○ 認証局と証明書の発行

・独自のCA (認証局)をつくり、証明書を発行します
・fedoraのパッケージをCentOS用にアレンジします
・openssl-1.0.2gの場合です
・CA管理者とサーバ管理者と別けて考えます
・作成スクリプト (misc/CA.pl) を使います
・サーバ認証用の証明書を発行します

・ログイン端末で "#" はroot、"$" は一般ユーザのプロンプトの記号です
・設定ファイルで "#" で始まる行はコメントとして解釈されます

○参照ファイル

最初の設定 (Xen)
opensslのインストール

○作業環境

:OS CentOS 6.x
:selinux disabled or permissive
:作業 /etc/pki
:言語 LANG=en_US.UTF-8
:ユーザー  rootで実行



○スクリプトの修正

:/etc/pki/tls/misc/CA.pl (変更分)

・CA.plを使うにはopenssl-perlをインストールします
・サーバ証明書の有効期間を変更します(デフォルトでは1年)
・CA証明書の有効期間を変更します(デフォルトでは3年)
・# 記号はコメント (設定の無効) を示します
紫色部分 追加変更

・省略

$SSLEAY_CONFIG=$ENV{"SSLEAY_CONFIG"};
$DAYS="-days 730";
$CADAYS="-days 3650";
$REQ="$openssl req $SSLEAY_CONFIG";
$CA="$openssl ca $SSLEAY_CONFIG";
$VERIFY="$openssl verify";
$X509="$openssl x509";
$PKCS12="$openssl pkcs12";

・省略


○コンフィグファイルの修正

:/etc/pki/tls/openssl.cnf

・サーバ証明書の有効期間を変更します (デフォルトでは1年)
・CA.plで -days を使用しない場合に、こちらが使われます
・certタイプを server にします
・# 記号はコメント (設定の無効) を示します

[ CA_default ]
#default_days = 365
default_days = 730
#default_md	= default
default_md	= sha256

[ usr_cert ]
#nsCertType = server
nsCertType = server

[ v3_ca ]
nsCertType = sslCA, emailCA



○ルートCA (認証局) の証明書と秘密鍵の作成

・CA(鍵)管理者として作業します

# cd /etc/pki/tls
[root@jupiter:/etc/pki/tls]
# misc/CA.pl -newca
CA certificate filename (or enter to create)← そのままEnterキー

Making CA certificate ...
Generating a 2048 bit RSA private key
....................+++
...........+++
writing new private key to '/etc/pki/CA/private/cakey.pem'
Enter PEM pass phrase:← CA(鍵)管理者パスフレーズ
Verifying - Enter PEM pass phrase:← 再入力
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Saitama
Locality Name (eg, city) [Default City]:Mycity
Organization Name (eg, company) [Default Company Ltd]:ko-jiyaCA
Organizational Unit Name (eg, section) []:Admin
Common Name (eg, your name or your server's hostname) []:528p.com
Email Address []:moonloght@528p.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.
An optional company name []:.
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem:← CA(鍵)管理者パスフレーズ

・省略

Write out database with 1 new entries
Data Base Updated       

・CAディレクトリ、証明書 (cacert.pem)、秘密鍵 (cakey.pem) がつくられます
・秘密鍵の扱いに注意 パーミッションを変更しておきます
・さらにサーバ証明書作成後、別の場所に保管したほうが安全です
・最初から cacert.pem,cakey.pem を作り直す場合は
・/etc/pki/CA に作られたファイルを削除します

[root@jupiter:/etc/pki/tls]
# chmod 600 ../CA/cacert.pem
# chmod 600 ../CA/careq.pem
# chmod 600 ../CA/private/cakey.pem
# chmod 600 ../CA/newcerts/*.pem

・作成された証明書の確認

[root@jupiter:/etc/pki/tls]
# openssl x509 -in ../CA/cacert.pem -text



○サーバの公開鍵とCAへの申請書の作成

・サーバ(鍵)管理者として作業します
・作成は/etc/pki/tlsディレクトリで行います
・使用するサーバ毎に作ります(例 メールサーバ用)
・Common Name に証明書を使用するサーバのフルドメイン名を入れます

・注意 パスフレーズはrootのパスワードではありません

# cd /etc/pki/tls
[root@jupiter:/etc/pki/tls]
# misc/CA.pl -newreq
Generating a 2048 bit RSA private key
.................+++
......+++
writing new private key to 'newreq.pem'
Enter PEM pass phrase:← サーバ(鍵)管理者のパスフレーズ
Verifying - Enter PEM pass phrase:← 再入力
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:Saitama
Locality Name (eg, city) [Default City]:Mycity
Organization Name (eg, company) [Default Company Ltd]:ko-jiya528
Organizational Unit Name (eg, section) []:Admin
Common Name (eg, your name or your server's hostname) []:mail.528p.com
Email Address []:moonlight@528p.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.
An optional company name []:.
Request is in newreq.pem, private key is in newkey.pem



○認証局によるサーバ申請書への署名

・CA(鍵)管理者として作業します
・/etc/pki/tls/newcert.pemが作られます
・時刻設定にUTCを使用している場合、ずれが生じます

# cd /etc/pki/tls
[root@jupiter:/etc/pki/tls]
# misc/CA.pl -sign
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem:← CA(鍵)管理者のパスフレーズ
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            d4:f5:49:9d:e3:3e:24:73
        Validity
            Not Before: Mar 31 13:33:58 2016 GMT
            Not After : Mar 31 13:33:58 2018 GMT

・省略

Certificate is to be certified until Jun  7 21:48:23 2017 GMT (730 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Signed certificate is in newcert.pem

・newreq.pem、newkey.pem、newcert.pemのパーミッションの変更
・/etc/pki/CA/newcerts/*.pemのパーミッションの変更

[root@jupiter:/etc/pki/tls]
# chmod 600 newreq.pem
# chmod 600 newkey.pem
# chmod 600 newcert.pem
# chmod 600 ../CA/newcerts/*.pem

・newreq.pem、newkey.pem、newcert.pem は次回作成時にコンフリクトします
・作業終了後、適当なディレクトリに保存し管理します



○サーバ用の証明書・公開鍵の使用

・サーバ用CA証明書 (cacert.crt) を作ります

# cd /etc/pki/tls
[root@jupiter:/etc/pki/tls]
# openssl x509 -in ../CA/cacert.pem -out cacert.crt

・CA証明書をバイナリDERフォーマットにします (ブラウザに読み込んで使用します)

[root@jupiter:/etc/pki/tls]
# openssl x509 -inform pem -in ../CA/cacert.pem -outform der -out cacert.der

・newcert.pem からサーバ証明書 (mail-server.crt) を作ります

[root@jupiter:/etc/pki/tls]
# openssl x509 -in newcert.pem -out mail-server.crt

・newkey.pem からパスフレーズを除いた公開鍵 (mail-server.key) を作ります
・サーバの自動起動でパスフレーズを要求されないためです

[root@jupiter:/etc/pki/tls]
# openssl rsa -in newkey.pem -out mail-server.key
Enter pass phrase for newkey.pem:← サーバ(鍵)管理者のパスフレーズ
writing RSA key

・パスフレーズを付けたければ、次のコマンドを実行してパスフレーズを指定します

[root@jupiter:/etc/pki/tls]
# openssl rsa -des3 -in mail-server.key -out mail-server.key

・ファイルのパーミッション・グループの変更をします
・証明書と公開鍵をサーバで設定した場所にコピーします

[root@jupiter:/etc/pki/tls]
# cp -a mail-server.crt certs/
# cp -a mail-server.key private/

・postfix(ユーザ・グループ)作成後に実行

[root@jupiter:/etc/pki/tls]
# chmod 444 certs/mail-server.crt
# chmod 440 private/mail-server.key
# chgrp postfix private/mail-server.key

○selinuxヘの対応 (selinuxが有効の場合)

# cd ~
[root@jupiter:~]
# restorecon -Rv /etc

○ Copyright(c) 528p.com All Rights Reserved.