wiki:TipAndDoc/ssl

Version 2 (modified by mitty, 15 years ago) (diff)

--

mod_ssl

SSL 証明書の作り方

with ubuntu hardy

  • install openssl
  • /etc/ssl/openssl.cnf /usr/lib/ssl/misc/CA.sh を適宜変更
  • CA.sh を使った場合、カレントディレクトリに「demoCA」というディレクトリが作られる
    • 違うディレクトリ・ファイル名にする場合は、45行目前後を変更する (今回はデフォルトのまま)
      CATOP=./demoCA
      CAKEY=./cakey.pem
      CAREQ=./careq.pem
      CACERT=./cacert.pem
      

rootCA

  • sudo /usr/lib/ssl/misc/CA.sh -newca
    Country Name (2 letter code) [AU]:JP
    State or Province Name (full name) [Some-State]:Ibaraki
    Locality Name (eg, city) []:Tsukuba
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Private CA for mitty.jp
    Organizational Unit Name (eg, section) []:
    Common Name (eg, YOUR name) []:Private CA for mitty.jp
    Email Address []:
    
    • ここで、「Organization Name」は後で作るサーバ証明書とは違う物にしておく
    • 「Common Name」はサーバ証明書ではサーバのFQDNだが、ルートCA証明書の場合はドメインでなくて良い
  • sudo openssl x509 -inform pem -in ./demoCA/cacert.pem -outform der -out ./demoCA/cacert.der
    • ブラウザインポート用のルートCA証明書(任意)
  • sudo /usr/lib/ssl/misc/CA.sh -newreq
    Country Name (2 letter code) [AU]:JP
    State or Province Name (full name) [Some-State]:Ibaraki
    Locality Name (eg, city) []:Tsukuba
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:mitty.jp
    Organizational Unit Name (eg, section) []:laboratory
    Common Name (eg, YOUR name) []:lab.mitty.jp
    Email Address []:
    
    • ルートCAへ送付する、サーバ証明書リクエストファイルとサーバ秘密鍵を作成
  • sudo openssl rsa -in ./newkey.pem -out ./newkey.pem
    • サーバ秘密鍵からパスフレーズの削除 (Apacheが起動する際にパスフレーズを聞かれなくてすむようにする)
  • sudo /usr/lib/ssl/misc/CA.sh -sign
    Enter pass phrase for ./demoCA/private/cakey.pem:
    
    Signed certificate is in newcert.pem
    
    • ルートCAを作った際の秘密鍵のパスフレーズをtype
    • サーバ証明書がnewcert.pemとして作成される
  • sudo openssl x509 -in newcert.pem -out newcert.crt
    • サーバ証明書から必要な部分だけを切り出す
  • 作成物
    • ./newkey.pem サーバ秘密鍵
    • ./newcert.crt サーバ証明書
    • ./demoCA/cacert.der (作った場合)サーバ証明書に対するルートCA証明書

参考