ubuntu-server-10-04:self-signed_certificate
差分
このページの2つのバージョン間の差分を表示します。
| 両方とも前のリビジョン前のリビジョン次のリビジョン | 前のリビジョン | ||
| ubuntu-server-10-04:self-signed_certificate [2010/09/25 18:56] – admin | ubuntu-server-10-04:self-signed_certificate [2011/05/21 12:38] (現在) – [証明書と鍵の格納場所] admin | ||
|---|---|---|---|
| 行 6: | 行 6: | ||
| きちんと信用されるCAに署名してもらうにしても、自己署名するにしても、とりあえずは署名してもらう鍵をつくらなければ。 | きちんと信用されるCAに署名してもらうにしても、自己署名するにしても、とりあえずは署名してもらう鍵をつくらなければ。 | ||
| - | 鍵長が1024では安全ではないといわれる昨今なので、ゴッツく4096でいきます。 | + | 鍵長が1024では安全ではないといわれる昨今なので、ゴッツく4096で。 |
| $ sudo openssl genrsa -des3 -out server.key 4096 | $ sudo openssl genrsa -des3 -out server.key 4096 | ||
| 行 21: | 行 21: | ||
| $ sudo mv server.key.insecure server.key | $ sudo mv server.key.insecure server.key | ||
| + | Certificate Signing Request (CSR) を作成する。 | ||
| + | |||
| + | $ sudo openssl req -new -key server.key -out server.csr | ||
| + | |||
| + | いろいろ質問されるので答えておく。適当にエンターすると署名できない。' | ||
| + | * Country Name (2 letter code): 国コード | ||
| + | * State or Province Name: 州名/ | ||
| + | * Locality Name: 市町村名 | ||
| + | * Organization Name: 組織名 | ||
| + | * Organizational Unit Name: 組織内ユニット名 | ||
| + | * Common Name: アクセスされるホスト名を設定する www.example.com 等 | ||
| + | * Email Address: 連絡先のメールアドレス | ||
| + | |||
| + | |||
| + | この csr ファイルを自分で作った CA に署名させる。 | ||
| + | |||
| + | |||
| + | ==== 証明書と鍵の格納場所 ==== | ||
| + | |||
| + | サーバやCAの証明書や鍵は、 /etc/ssl に格納するのが標準らしい。 | ||
| + | |||
| + | * / | ||
| + | * ディレクトリのパーミッションは 755 root:root | ||
| + | * 内部に格納するファイルのパーミッションも 777 root:root 等 | ||
| + | |||
| + | * / | ||
| + | * ディレクトリのパーミッションは 710 root: | ||
| + | * 内部に格納するファイルのパーミッションも 640 root: | ||
| ===== Certification Authority を作成 ===== | ===== Certification Authority を作成 ===== | ||
| 行 37: | 行 65: | ||
| $ sudo touch / | $ sudo touch / | ||
| - | 3つ目は必須ではないが、複数回証明書を発行する場合は設定しとくと便利。 | + | 必須ではないが、複数回証明書を発行する場合は設定しとくと便利。 |
| / | / | ||
| 行 48: | 行 76: | ||
| </ | </ | ||
| - | ルート認証局の鍵と証明書を作成する。 | + | ルート認証局の鍵と証明書を作成する。10年間有効で鍵長は4096bit。 |
| $ sudo openssl req -newkey rsa:4096 -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650 | $ sudo openssl req -newkey rsa:4096 -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650 | ||
| + | |||
| + | 作成中に国コードなどの質問があるが、なにか入力しておかないと後で署名できなくなる。 | ||
| + | |||
| + | organizationName はサーバの CSR を作成した時と同じものを入力。 | ||
| 作成されたファイルをインストールする。 | 作成されたファイルをインストールする。 | ||
| 行 57: | 行 89: | ||
| $ sudo mv cacert.pem / | $ sudo mv cacert.pem / | ||
| + | ==== ブラウザインポート用の証明書を作成 ==== | ||
| + | |||
| + | 作成した CA をブラウザ等に信頼できる CA として登録する場合に使用する証明書を作成。 | ||
| + | |||
| + | $ sudo openssl x509 -inform pem -in / | ||
| + | |||
| + | ca.dar をブラウザに読み込ませる。 | ||
| + | |||
| + | |||
| + | ===== 作成したCAで署名 ===== | ||
| + | |||
| + | server.csr を作成したCAで署名する。10年間有効な署名。 | ||
| + | |||
| + | $ sudo openssl ca -in server.csr -config / | ||
| + | |||
| + | 署名されたファイルは / | ||
| + | |||
| + | このファイルを開き、-----BEGIN CERTIFICATE----- から ----END CERTIFICATE----- までをコピーして新しく server.crt ファイルを作成し、ペーストして保存する。(このファイルを使用する場合もある) | ||
| + | 作成された pem crt をサーバに設定する等して使用する。 | ||
ubuntu-server-10-04/self-signed_certificate.1285408619.txt.gz · 最終更新: 2010/09/25 18:56 by admin