プライベート認証のルート証明書の作成について

今回は開発用WEBサーバや社内向けのWEBサービスなどに利用できる、プライベート認証局の構築方法について説明します。

構築環境はCentOS7で、OpenSSLは予めインストールされているものとします。

■CA用のコンフィグ作成

はじめにCA作成用にOpenSSLのコンフィグを作成します。

1. 既存のコンフィグをコピー

cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl-ca.cnf

2. コピーしたコンフィグを修正する
nsCertType 以外は任意ですが付けておくと便利です。

default_days = 1095

[ req ]
default_bits = 2048
default_md = sha256

[ req_distinguished_name ]
countryName_default = JP
stateOrProvinceName_default = Kyoto
localityName_default = Kyoto
0.organizationName_default = SITZ Co.Ltd.
emailAddress_default = system@sitz.co.jp

# nsCertType
nsCertType = sslCA, emailCA

■CAの生成

新たに作ったコンフィグを使ってCAを生成します。

SSLEAY_CONFIG="-config /etc/pki/tls/openssl-ca.cnf" \
/etc/pki/tls/misc/CA -newca

■インポート用ファイルに変換

WindowsなどにインポートしやすいようにDERファイルに変換します。

openssl x509 -in /etc/pki/CA/cacert.pem -inform pem \
-out /etc/pki/CA/cacert.der -outform der