2019,04,14, Sunday
UNIX / Linux 環境で、SSL/TLS を利用する際に使用する極めて多機能なコマンド「openssl」は、その多彩な機能を呼び出すために、多くの「サブコマンド」が第1引数として用意されています(なんと man ページもこのサブコマンド毎に用意されている)。
この openssl で、サイト自己証明書を作成しようとするとき、ネットで検索して見つかる手順の多くは、以下のようなものです(わきたもこれまではこの手順によっていました)。
先日ネットで自己証明書作成方法について改めて調べていたら、これら手順をひとまとめにして、openssl コマンド1発で、秘密鍵(pkey)ファイルとサイト自己証明書(cert)ファイルを生成する方法があるということが判りました。 以下に、備忘録の意味も含めて整理しておきます。 証明書に含める「証明書識別名(DN)情報」は、予めDN情報設定ファイルに記述しておくこととします。 以下、証明書識別名(DN)情報設定ファイル(mkcrt.conf)の内容 (root)# cat mkcrt.conf ↓ 自己認証証明書ファイルの発行 (openssl req コマンド を使用し、-newkey/-x509 両オプションを指定する) 指定する各オプションの意味
※1:生成するpkeyファイルとcertファイルのファイル名が同一である場合、pkeyとcertがこのファイル一つに同梱される 以下、openssl req コマンドの実行 (root)# openssl req \ 最後に、ファイル生成後、セキュリティを高めるため、パーミッションを変更しておきます。 (root)# chmod 600 ./mkcrt.conf ./pkey.pem ./cert.pem ↓ この生成法でキーとなるのは、openssl の req サブコマンドを、-newkey オプションならびに -x509 オプションを付加して実行する点です。 req サブコマンドは与えられた DN情報に基づいて、認証局に対するリクエスト(csr)ファイルを生成するコマンドです。 これに -newkey オプションを付加することで、csr ファイルに「加えて」、秘密鍵(pkey)ファイルも生成させることができます。 さらに -x509 オプションを付加することで、今度は csr ファイルに「代えて」サイト証明書(cert)ファイルが生成されます。 これら2つのオプションにより、req サブコマンドの本来の動作である csr ファイルの生成は抑制され、その代わりに pkey ファイルと cert ファイルが生成されるという訳です。 以下、openssl req のマニュアルページの抜粋 -newkey arg
| http://blog.wakita.cc/index.php?e=97 |
| サーバ・Linux::ネットワーク | 07:19 PM | comments (0) | trackback (0) | |
コメント
コメントする
|
この記事のトラックバックURL
http://blog.wakita.cc/tb.php/97
トラックバック
|