独自の認証局の構築
演習1では認証局のディレクトリを作成します。認証局のディレクトリは,C:\Users\hinfo\openssl内にdemoCAという名前で作成します。
Microsoft Windows [Version 10.0.14393] (c) 2016 Microsoft Corporation. All rights reserved. C:\Users\hinfo>cd openssl C:\Users\hinfo\openssl>mkdir demoCA次に,作成したdemoCAフォルダ内につぎのフォルダやファイルを作成します。
- 【フォルダ】
- certs ・・・ 証明書保管用フォルダ
- crl ・・・ 失効リスト保管用フォルダ
- newcerts ・・・ 新規に発行した証明書保管用フォルダ
- private ・・・ 認証局の秘密鍵保管用フォルダ
- 【テキストファイル】(メモ帳で作成する)
- index.txt ・・・ データベースインデックスファイル(内容は空にする)
- index.txt.attr ・・・ インデックス管理属性ファイル(内容は空にする)
- serial ・・・ 証明書シリアルナンバー(内容は01にする)
まずフォルダを作成します。
C:\Users\hinfo\openssl>cd demoCA C:\Users\hinfo\openssl\demoCA>mkdir certs C:\Users\hinfo\openssl\demoCA>mkdir crl C:\Users\hinfo\openssl\demoCA>mkdir newcerts C:\Users\hinfo\openssl\demoCA>mkdir privateテキストファイルはメモ帳で作成します。 例えばコマンドプロンプトからメモ帳でindex.txtを作成するには次のようにします。
C:\Users\hinfo\openssl\demoCA>notepad index.txtすると「index.txtが見つかりません。新しく作成しますか?」とメッセージが出るので「はい」を押し,メモ帳が開いたら,何もせずそのまま終了させます。これで中身が空のindex.txtが作成されます。 同様にしてindex.txt.attrやserialも作成します。ただし,serialにはメモ帳が開いたとき01とだけ入力してから保存します。
独自認証局の秘密鍵とルート証明書の作成
opensslコマンドを使って独自認証局の秘密鍵とルート証明書を作成します。 この作業はC:\Users\hinfo\openssl\demoCAで行います。C:\Users\hinfo\openssl\demoCA>openssl OpenSSL> req -new -x509 -keyout private/cakey.pem -out cacert.pem -days 3650 Generating a 2048 bit RSA private key ..........+++ ...+++ writing new private key to 'private/cakey.pem' Enter PEM pass phrase: Verifying - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Okayama Locality Name (eg, city) []:Kurashiki Organization Name (eg, company) [Internet Widgits Pty Ltd]:KUMW Organizational Unit Name (eg, section) []:Hinfo Common Name (e.g. server FQDN or YOUR name) []:PDC120 CA Email Address []:mtanaka@mw.kawasaki-m.ac.jp OpenSSL>1行目は,opensslコマンドを対話モードで実行しているところです。 2行目は,opensslのコマンドプロンプトで秘密鍵の作成とルート証明書の作成を行っているところです。 秘密鍵は-keyoutオプションを使ってカレントディレクトリ上のprivateディレクトリ内にcakey.pemという名前で作成し,ルート証明書は-outオプションを使ってカレントディレクトリ(つまり,C:\Users\hinfo\openssl\demoCA)にcacert.pemという名前で作成しています。
