CA の作成

openssl を使って独自の証明書認証局 (CA) を作ってみます。

(1) CA 自己署名証明書の作成

まずは CA の秘密鍵を生成します。

  openssl genrsa -rand /var/log/messages -out ca.key 1024

この秘密鍵に対して証明書署名要求 (CSR) を作成します。

  openssl req -new -key ca.key -out ca.csr

DN を作成するための情報を入力するよう促されるので、適切な値を入力してください。

CSR に基づいて自己署名し、証明書を作成します。ここでは有効期限を 10 年（=365日）と指定しました。

  openssl x509 -req -days 3650 -in ca.csr -signkey ca.key \
    -out ca.crt

(2) 証明書の作成

作成した CA の証明書に基づいてサーバーの証明書を作成してみます。まずはサーバー証明書用の秘密鍵を作成します。

  openssl genrsa -rand /var/log/messages -out server.key 1024

この秘密鍵に基づいて CSR を作成します。

  openssl req -new -key server.key -out server.csr

CSR の情報に基づき、CA の秘密鍵を用いて署名し、証明書を発行しましょう。

  echo 01 > ca.srl
  openssl x509 -req -days 1095 -CA ../certs/ca.crt \
    -CAkey ./ca.key -in server.csr -out server.crt

ここでは有効期限を 3 年（=1095日）としています。