OpenSSLでプライベート認証局を作成し、サーバー証明書発行要求に署名する。

久々の作業だったのでせっかくなのでメモ代わりにまとめときます。

OpenSSLのプライベート認証局 設置

スクリプト作成したので参考までに・・・

#!/bin/sh

CATOP=CA設置ディレクトリのパス

CACERT=${CATOP}/cacert.pem
CAKEY=${CATOP}/private/cakey.pem

if [ ! -f ${CATOP}/serial ]; then
    mkdir ${CATOP}
	mkdir ${CATOP}/certs
	mkdir ${CATOP}/crl
	mkdir ${CATOP}/newcerts
	mkdir ${CATOP}/private
	touch ${CATOP}/index.txt
	echo "01" > ${CATOP}/serial

	openssl req \
	    -new -x509 \
	    -keyout ${CAKEY} \
	    -out ${CACERT} \
	    -days 3650
fi

OpenSSLのコンフィグファイルも書き換える必要あり。 設置箇所はOSやディストリビューションによって異なる。

opensslのdir設定をCA設置ディレクトリへ書き換えればOK

openssl.cnf

dir		= CA設置ディレクトリのパス

openssl.cnfをコピペして、毎回それを指定するのでもOKだが、 今回はデフォルト設定ファイルが変更できるので書き換えを行った。

サーバー証明書発行要求作成

これはプライベート認証局でなくても同じ作業、 サーバー証明書発行要求ファイルと秘密鍵ファイルを作成し、 認証局にサーバー証明書発行要求ファイルに署名を行ってもらう。

$ openssl req -new -days 証明書有効日数 -keyout 秘密鍵ファイル名(key.pem) -out サーバー証明書発行要求ファイル名(csr.pem)

証明書有効日数は署名時に切り詰められるので適当に大きな値にしておけば良いw

入力時に聞かれる項目は特にCommon Nameが認証したいサーバーのホスト名であることが重要。 そこだけ気を付ければ後は普通に入力すればよい。

秘密鍵生成時にはパスフレーズの入力が必須だが Apacheの起動ごとにパスフレーズの入力を要求されたりするので、 私はパスフレーズを解除して使っている。 以下、そのコマンド。

$ openssl rsa -in 秘密鍵ファイル名(key.pem) -out 秘密鍵ファイル名(key.pem)

プライベート認証局によるサーバー証明書発行

$ openssl ca -policy policy_anything -in サーバー証明書発行要求ファイル名(csr.pem) -out サーバー証明書ファイル名(csr.pem) -days 3650

プライベート認証局の認証は所詮テスト用等なので、期間は長く取っておく。

-policy policy_anythingについてはプライベート認証局レベルならおまじないと思っておいてよい。