人気ブログランキング | 話題のタグを見る

Metaphorical Dream

OpenSSLでCA設立

Condition:そういえばアニキの誕生日かぁ。。。って、ジェイソンですな。

ごめん、...ψ(。。 )メモメモ
FC5でのCA設立。
CA・Srv・Cltの証明書発行

眠い、死ぬ、寝る。

#Create CA

cd /etc/pki/tls/misc
./CA -newca

cd /etc/pki

openssl x509 -inform PEM -outform DER -in CA/cacert.pem -out root.der



#Create Srv

openssl req -new -keyout srv.pem -out srv-csr.pem -days 730

openssl ca -policy policy_anything -extensions xpserver_ext -extfile xpextensions -in srv-csr.pem -out srv-cert.pem

#Win鯖に取り込むなら、これで変換する。
openssl pkcs12 -export -in srv-cert.pem -inkey srv.pem -certfile CA/cacert.pem -out srv.p12



#Create Clt
#
#template
openssl req -new -keyout ${user}.pem -out ${user}-csr.pem -days 730
openssl ca -policy policy_anything -extensions xpclient_ext -extfile xpextensions -in ${user}-csr.pem -out ${user}-cert.pem
openssl pkcs12 -export -in ${user}-cert.pem -inkey ${user}.pem -certfile CA/cacert.pem -out ${user}.p12

あ、そうだ。
"/etc/pki/tls/openssl.cnf"ファイルの
"dir="変数がデフォルトのままだと、
"/etc/pki/CA/private/cakey.pem"ファイルを読み込んでくれない。
path指定の問題なんだけど、ちょいと調べてみようかなぁ。。。
でも、ダリィ~。


#"/etc/pki/xpextensions"というファイル名でファイルを作成
#拡張キーに対応したOIDを追加。

[ xpclient_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2

[ xpserver_ext ]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1



by mdesign21 | 2007-04-13 01:44