Top / Network / SSL / CA局としてCSRに署名する

SSLのためのサーバ証明書の話です。サーバ証明書はVersignなどいわゆるCA局*1に対して証明書要求(CSR。署名前の証明書のこと)を提出し、それに署名*2をしてもらう必要があります。 ところでそのCA局ですが、自分でCAを名乗って自分で署名を行うこともできます。HTTPを使ったサイトを構築する場合などは、ブラウザがサイトにアクセスした際、ブラウザに組み込まれたCAの公開鍵をつかって、署名を行っているCAが正式なモノであるかを検証をするため、自前の署名だとあまり役に立たない*3わけですが、テストサイトや社内のサイトを立ち上げる場合や、SSL-VPNなどのInternalな用途の場合は自前の署名で十分ですね。

OpenSSLのインストール

[root@www conf] yum install openssl

CA用秘密鍵を作成する

[root@www conf]# openssl genrsa -des3 -rand /var/log/maillog -out ca.key 1024
441467 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
......++++++
.........................++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:
[root@www conf]#

CA用証明書を作成する

先の秘密鍵から、CA用の証明書を作成します

[root@www conf]#  openssl req -new -x509 -days 365 -key ca.key -out ca.crt
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:Tokyo
Locality Name (eg, city) [Newbury]:Bunkyo
Organization Name (eg, company) [My Company Ltd]:Private CA
Organizational Unit Name (eg, section) []:Admin
Common Name (eg, your name or your server's hostname) []:www.hogehoge.com
Email Address []:masatomix@hogehoge.com
[root@www conf]#

CSRにCAとして署名する。

サイン用shを取得

[root@www conf]# cd /tmp/
[root@www tmp]# wget http://www.modssl.org/source/mod_ssl-2.8.30-1.3.39.tar.gz
--23:33:36--  http://www.modssl.org/source/mod_ssl-2.8.30-1.3.39.tar.gz
           => `mod_ssl-2.8.30-1.3.39.tar.gz'
www.modssl.org をDNSに問いあわせています... 195.30.6.168
www.modssl.org|195.30.6.168|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 820,416 (801K) [application/x-gzip]

100%[============================================================================>] 820,416       80.34K/s    ETA 00:00

23:33:47 (79.45 KB/s) - `mod_ssl-2.8.30-1.3.39.tar.gz' を保存しました [820416/820416]
[root@www tmp]# tar xvzf mod_ssl-2.8.30-1.3.39.tar.gz

サインする

[root@www conf]# /tmp/mod_ssl-2.8.30-1.3.39/pkg.contrib/sign.sh  server.csr
CA signing: server.csr -> server.crt:
Using configuration from ca.config
Enter pass phrase for ./ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'JP'
stateOrProvinceName   :PRINTABLE:'Tokyo'
localityName          :PRINTABLE:'Bunkyo'
organizationName      :PRINTABLE:'Masatom in'
organizationalUnitName:PRINTABLE:'self'
commonName            :PRINTABLE:'www.hogehoge.com'
emailAddress          :IA5STRING:'root@hogehoge.com'
Certificate is to be certified until Mar  1 14:35:46 2009 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
CA verifying: server.crt <-> CA cert
server.crt: OK
[root@www conf]#

CSRから証明書が作成されました。

[root@www conf]# ls -lrt
合計 308
-rw-r--r-- 1 root root   887 2008-03-01 23:18 ca.key
-rw-r--r-- 1 root root  1314 2008-03-01 23:20 ca.crt
-rw-r--r-- 1 root root   887 2008-03-01 23:28 server.key
-rw-r--r-- 1 root root  2706 2008-03-01 23:36 server.crt <-これ
[root@www conf]#

この記事は

選択肢 投票
おもしろかった 0  
そうでもない 0  

Top / Network / SSL / CA局としてCSRに署名する

現在のアクセス:4232


*1 Certificate Authority。認証局ですね
*2 署名ってのは証明書のハッシュをCA局の秘密鍵で暗号化したモノ、、ですね。たぶん
*3 ブラウザに信用できねえ署名だよって警告される。役に立たないってのは言い過ぎ(´д`;)

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2008-07-13 (日) 16:59:53 (4060d)