署名要求書(CSR)にCAで署名・認証して証明書を発行しよう

いよいよサーバーの証明書作成も最終段階です。
がんばっていきましょう!

まずは下準備です。
C:\usr\ssl\bin内に、index.txtというファイルを作成してください。
中身は空のままで結構です。
さらにserialというファイルも作成します。(拡張子がないことに注意)
こちらには中身に01とだけ書き込んでください。
更にnewcertsというフォルダを作成しておきます。
Windows自宅サーバー 署名要求書(CSR)にCAで署名・認証して証明書を発行しよう
続いてC:\usr\ssl\bin\opensslを編集します。
普通にダブルクリックしても編集できませんので、ワードパットなどのテキストエディタから開いてください。

編集すべき項目は

[ CA_default ]
dir = ./demoCA

dir = C:/usr/ssl/bin

です。修正したら上書き保存してください。

ではOpenSSLの作業を再開しましょう。

OpenSSL> ca -policy policy_anything -out server/cert.pem -infiles server/newreq.pem
Using configuration from C:\usr\ssl\bin\openssl.cnf
Enter pass phrase for C:/usr/ssl/bin/private/cakey.pem:CA秘密鍵パスワード
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 4 (0x4)
Validity
Not Before: May 15 17:18:28 2006 GMT
Not After : May 15 17:18:28 2007 GMT
Subject:
countryName = JP(証明書の内容が正しいか確認してください)
stateOrProvinceName = Shizuoka
localityName = Iwata
organizationName = Mizushima Network Service
organizationalUnitName = koko
commonName = mizushima.ne.jp
emailAddress = admin@mizushima.ne.jp
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
E9:A1:CE:B5:19:79:A6:F9:E9:1C:67:66:13:88:10:8A:F2:B1:92:3D
X509v3 Authority Key Identifier:
keyid:85:F0:5A:12:CA:39:78:DF:DD:EB:E4:59:C2:EB:CF:0C:CF:C5:90:87
DirName:/C=JP/ST=Shizuoka/L=Iwata/O=Mizushima Network Service/OU=koko/CN=mizushima.ne.jp/emailAddress=admin@mizushima.ne.jp
serial:00

Certificate is to be certified until May 15 17:18:28 2007 GMT (365 days)
Sign the certificate? [y/n]:y (証明書の内容が上記で間違いなければy)

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

以上で証明書の作成は終了しました。
前回から存在している
サーバーの署名要求書(CSR) C:\usr\ssl\bin\server\newreq.pem
サーバーの秘密鍵 C:\usr\ssl\server\bin\privkey.pem
に加え、今回の署名により
サーバーの証明書 C:\usr\ssl\bin\server\cert.pem
ができあがりました。
今後各サーバーへは秘密鍵privkey.pemと証明書cert.pemを設定していくことになります。
お疲れ様でした。

パケットリピーター stone

FTPサーバーのSSL化準備はここまでです