ubuntu-server-10-04:self-signed_certificate

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

--- ubuntu-server-10-04:self-signed_certificate [2010/09/25 20:08] – admin
+++ ubuntu-server-10-04:self-signed_certificate [2011/05/21 12:38] (現在) – [証明書と鍵の格納場所] admin
@@ 行 31: / 行 31: @@
   * Organization Name: 組織名
   * Organizational Unit Name: 組織内ユニット名
-  * Common Name: HTTPでアクセスするホスト名を設定する www.example.com
+  * Common Name: アクセスされるホスト名を設定する www.example.com 等
   * Email Address: 連絡先のメールアドレス
 この csr ファイルを自分で作った CA に署名させる。
+==== 証明書と鍵の格納場所 ====
+サーバやCAの証明書や鍵は、 /etc/ssl に格納するのが標準らしい。
+  * /etc/ssl/certs 証明書 (公開情報)
+    * ディレクトリのパーミッションは 755 root:root
+    * 内部に格納するファイルのパーミッションも 777 root:root 等
+  * /etc/ssl/private 秘密鍵 (機密情報)
+    * ディレクトリのパーミッションは 710 root:ssl-cert
+    * 内部に格納するファイルのパーミッションも 640 root:ssl-cert 等に設定して慎重に管理
 ===== Certification Authority を作成 =====
@@ 行 52: / 行 65: @@
   $ sudo touch /etc/ssl/CA/index.txt
-つ目は必須ではないが、複数回証明書を発行する場合は設定しとくと便利。
+必須ではないが、複数回証明書を発行する場合は設定しとくと便利。
 /etc/ssl/openssl.cnf の [ CA_default ] 内を変更。
@@ 行 75: / 行 88: @@
   $ sudo mv cakey.pem /etc/ssl/private/
   $ sudo mv cacert.pem /etc/ssl/certs/
+==== ブラウザインポート用の証明書を作成 ====
+作成した CA をブラウザ等に信頼できる CA として登録する場合に使用する証明書を作成。
+  $ sudo openssl x509 -inform pem -in /etc/ssl/certs/cacert.pem -outform der -out ca.der
+ca.dar をブラウザに読み込ませる。
@@ 行 83: / 行 104: @@
   $ sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf -days 3650
+署名されたファイルは /etc/ssl/newcerts/01.pem にある。以後署名するたびに番号が増えていく。
+このファイルを開き、-----BEGIN CERTIFICATE----- から ----END CERTIFICATE----- までをコピーして新しく server.crt ファイルを作成し、ペーストして保存する。（このファイルを使用する場合もある）
+作成された pem crt をサーバに設定する等して使用する。

ubuntu-server-10-04/self-signed_certificate.1285412910.txt.gz · 最終更新: 2010/09/25 20:08 by admin