オレオレ証明書の作成手順 †秘密鍵を作成(CSR を作るために) †暗号化方式は DES で、鍵長 1024 バイト。 openssl genrsa -des 1024 > key.pem key.pem が秘密鍵。 パスフレーズを訊かれるので、入力する。 (必要に応じて)パスフレーズを削除する †SSL サーバを作るなどの際、httpd サービス起動時にパスフレーズを訊かれて困ることがある。 openssl rsa -in key.pem -out key.pem とすれば、パスフレーズなしの秘密鍵にしてしまうことができる。 httpd-ssl.conf に、 SSLPassPhraseDialog exec:/path/to/script を書く方法もあるが、これだと、該当スクリプトにパスフレーズを生で書くことになる。 どちらがいいかは状況によると思うが、秘密鍵そのものを chmod 400 にしてしまって、パスフレーズなしのほうが良さそうに思う。 CSR 作成 †社内利用なので、10年有効なのにする。 さすがに 10 年あれば、途中で入替くらいやるだろうと。 openssl req -new -days 3650 -key key.pem -out csr.pem この csr.pem が CSR(証明書署名要求) 途中の質問には適当に正しい答えを返していいが、Common Name は運用するサーバが持っているホスト名を書いておかないと警告がうっとうしい。ちゃんとやる。 最後の方で、秘密鍵パスフレーズも訊かれるので、答える。 CSR に対して、署名をし、証明書を作成 †openssl x509 -in csr.pem -out cert.pem -req -signkey key.pem -days 3650 ここでもパスフレーズ訊かれる(上の方でパスフレーズなしにしてたら当然訊かれない) これで、cert.pem ができる。これがサーバ証明書。 参考にしたページ ここ |