OpenSSLの証明書をTomcatのkeystoreに変換する

OpenSSLで作成したX509形式の証明書を、Tomcatの.keystoreに変換する方法について説明します。

変換は一旦OpenSSLを使ってPKCS12形式に変換してからkeyToolを使って.keystoreに変換します。

SSL証明書の変換

SSL証明書: server.crt
キーストア: server.keystore

openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
keytool -importkeystore -srckeysotre server.p12 -srcstoretype PKCS12 -destkeystore server.keystore -deststoretype JKS

中間証明書付きSSL証明書の変換

SSL証明書: server.crt
中間証明書: ca.crt
キーストア: server.keystore

openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -certfile ca.crt
keytool -importkeystore -srckeysotre server.p12 -srcstoretype PKCS12 -destkeystore server.keystore -deststoretype JKS

プライベート認証局によるCA証明書つきSSL証明書の発行について

ここでは自身が管理するプライベート認証局を使ってSSL証明書にCA証明書を発行する方法について説明します。

プライベート認証局の構築方法については別記の「プライベート認証のルート証明書の作成について」を参考にしてください。

■KEYファイルの生成

秘密鍵と公開鍵のセットを生成します。

openssl genrsa -aes256 -out server.key 2048

CSRファイルの生成

KEYファイルを元にコモンネームを含んだ公開鍵を生成します。

openssl req -new -key server.key -out server.csr 

■CRTファイルの生成

CA証明書付きのSSL証明書を生成します。

openssl ca -in server.csr -out server.crt \
-keyfile /etc/pki/CA/private/cakey.pem \
-cert /etc/pki/CA/cacert.pem \
-config /etc/pki/tls/openssl-ca.cnf

---

■秘密鍵の復号化

最後におまけで秘密鍵の複合化についても記載します。

openssl rsa -in server.key -out server.dec.key

プライベート認証のルート証明書の作成について

今回は開発用WEBサーバや社内向けのWEBサービスなどに利用できる、プライベート認証局の構築方法について説明します。

構築環境はCentOS7で、OpenSSLは予めインストールされているものとします。

■CA用のコンフィグ作成

はじめにCA作成用にOpenSSLのコンフィグを作成します。

1. 既存のコンフィグをコピー

cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-ca.cnf

2. コピーしたコンフィグを修正する
nsCertType 以外は任意ですが付けておくと便利です。

default_days = 1095

[ req ]
default_bits = 2048
default_md = sha256

[ req_distinguished_name ]
countryName_default = JP
stateOrProvinceName_default = Kyoto
localityName_default = Kyoto
0.organizationName_default = SITZ Co.Ltd.
emailAddress_default = system@sitz.co.jp

# nsCertType
nsCertType = sslCA, emailCA

■CAの生成

新たに作ったコンフィグを使ってCAを生成します。

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-ca.cnf" \
/etc/pki/tls/misc/CA -newca

■インポート用ファイルに変換

WindowsなどにインポートしやすいようにDERファイルに変換します。

openssl x509 -in /etc/pki/CA/cacert.pem -inform pem \
-out /etc/pki/CA/cacert.der -outform der

SSL証明書の内容を確認する方法

作成済みのSSL証明書の内容を確認する方法について、様のほぼ引用ですが、次の通りです。

■証明書ファイルの内容を確認

openssl x509 -text -noout -in [ファイル名]

■秘密鍵ファイルの内容を確認

openssl rsa -text -noout -in [ファイル名]

■CSRファイルの内容を確認

openssl req -text -noout -in [ファイル名]

■参考にさせていただいたサイト

グローバルサイン

SSL証明書の更新について

セキュリティの確保されたホームページを管理していると、最低でも年に1回この作業をしないといけません。
そこでSSL証明書の更新について記録しておきます。

■要件

ここで紹介するSSL証明書の要件は次のようなものです。必要に応じて変更してください。

• キーペアの名前: private.key
• 公開鍵の名前: public.csr
• キーペアの種類と鍵長: RSA2048
• 秘密鍵の暗号化方法: AES256
• 署名のハッシュ方法: SHA256

■作業内容

• 鍵の生成
• 認証局へ登録する
• 認証局の署名付きSSL証明書を受け取る

■鍵の生成

まずはじめに証明書を発行してもらう鍵を生成する必要があります。実際に証明書を発行してもらうのは公開鍵のほうだけです。

1. キーペアを生成する

openssl genrsa -aes256 -out private.key 2048

2. 生成したキーペアから公開鍵を生成する

openssl req -new -sha256 -key private.key -out public.csr

■認証局へ登録する

VeriSignやGlobalSignに登録して証明書(認証局の署名付きの公開鍵)を発行してもらいます。
ここでは当社が利用しているGlobalSignの登録方法について説明します。

1. 認証局のサイトの更新画面を開く
GlobalSignのサイトにログインし「現在更新可能な証明書」をクリックします。
2. CSRを入力する
サービスの内容、技術担当者情報などを入力し、CSR入力画面まで進みます。
「CSRを利用する」にチェックをつけて、先ほど生成したpublic.csr内のテキストを赤い枠内に入力します。

■認証局の署名付きSSL証明書を受け取る

あとは登録完了を待つのみです。