OpenSSLを使用して、CAを立てて、サーバ証明書とクライアント証明書を作成する手順を再度まとめておくことにします。 合わせて、期限切れ時などの証明書更新時には、期限切れになった証明書を無効化する必要がありますので、その手順もまとめておきます。
■作成日 2015年12月29~31日に作成しているという設定。
■仕様 全体の仕様として、デフォルトだとSHA1になるメッセージダイジェストをSHA2に強化。この仕様は、下記ファイルで設定しておくことにする。 (1) CAスクリプト /etc/pki/tls/misc/CA (2) OpenSSL設定ファイル /etc/pki/tls/openssl.cnf
CA: ・有効期間10年3650日 ・鍵の長さ2048bit ・メッセージダイジェストSHA256
サーバ証明書: ・有効期限369日(翌年1月3日まで) ・鍵の長さ2048bit ・メッセージダイジェストSHA256
クライアント証明書: ・有効期限368日(翌年1月3日まで) ・鍵の長さ2048bit ・メッセージダイジェストSHA256
デフォルト設定値: ・countryName_default = JP ・stateOrProvinceName_default = Kanagawa ・localityName_default = Kawasaki ・0.organizationName_default = goofoo
■準備 ディレクトリバックアップ
# cp -pr /etc/pki{,.20161231}
■CA CAスクリプト編集
# cp -p /etc/pki/tls/misc/CA{,.org} # vim /etc/pki/tls/misc/CA # diff /etc/pki/tls/misc/CA.org 続きを読む »