• 本文
• ノート?
• 編集
• 差分
• 一覧

Linux/自己認証局(CA) の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• Linux/自己認証局(CA) へ行く。
• Linux/自己認証局(CA) の差分を削除

*自己認証局(CA) [#mfb7b160]

**証明書作成用設定ファイルの編集 [#ie6c1918]
 # vi /etc/pki/tls/openssl.cnf
 170 basicConstraints=CA:FALSE
       ↓
 170 basicConstraints=CA:TRUE
 
 * コメント外す
 176 nsCertType                      = server
 245 nsCertType = sslCA, emailCA
 278 nsCertType                      = server

**自己認証局(CA)の設定変更 [#iac267a8]
 # vi /etc/pki/tls/misc/CA
 DAYS="-days 365"       # 1 year
 CADAYS="-days 1095"     # 3 years
      ↓
 DAYS="-days 3650"       # 10 year
 CADAYS="-days 7300"     # 20 years

**自己認証局(CA)の構築 [#l92893c0]
 # cd /etc/pki/tls/misc
 #./CA -newca
 CA cretificate filename (or enter tocreate)  <---上位CAがあれば指定
 Enter PEM pass phrase:  <---証明書のパスフレーズを入力
 Verifying - Enter PEM pass phrase:  <---証明書のパスフレーズの確認
 Country Name (2 letter code) [AU]:JP <---国名、日本なら'JP'
 State or Province Name (full name) [Some-State]:AICHI <---都道府県名を指定
 Location Name(eg,city) []:NAGOYA <---組織の本拠地の市区町村名を指定
 Orgnaization Name(eg,company)[Internet Widgits Pty Ltd]:UNIXLife <---組織名(法人名)を指定
 Orgnaization Unit Name(eg,section)[]: <---部署名を指定
 Common Name (eg,YOUR name)[]:sv.unixlife.jp <---サーバのホスト名(FQDN)を指定
 Email Address []:master@unixlife.jp <---連絡先E-Mailアドレスを指定

/etc/pki/CA/cacert.pem =認証機関の証明書

/etc/pki/CA/private/cakey.pem =認証機関の秘密鍵

***証明書の確認 [#o2f18e31]
 # openssl x509 -in /etc/pki/CA/cacert.pem -text

***ブラウザにインストールする用にバイナリDERフォーマットにする。 [#e20db49b]
 # openssl x509 -in cacert.pem -outform DER -out cacert.der

ブラウザからインストールできるよう下記の設定を追加
 # vi /etc/httpd/conf.d/ssl.conf
 AddType application/x-x509-ca-cert .crt
       ↓
 AddType application/x-x509-ca-cert .crt .der

ファイルは読み込める場所にコピーしておく
 # cp /etc/pki/CA/cacert.der /var/www/html/

**サーバの秘密鍵と署名要求証明書の作成 [#n1f9561f]
 # mkdir /etc/pki/server/
 # cd /etc/pki/server/
 # openssl genrsa -des3 -out server.key 2048
 # openssl rsa -in server.key -out server.key.nopass

**署名要求証明書の作成 [#sef5410f]
 # openssl req -new -days 3650 -key server.key -out csr.pem
 Country Name (2 letter code) [AU]:  <---国名、通常は'JP'
 State or Province Name (full name) [Some-State]:  <---都道府県名を指定
 Location Name(eg,city) []:  <---組織の本拠地の市区町村名を指定
 Orgnaization Name(eg,company)[Internet Widgits Pty Ltd]:  <---組織名(法人名)を指定
 Orgnaization Unit Name(eg,section)[]:  <---部署名を指定
 Common Name (eg,YOUR name)[]:  <---FQDNを指定
 Email Address []:  <---連絡先E-Mailアドレスを指定

**自己CAでの署名要求証明書への署名 [#g4dfbf77]
 # cd /etc/pki/tls/misc
 # openssl ca -config /etc/pki/tls/openssl.cnf -in /etc/pki/server/csr.pem -keyfile \
 /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -out /etc/pki/server/cert.pem