新規記事の投稿を行うことで、非表示にすることが可能です。
2014年06月14日
OpenSSL で CA を運用
openssl を使ってCAを構築し運用するというのは、WEBで検索すると、かなりヒットする
だが、WEBでは見つけられなかった、CAのフラグを立てて自己署名する方法がわかったのでメモしておく
通常は openssl.cnf の
を
に書き換えればCA用のルート証明書が作れるという情報が見つかる
だが、それだと、一般用の証明書もそのオプションが適用されるので、一般運用前に CA:FALSE に戻す必要がある
ところが、CA用のオプションが実は [ v3_ca ] として用意されているので、コマンドの引数で指定すれば、 CA:TRUE にできることがわかった
そのオプションは -extension v3_ca を追加すること
これで、ちゃんとしたCA用のオプションが設定され、CA用のルート証明書が作成できる
だが、WEBでは見つけられなかった、CAのフラグを立てて自己署名する方法がわかったのでメモしておく
通常は openssl.cnf の
[ usr_cert ]
basicConstraints=CA:FALSE
を
[ usr_cert ]
basicConstraints=CA:TRUE
に書き換えればCA用のルート証明書が作れるという情報が見つかる
だが、それだと、一般用の証明書もそのオプションが適用されるので、一般運用前に CA:FALSE に戻す必要がある
ところが、CA用のオプションが実は [ v3_ca ] として用意されているので、コマンドの引数で指定すれば、 CA:TRUE にできることがわかった
そのオプションは -extension v3_ca を追加すること
これで、ちゃんとしたCA用のオプションが設定され、CA用のルート証明書が作成できる
