2007/8/24更新

対応バージョン: E3-3.2

プライベート認証局を構築する方法はツールによって様々であるが、一般的な構築方法は以下のようになる(ここではOS=Linux、Webサーバ=Apacheを想定)。

サーバ側の各証明書の作成

プライベート認証局証明書(ルート認証)の作成

例)

# /usr/share/ssl/misc/CA -newca

サーバ証明書(秘密鍵)の作成

例)

# /usr/share/ssl/misc/CA -newreq
→ 作成された鍵ファイル(newreq.pem)を適当なファイル名(例:server-req.pem)に変更する。

公開鍵の作成と有効期限の設定

例)

# openssl ca -days 360 -in server-req.pem -out server-cert.pem

各クライアント用の証明書の作成

秘密鍵の作成

例)

# /usr/share/ssl/misc/CA -newreq
→ 作成された鍵ファイル(newreq.pem)を適当なファイル名(例:client-req.pem)に変更する。

公開鍵の作成と有効期限の設定

例)

# openssl ca -days 360 -in client-req.pem -out client-cert.pem

証明書をPKCS#12形式に変換する

例)

# openssl pkcs12 -export -in client-cert.pem -inkey client-req.pem \
-certfile /usr/share/ssl/misc/demoCA/cacert.pem -out client.p12

Apacheへの証明書インストール

作成した認証局証明書(ルート認証)をApacheにインストールする。

例)

# cp /usr/share/ssl/misc/demoCA/cacert.pem /etc/httpd/conf/ssl.crt/ca.crt

作成したサーバ証明書(秘密鍵)を Apache にインストールする。

例)

 
# cp /usr/share/ssl/misc/server-req.pem /etc/httpd/conf/ssl.key/server.key

作成した公開鍵をApacheにインストールする。

例)

# cp /usr/share/ssl/misc/server-cert.pem /etc/httpd/conf/ssl.crt/server.crt

不要なデモ用証明書を削除する。

例)

# rm /etc/httpd/conf/ssl.crt/snakeoil-*

ハッシュを更新する。

例)

# cd /etc/httpd/conf/ssl.crt ; make

Tarantellaへの証明書インストール

認証局証明書(ルート認証)をTarantellaのディレクトリにコピーする。

例)

# cp /usr/share/ssl/misc/demoCA/cacert.pem /opt/tarantella/var/tsp

サーバ証明書(秘密鍵)をTarantellaのディレクトリにコピーする。

例)

# cp /usr/share/ssl/misc/server-req.pem /opt/tarantella/var/tsp

公開鍵をTarantellaのディレクトリにコピーする。

例)

# cp /usr/share/ssl/misc/server-cert.pem /opt/tarantella/var/tsp

サーバ証明書(秘密鍵)の暗号を解除する。

例)

# tarantella security decryptkey \
  --enckey /opt/tarantella/var/tsp/server-req.pem \
  --deckey /opt/tarantella/var/tsp/server-req.pem.out \
  --format PEM

Tarantellaに証明書をインストールする。

例)

# tarantella security certuse \
  --certfile /opt/tarantella/var/tsp/server-cert.pem \
  --keyfile /opt/tarantella/var/tsp/server-req.pem.out

ルート認証を有効にする。

例)

# tarantella security customca --rootfile /opt/tarantella/var/tsp/cacert.pem

関連資料・記事