Tarantella 資料一覧
OpenSSLを使ってプライベート認証局を構築する手順
2007/8/24更新
対応バージョン: E3-3.2
プライベート認証局を構築する方法はツールによって様々であるが、一般的な構築方法は以下のようになる(ここではOS=Linux、Webサーバ=Apacheを想定)。
サーバ側の各証明書の作成
プライベート認証局証明書(ルート認証)の作成
例)
# /usr/share/ssl/misc/CA -newca
サーバ証明書(秘密鍵)の作成
例)
# /usr/share/ssl/misc/CA -newreq → 作成された鍵ファイル(newreq.pem)を適当なファイル名(例:server-req.pem)に変更する。
公開鍵の作成と有効期限の設定
例)
# openssl ca -days 360 -in server-req.pem -out server-cert.pem
各クライアント用の証明書の作成
秘密鍵の作成
例)
# /usr/share/ssl/misc/CA -newreq → 作成された鍵ファイル(newreq.pem)を適当なファイル名(例:client-req.pem)に変更する。
公開鍵の作成と有効期限の設定
例)
# openssl ca -days 360 -in client-req.pem -out client-cert.pem
証明書をPKCS#12形式に変換する
例)
# openssl pkcs12 -export -in client-cert.pem -inkey client-req.pem \ -certfile /usr/share/ssl/misc/demoCA/cacert.pem -out client.p12
Apacheへの証明書インストール
作成した認証局証明書(ルート認証)をApacheにインストールする。
例)
# cp /usr/share/ssl/misc/demoCA/cacert.pem /etc/httpd/conf/ssl.crt/ca.crt
作成したサーバ証明書(秘密鍵)を Apache にインストールする。
例)
# cp /usr/share/ssl/misc/server-req.pem /etc/httpd/conf/ssl.key/server.key
作成した公開鍵をApacheにインストールする。
例)
# cp /usr/share/ssl/misc/server-cert.pem /etc/httpd/conf/ssl.crt/server.crt
不要なデモ用証明書を削除する。
例)
# rm /etc/httpd/conf/ssl.crt/snakeoil-*
ハッシュを更新する。
例)
# cd /etc/httpd/conf/ssl.crt ; make
Tarantellaへの証明書インストール
認証局証明書(ルート認証)をTarantellaのディレクトリにコピーする。
例)
# cp /usr/share/ssl/misc/demoCA/cacert.pem /opt/tarantella/var/tsp
サーバ証明書(秘密鍵)をTarantellaのディレクトリにコピーする。
例)
# cp /usr/share/ssl/misc/server-req.pem /opt/tarantella/var/tsp
公開鍵をTarantellaのディレクトリにコピーする。
例)
# cp /usr/share/ssl/misc/server-cert.pem /opt/tarantella/var/tsp
サーバ証明書(秘密鍵)の暗号を解除する。
例)
# tarantella security decryptkey \ --enckey /opt/tarantella/var/tsp/server-req.pem \ --deckey /opt/tarantella/var/tsp/server-req.pem.out \ --format PEM
Tarantellaに証明書をインストールする。
例)
# tarantella security certuse \ --certfile /opt/tarantella/var/tsp/server-cert.pem \ --keyfile /opt/tarantella/var/tsp/server-req.pem.out
ルート認証を有効にする。
例)
# tarantella security customca --rootfile /opt/tarantella/var/tsp/cacert.pem
関連資料・記事