社内ネットワークへのリモート接続や、無線LANによる認証等で色々と証明書が必要となる場合があるのでプライベート認証局を作りました。今後はここで構築した認証局(以下CA)を使って様々な認証に利用していきます。

今回既にサーバ上の「/etc/pki/CA」が使われている環境なので、改めて「/etc/pki/CA-PRIVATE」を作成して新規にCAを構築します。

今回構築にあたって使用した環境は

  • OS:Fedora15
  • OpenSSL:openssl-1.0.0d

まずは新規CAの構築場所として「/etc/pki/CA-PRIVATE」ディレクトリを作成。また新規CA用のopensslの設定ファイルも作成する。

mkdir /etc/pki/CA-PRIVATE
cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-private.cnf

新規CAの設定ファイル「/etc/pki/tls/openssl-private.cnf」を下記の様に修正する。

dir           = /etc/pki/CA-PRIVATE
default_days  = 3650
countryName_default            = JP
stateOrProvinceName_default    = Tokyo
localityName_default           = Toshima-ku
0.organizationName_default     = Clarus LLC.
organizationalUnitName_default = Information Systems Dev.

CA構築スクリプト「/etc/pki/tls/misc/CA」を新規CA用にコピーします。

cp /etc/pki/tls/misc/CA /etc/pki/tls/misc/CA-PRIVATE

新規CA用のスクリプトに下記 追加/修正を加える。

#DAYSとCADAYSは好みによって変更する。

SSLEAY_CONFIG="-config /etc/pki/CA-PRIVATE/openssl.cnf"   <- 新規追加
CATOP="/etc/pki/CA-CLARUS"   <-新規追加
DAYS="-days 3650"            <-新規追加
CADAYS="-days 7300"          <-既存修正

次はスクリプトを実行して、新規CAの秘密鍵と証明書、CA環境を作成します。

/etc/pki/tls/misc/CA-PRIVATE -newca

実行後、色々聞いてくるので適当に入力して進める。

CA certificate filename (or enter to create)
  
(省略)
  
writing new private key to '/etc/pki/HPT-CA/private/cakey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:【CA秘密鍵のパスフレーズ】
  
(省略)
  
Country Name (2 letter code) [JP]:【未入力 Enter】
State or Province Name (full name) [Tokyo]:【未入力 Enter】
Locality Name (eg, city) [Toshima-ku]:【未入力 Enter】
Organization Name (eg, company) [Clarus LLC]:【未入力 Enter】
Organizational Unit Name (eg, section) [Information Systems Dev.]:【未入力 Enter】
Common Name (eg, your name or your servers hostname) []:【ホスト名を入力】
Email Address []:【メールアドレスを入力】
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:【未入力 Enter】
An optional company name []:【未入力 Enter】
Using configuration from /etc/pki/HPT-CA/openssl.cnf
Enter pass phrase for /etc/pki/HPT-CA/private/cakey.pem:【CA秘密鍵のパスフレーズ】
  
(省略)

これで新規CAの環境が出来ました。あとはサーバ証明書やクライアント証明書を作ります。作り方は別記事参照。

  • このエントリーをはてなブックマークに追加