ネット上のアクセスボリュームをUPさせ効率の良い集客をご提案します。

CentOS7:SSL自己発行局の設置から俺々証明書の作成と承認まで

 / Linux Tips, Security Tips, テクニカル, トピックス


CentOS7で時々作成する自己発行局の作成から発行手順までを解説する。できるだけ簡単に完結にまとめようと思います。

一般的にスクリプトを使って生成するやり方もあるのですが、応用が効くのは素の手順で行うこちらの方法なので参考にしてください。openssl.cnfのファイルは/etc/pki/openssl.cnfの位置にありこれは場所やファイル名を変更しないほうが良いです。そのままにしたほうが簡単。自己発行局はオリジナルで/etc/pkiの配下に適当なフォルダーを作成してそこで作業を行います。別の場所に作業場所を作った場合も/etc/pkiにソフトリンクを貼っておけば問題なく発行が行なえます。


SSL証明書自己発行局構築(自己発行局の場所:/etc/pki/myCA)

最終的にca.crtとca.keyが生成されています。発行局とサーバ証明書は対になっているためDNS.xで指定したサーバ証明書用のドメインが変わる度に再作成とブラウザへのインストールが必要です。発行局自体にDNSのスコープ(利用範囲)があることを理解してください。

/etc/pki/tls/openssl.cnfのサンプルダウンロード

opensslのサンプルダウンロード

下記は標準の設定ファイルから修正した箇所です。追加や挿入する箇所です。参考にしてください。

SSLサーバ証明書発行依頼(CSRファイルの作成)

自己発行局へサーバ証明書の承認処理とSSLサーバ証明書の生成(server.crtの生成)

あとはWEBサーバに証明書を設置するのとca.crtを自分の使っているブラウザーへインポートしてください。

  • サーバ証明書 /etc/pki/myCA/server.crt
  • サーバ秘密鍵 /etc/pki/myCA/private/server.key
  • CAルート鍵 /etc/pki/myCA/ca.crt

TOPへ戻る