Yanor.net/
Wiki
Blog
GitHub
Sandbox
開始行:
* OpenSSLのCAコマンドを使ったサーバ証明書クライアント証明...
** 前提 [#dcdb14c8]
- [[OpenSSLのCAコマンドを使ったCA構築>セキュリティ・PKI/O...
- 今回は以下のような構成でCAがすでに構築されている事にす...
-- /var/pki/myCA CA証明書やサーバ証明書やクライアント証明...
-- /var/pki/openssl.cnf opensslコマンドの設定ファイル
-- /var/pki/CA CAコマンド
** サーバ証明書とクライアント証明書 [#je205a1f]
- サーバ証明書とクライアント証明書の作成手順は同じ。
- ただしクライアント証明書は最終的にPCのブラウザなどにイ...
** サーバ証明書(クライアント証明書)の秘密鍵とCSR(署名...
SSLEAY_CONFIG="-config ./openssl.cnf" DAYS="-days 3650" ...
- パスフレーズの設定が促されるが、不要な場合は後でこの証...
- 以下のファイルが作成される。
-- newkey.pem サーバ秘密鍵
-- newreq.pem サーバ証明書の署名要求(CSR)
*** CSR(署名要求)の内容確認 [#c2d87d15]
openssl req -noout -text -in newreq.pem
** 署名要求(CSR)をCA証明書で署名してサーバ証明書(クラ...
SSLEAY_CONFIG="-config ./openssl.cnf" CATOP=./myCA ./CA ...
- 上のコマンドを実行すると証明書の詳細が表示されて、署名...
- すると、以下のファイルが作成される。
-- newcert.pem サーバ証明書(クライント証明書)
-- myCA/newcerts/F1234XXXXXXF1.pem サーバ証明書(クライン...
-- 以降の作業はnewcert.pemを使うが、newcerts以下の証明書...
- さらに、この内容をコミットするか?と問われるのでYESを選...
- すると、以下のファイルが更新される。
-- myCA/index.txt 発行した証明書一覧データベースファイル
-- myCA/serial 証明書を発行するごとにインクリメントされる...
** 秘密鍵からパスフレーズを削除 [#g60d4449]
mv newkey.pem newkey.pem.tmp
openssl rsa -in newkey.pem.tmp -out newkey.pem
rm newkey.pem.tmp
** 証明書のリネーム [#yed5859a]
_tmp=server01 && ( mv newcert.pem $_tmp.crt; mv newkey.p...
** クライアント秘密鍵とクライアント証明書を結合してpkcs12...
openssl pkcs12 -export -in client.crt -inkey client.key ...
- 必要に応じて、client.keyのパスフレーズを入力する。
- 必要に応じて、client.p12をインポートする際のパスフレー...
*** PKCS12形式のクライアント証明書をブラウザへインストー...
[[Apache / SSL / クライアント証明書による認証>http://yano...
終了行:
* OpenSSLのCAコマンドを使ったサーバ証明書クライアント証明...
** 前提 [#dcdb14c8]
- [[OpenSSLのCAコマンドを使ったCA構築>セキュリティ・PKI/O...
- 今回は以下のような構成でCAがすでに構築されている事にす...
-- /var/pki/myCA CA証明書やサーバ証明書やクライアント証明...
-- /var/pki/openssl.cnf opensslコマンドの設定ファイル
-- /var/pki/CA CAコマンド
** サーバ証明書とクライアント証明書 [#je205a1f]
- サーバ証明書とクライアント証明書の作成手順は同じ。
- ただしクライアント証明書は最終的にPCのブラウザなどにイ...
** サーバ証明書(クライアント証明書)の秘密鍵とCSR(署名...
SSLEAY_CONFIG="-config ./openssl.cnf" DAYS="-days 3650" ...
- パスフレーズの設定が促されるが、不要な場合は後でこの証...
- 以下のファイルが作成される。
-- newkey.pem サーバ秘密鍵
-- newreq.pem サーバ証明書の署名要求(CSR)
*** CSR(署名要求)の内容確認 [#c2d87d15]
openssl req -noout -text -in newreq.pem
** 署名要求(CSR)をCA証明書で署名してサーバ証明書(クラ...
SSLEAY_CONFIG="-config ./openssl.cnf" CATOP=./myCA ./CA ...
- 上のコマンドを実行すると証明書の詳細が表示されて、署名...
- すると、以下のファイルが作成される。
-- newcert.pem サーバ証明書(クライント証明書)
-- myCA/newcerts/F1234XXXXXXF1.pem サーバ証明書(クライン...
-- 以降の作業はnewcert.pemを使うが、newcerts以下の証明書...
- さらに、この内容をコミットするか?と問われるのでYESを選...
- すると、以下のファイルが更新される。
-- myCA/index.txt 発行した証明書一覧データベースファイル
-- myCA/serial 証明書を発行するごとにインクリメントされる...
** 秘密鍵からパスフレーズを削除 [#g60d4449]
mv newkey.pem newkey.pem.tmp
openssl rsa -in newkey.pem.tmp -out newkey.pem
rm newkey.pem.tmp
** 証明書のリネーム [#yed5859a]
_tmp=server01 && ( mv newcert.pem $_tmp.crt; mv newkey.p...
** クライアント秘密鍵とクライアント証明書を結合してpkcs12...
openssl pkcs12 -export -in client.crt -inkey client.key ...
- 必要に応じて、client.keyのパスフレーズを入力する。
- 必要に応じて、client.p12をインポートする際のパスフレー...
*** PKCS12形式のクライアント証明書をブラウザへインストー...
[[Apache / SSL / クライアント証明書による認証>http://yano...
ページ名: