証明書作成については、証明書署名要求(CSR)作成と署名を参照ください。

ルート認証局用 CA証明書作成

次のコマンドを実行します。 ★<>の部分は適宜変更のこと。

#
# 1. 設定
#
# CERT=rootca (固定)
#
# HASH=<ハッシュアルゴリズム>
#      -newkey rsa:2048  : SHA-1
#      -sha256           : SHA-2 ★推奨
#
# DAYS=<証明書の有効期限日数>
#
# SUBJ=<識別情報>
#      識別情報には、次のような情報を指定する。
#      /C=国/ST=都道府県/L=市町村/O=組織/OU=部門/CN=コモンネーム
#
CERT=rootca
HASH=-sha256
DAYS=720
SUBJ="/C=JP/O=<組織>/CN=<コモンネーム(例:XXX Root CA)>"
#
# 2. 秘密鍵と証明書を生成
openssl req -new                         \
        -x509                            \
        ${HASH}                          \
        -config     ./openssl.cnf        \
        -out        ca/${CERT}.pem       \
        -extensions cert_${CERT}         \
        -days       ${DAYS}              \
        -keyout     ca/private/cakey.pem \
        -subj       "${SUBJ}"
#
# 3. 秘密鍵の権限を自分しかアクセスできないように変更
chmod 600 ca/private/cakey.pem
#
# 4. der 形式ファイルの生成 (ブラウザ等に取り込むための形式)
openssl x509 -inform pem -in ca/${CERT}.pem -outform der -out ca/${CERT}.der

生成された証明書の確認

次のコマンドで証明書の内容を確認できます。

openssl x509 -text -noout -in ca/${CERT}.pem

参考情報

証明書のエンコード形式について

拡張子 .pem, .der は証明書のエンコード形式を表します。

証明書の種類について


トップ   一覧 検索 最終更新   ヘルプ   最終更新のRSS