#norelated ---- *目次 [#pf3ab3b2] #contents ---- *opensslでの簡単な証明書の作り方 [#pa452071] 確認環境は、 -centos7 -openssl1.0.1e-fips **手順 [#f3ae30fb] コマンドをうったときのディレクトリに証明書が作成されるため、最初にディレクトリを作っておくといい。例えば、~/cert など。~ ~/certを作成した場合、cdで~/certに移動後にコマンドを入力する。~ ***手順1.認証局作成 [#u4fbe304] CA環境を構築する。 /etc/pki/tls/misc/CA -newca これでウィザードにしたがって入力していく。~ 前もって、/etc/pki/tls/openssl.cnfでの設定を変更しておくと、改行するだけでいいので入力が楽になる。~ デフォルトで作成すると、/etc/pki/CAに作成される。~ CAを変更したい場合は、このディレクトリごと削除すれば可能。~ rm -rf /etc/pki/CA ***手順2.CAに対してリクエストファイルを作成する [#y5be0eca] あくまで簡易的な手順。詳細なリクエストファイルを作成したいときは個別に行わないといけない(別の手順として記載)。~ /etc/pki/tls/misc/CA -newreq ***手順3.リクエストされたファイルに対して署名をする(証明書を発行する) [#z5add5e6] 手順2でのリクエストファイルから証明書を作成する。 /etc/pki/tls/misc/CA -sign **補足事項 [#wb57147f] 幾つか必要となるコマンドを別途記載した。 ***PEMからDER変換 [#d13bd44c] 上記手順で作成される証明書はPEM形式でwindowsではインストール出来ないため、der形式に変換する必要がある。~ openssl x509 -inform PEM -in newcert.pem -outform DER -out newcert.cer また、CA証明書も同じ。CA証明書の格納場所も記載しておく。~ outと指定された箇所に出力される。~ openssl x509 -inform PEM -in /etc/pki/CA/cacert.pem -outform DER -out /etc/pki/CA/cacert.cer ***pfx作成 [#m36e885c] すべてのファイルが入っているpfxを作成する。(これ自信ない) openssl pkcs12 -export -in newcert.pem -inkey newkey.pem -certfile /etc/pki/CA/cacert.pem -out newkey.pfx *opensslでサブジェクトの別名の作成方法 [#y92e9878] 初期設定のままでは証明書内のサブジェクトの別名をつけることが不可能であるため、/etc/pki/tls/openssl.cnfの設定を変更する必要がある。~ 多分やり方は2つあるが、今回は、CAが署名する段階で付与する方法を記載。もう1つは、csrに記載する方法。一般的にはcsrに記載する方法だと思うが、仕事の都合上、簡単に出来る方を選んだ。~ **設定変更箇所 [#p2f7c127] いくつか変更箇所があるので抜粋した。関係ないところも変更している可能性があるが、検証しながら行ったためそのまま記載。 ***[ CA_default ]項目 [#w8e65afd] *opensslで楕円曲線証明書作成方法 [#e0b45d94] *opensslでの簡易じゃない証明書作成手順 [#t196053c] 簡易じゃないため、細かく設定を変更することが出来る。~ *opensslでcrlのバージョン1を作成する方法 [#y677e502] /etc/pki/tls/openssl.cnf