認証局(CA)は、証明書の指定されたサブジェクトによって公開鍵の所有権を証明するデジタル証明書を発行します。信頼できる証明書は通常、インターネットを介してサーバーに安全に接続するために使用されます。ターゲットサーバーへのパス上にたまたま存在する悪意のあるパーティがターゲットになりすますことを回避するために、証明書が必要です。このようなシナリオは、一般に中間者攻撃と呼ばれます。
一般に、人々はVeriSignのようにインターネット上で信頼できるCAを使用しますが、イントラネットやVPNにセキュリティを追加したり、料金を払いたくない場合など、独自のCAが必要な場合もあります。
opensslをインストール
まず、opensslユーティリティをインストールすることから始めます。CentOS/ Fedora / RHELを使用している場合は、次のようにyumを使用してこれを行うことができます。
# yum install opensslUbuntu / Debianを使用している場合は、apt-getを次のように使用できます:
# apt-get install openssl独自のCAを作成する
独自のCAを作成するには、opensslパッケージに付属のスクリプトを使用できます。これには、最初に空のディレクトリに移動してから、次のようなスクリプトを実行します。
CentOS / Fedora/RHELの場合
# /usr/share/ssl/misc/CA.pl -newcaUbuntu / Debian
# /usr/lib/ssl/misc/CA.pl -newcaスクリプトは、新しいCAを作成するすべてのステップを実行します。フィールドに何を入力するかはそれほど重要ではなく、すべてのエントリは自明です。
完全なプロセスは次のようになります:
証明書の作成
独自の認証局(CA)ができたので、LAN上のサーバー、VPNクライアント、またはSSLで使用する必要のあるサービスのデジタル証明書を作成できます。つまり、次の2つの手順を実行する必要があります。
まず、秘密鍵と証明書要求を作成する必要があります:
# /usr/lib/ssl/misc/CA.pl -newreq以下に示すように、newcaオプションと同じ質問が表示されます。
これで、次のコマンドを使用して、CAでその証明書に署名できます。
# /usr/lib/ssl/misc/CA.pl -sign
これで、この証明書を任意の目的に使用できます。