システム屋

CAを作る

1. openssl.cnfを修正するのでオリジナルを保存する#cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf.org
   　
2. /etc/pki/tls/openssl.cnfを編集する
   [ req ]
   default_bits            = 2048                     # 1024->2048
   
   [ usr_cert ]
   basicConstraints=CA:TRUE               # FALSE ->TRUEへ変更
   
   nsCertType = server                             # サーバー証明書を作成します
   
   [ v3_ca ]
   nsCertType = sslCA, emailCA           # SSLおよび電子メール認証サーバーを作成します
   
3. 証明書作成用のスクリプトのオリジナルを保存する
   #cd /etc/pki/tls/misc
   #cp CA CA.org
   　
4. 証明書作成用のスクリプトを修正する
   if [ -z “$OPENSSL” ]; then OPENSSL=openssl; fi
   SSLEAY_CONFIG=”-config ../openssl.cnf” # コンフィグレーションファイルの位置を修正
   DAYS=”-days 7300″                                                  # 有効期間を20年に変更
   CADAYS=”-days 7300″                                            # 有効期間を20年に変更
   REQ=”$OPENSSL req $SSLEAY_CONFIG”
   　
5. CA（スクリプト）を実行する
   #./CA -newca
   必要な情報入れたら出来上がり
   /etc/pki/CA フォルダーが出来ています
   　
6. opensslの設定を元に戻しておきます
   #cp /etc/pki/tls/openssl.cnf.org /etc/pki/tls/openssl.cnf
   　
7. CAの秘密鍵のパーミッションを変更する
   #chmod 0400 /etc/pki/CA/private/cakey.pem
   　
8. 認証局の証明書を作成する（配布用）
   cd /etc/pki/CA/
   # openssl x509 -inform PEM -in cacert.pem -outform DER -out cacert.der

CAができたら

1. サーバ証明書要求を作成する
   # cd /etc/pki/tls/misc/
   # ./CA -newreqnewkey.pem
   newreq.pemができる
   　
2. サインする
   # ./CA -sign
   newcert.pemができる
   　
3. キーファイルのパスフレーズを解除する
   # openssl rsa -in newkey.pem -out newkey.pem
   　
4. 出来上がった証明書のファイルの名前を変えて配備する