ブログ

プライベート認証をコマンドで。

認証局によるチェーンの仕組み

CSR(Certificate Signing Request):
エンコードされたテキストファイルで、申請する会社の組織名・所在地・ドメイン名・公開鍵などの情報が含まれています。

実際のコマンド上での署名チェーンは次の通り。こちらを参考にした。

# root
openssl req -new -nodes -text -out root.csr \
  -keyout root.key -subj "/CN=root.yourdomain.com"
chmod og-rwx root.key
openssl x509 -req -in root.csr -text -days 3650 \
  -extfile /etc/ssl/openssl.cnf -extensions v3_ca \
  -signkey root.key -out root.crt

# intermediate
openssl req -new -nodes -text -out intermediate.csr \
  -keyout intermediate.key -subj "/CN=intermediate.yourdomain.com"
chmod og-rwx intermediate.key
openssl x509 -req -in intermediate.csr -text -days 1825 \
  -extfile /etc/ssl/openssl.cnf -extensions v3_ca \
  -CA root.crt -CAkey root.key -CAcreateserial \
  -out intermediate.crt

# leaf
openssl req -new -nodes -text -out server.csr \
  -keyout server.key -subj "/CN=dbhost.yourdomain.com"
chmod og-rwx server.key
openssl x509 -req -in server.csr -text -days 365 \
  -CA intermediate.crt -CAkey intermediate.key -CAcreateserial \
  -out server.crt

参考文献

SSL証明書の署名と検証

PKIとは

図解 X.509 証明書

デジタル署名:

デジタル署名で否認防止をする

参考文献

プライベート認証局(CA)にてクライアント証明書の発行

プライベート認証局を作る

中間認証局:

SSL証明書のルート認証局・中間認証局 とは?

公開鍵証明書-プライベート認証局(オレオレ認証局)を作り、証明書チェーンを作成するまでの流れ

OpenSSLでプライベート認証局の構築(ルートCA、中間CA)

タグ: , , , , , , , ,

コメントを残す