Ubuntuで認証局を作って、SSL

-
この方法では捺印アルゴリズムがsha-1になるので使えません


基本的にはここの記事のまま http://qiita.com/makoto1899/items/ef15372d4cf4621a674e

下準備

ubuntuの場合はSSLの設定ファイルは /etc/ssl/openssl.cnf のようです。

なので、/etc/ssl/openssl.cnf をまず編集します。ファイルの
[ CA_default ]
dir            = ./demoCA              # Where everything is kept
を、適当なCA用ファイルの保存用のフォルダーに 指定する。
dir             = /etc/ssl/hogeCA
指定したフォルダーの下にディレクトリを作成

$ sudo mkdir -p /etc/ssl/hogeCA/certs
$ sudo mkdir -p /etc/ssl/hogeCA/private
$ sudo mkdir -p /etc/ssl/hogeCA/crl
$ sudo mkdir -p /etc/ssl/hogeCA/newcerts
$ sudo chmod 700 private
シリアルを初期化する echo "01" > /etc/ssl/hogeCA/serial とあるが、どうもうまくいかないので、エディタで書き込む。

証明書データベースを初期化します。
$ sudo touch /etc/ssl/hogeCA/index.txt

CA証明書/秘密鍵作成

あとは基本参照サイトそのまま
cd /etc/ssl/hogeCA
openssl req -new -x509 -newkey rsa:2048 -out cacert.pem -keyout private/cakey.pem -days 1825
パスフレーズを聞かれる、CAのパスワードとなる、厳重管理注意。あとは証明書情報を適当に入れる。
作成が終わると以下のファイルができあがります。
/etc/ssl/hogeCA/cacert.pem : 自己署名済みCA証明書
/etc/ssl/hogeCA/private/cakey.pem : CA証明書の秘密鍵
 CA証明書の秘密鍵のアクセス権を変更
chown root:root /etc/ssl/hogeCA/private/cakey.pem
chmod 600 /etc/ssl/hogeCA/private/cakey.pem 

CA証明書の発行

OS組み込み用の証明書を発行。
openssl x509 -inform PEM -outform DER -in /etc/ssl/hogeCA/cacert.pem -out /etc/ssl/hogeCA/hogeCAcert.der

作成したhogeCAcert.der をWindowsに移行。Windowsでは。「コントロールパネル」→「インターネットオプション」→「コンテンツ」→「証明書」の「信頼されたルート証明機関」にインポートで、以後のsslサーバー用の証明書が有効になるのかな。

ちなみに削除できないこともあるようでその場合は「ファイル名を指定して実行」で「certmgr.msc」で消せるみたい。

IEとChromeはこれでOK(ChromeはPCの再起動が必要かも)FIrefoxは独自に管理


サーバー証明書の発行

格納するためのディレクトリを作成
$ sudo mkdir -p /etc/ssl/www.hoge.com
鍵ペアと証明書要求(CSR)ファイルを作成します。
openssl req -new -keyout /etc/ssl/www.hoge.com/hoge_key.pem -out /etc/ssl/www.hoge.com/hoge_csr.pem
適当に情報を入力

作成が終わると以下のファイルができあがる。

/etc/ssl/www.hoge.com/hoge_csr.pem : サーバ証明書要求(CSR)
/etc/ssl/www.hoge.com/hoge_key.pem : サーバ秘密鍵
サーバ証明書要求(CSR)を先ほど作成した自己認証CA局で署名。
openssl ca -out /etc/ssl/www.hoge.com/hoge_cert.pem -infiles /etc/ssl/www.hoge.com/hoge_csr.pem
秘密鍵に書かれているのでこんな感じでRSAキーを書き込みます。
openssl rsa -in /etc/ssl/www.hoge.com/hoge_key.pem -out /etc/ssl/www.hoge.com/hoge_key.pem.nopass

現在出来上がったファイルはこんな感じとなります。
/etc/ssl/www.hoge.com/hoge_csr.pem : サーバ証明書要求(CSR) ←もういらない!?
/etc/ssl/www.hoge.com/hoge_key.pem : サーバ秘密鍵
/etc/ssl/www.hoge.com/hoge_cert.pem : サーバ証明書(署名済み)

/etc/ssl/www.hoge.com/hoge_key.pem.nopass  パスワード無し。






コメント

コメントを投稿

このブログの人気の投稿

Windows10デフォルトゲートウェアに0.0.0.0が追加される

-
ルーターの設定いじっていて、結果クライアントのIPアドレスをなんやかんやといじっていたら突然特手のアドレスと通信できなくなった・・・・。困った。 ローカルネット内のIPはOK、デフォルトゲートウェイを介して接続するネットワークもOK,ところがデフォルトゲートウェイでルーティングしている別ネットワークだけNG でもNGなのは1台の端末だけ????他のDHCPや固定IPの端末もちゃんとルーティングされる。つまり、この一台の問題。 まずはipconfig リースの有効期限. . . . . . . . . . .: 2017年12月5日 11:24:50 デフォルト ゲートウェイ . . . . . . . : 0.0.0.0                       192.168.0.254 !?デフォルトゲートウェイ0.0.0.0ってなんやねん、正しいデフォルトゲートウェイも設定されているけど。 route print (あまりにも久々のwindows系のコマンドにprint routeとか打ってしまう)(改行おかしくって読みにくいけど) ネットワーク宛先 ネットマスク ゲートウェイ インターフェイス メトリック 0.0.0.0     0.0.0.0  リンク上     192.168.0.50    281 0.0.0.0     0.0.0.0  192.168.0.254 192.168.0.50     25  0.0.0.0に投げている、それも長微妙なメトリックス281 他のメトリックスが281や331なので、多分微妙に優先されている。 「0.0.0.0 デフォルトゲートウェイ」で調べてみるとWindows7くらいからちょくちょくおこっているよう。 ここ  や  ここ  で教えてもらいました。 多分ネットワーク設定で手動でデフォルトゲートウェイとかしていたせいで設定が残っていたのか。 管理者権限で「route delete」コマンドでデフォルトゲートウェイを削除し route delete 0.0.0.0 mask 0.0.0.0 正しいデフォルトゲートウェイを追加 route add 0.0.0.0 mask 0.0.0.0 192.168.0.254
続きを読む

iOS VLC でSMB共有できなかった点について

-
 iOS版 VLCでずっとNAS上のファイルを再生したいたのだが、なにかのタイミングでNASにアクセスできなくなった。認識はできるがアカウントとパスが通らない。NASはAS4004Tでタイミング的にはGuestアカウントが有効になっていたのを無効にした時点が怪しい。まあ、NASの設定的には接続の最低設定がSMB2で上位がSMB3になっているので大丈夫だと思っていた。 ちなみにiOS版のVLCがSMB2に対応したのは Ver.3.1.8(2019.4.11)の時点でである。なので大丈夫だと思っていたのだが、どうも違った。 結果としてiOS版VLCのバージョンアップされて接続可能となった。 3.2.13(2020年10月22日) · Add support for SMBv3 · Fix authentication regression with SMBv2 servers · Fix login to Box.com
続きを読む

無線LANルータの選択肢が、NEC Aterm 静的ルーティングできない問題

-
2020.1.16「  楽天BIGでNEC Aterm WG2600HSを買った.(2) 静的ルーティングができない 」からの問題Atermで静的ルーティングできない問題の現状 WX6000HP 2020年 1月23日 静的ルーティング可 価格.com平均 3万円 WX3000HP 2020年 5月中旬 静的ルーティング 不可  価格.com平均 1万円 WG2600HP3 2018年 7月 5日 静的ルーティング可 価格.com平均 1万円 WG2600HP4 2020年10月 8日 静的ルーティング 不可  価格.com平均 9千5百円 WG2600HS2 2020年10月 8日 静的ルーティング 不可  価格.com平均 7千7百円 WG2600HS 2019年 1月24日 静的ルーティング 不可 WG1900HP2 2018年 7月 5日 静的ルーティング 不可 WG1800HP4 2018年10月11日 静的ルーティング 不可 ---------ここ以下、有線のルーティング性能が微妙 WG1200HP4 静的ルーティング 不可 WG1200HP3 静的ルーティング 不可 WG1200HS4 静的ルーティング 不可 WG1200HS3 静的ルーティング 不可 静的ルーティングができるのってWX6000HPとWG2600HP3しかなくって、実質最上位のWX6000HPのみか、これからAtermは選択肢から外れるな。 家庭用回線用のルータ選び難しくなるな NTT回線の場合 V6プラスの対応が必要となるとASUSのルータは対象外になる。その他のNETGEARもあんまり選択肢がない。ホームゲートウェイをルーターにしてしまうこともできる AU回線の場合 ルーターがついてくるので、ルーターがいらない。2段ルーターになってしまう。 となると、無線LANルーターは無線子機としてネットワークにぶら下げるだけか。
続きを読む