SSL 証明書を作成する (自己署名)2025/04/21 |
| SSL/TLS を用いた信頼性の高い暗号化通信を構築するために必要な証明書を作成します。 当例では自己署名の独自証明書を作成します。 ただし、自己署名の証明書はアクセス時に警告が出るため、一般的にはその先には進んでもらえないでしょう。 よって、自己署名の証明書は、開発やテスト目的での内部ネットワーク利用に限り、 不特定多数からアクセスされるネットワーク上で利用する場合は、正規の認証局が発行する証明書を利用した方がよいでしょう。 |
|
root@dlp:~# cd /etc/ssl/private root@dlp:/etc/ssl/private# openssl ecparam -name prime256v1 -genkey -out server.key root@dlp:/etc/ssl/private# openssl req -new -key server.key -out server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:JP # 国 State or Province Name (full name) [Some-State]:Hiroshima # 地域(県) Locality Name (eg, city) []:Hiroshima # 都市 Organization Name (eg, company) [Internet Widgits Pty Ltd]:GTS # 組織名 Organizational Unit Name (eg, section) []:Server World # 組織の部門名 Common Name (e.g. server FQDN or YOUR name) []:dlp.srv.world # サーバーの FQDN Email Address []:root@srv.world # 管理者アドレス Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: # サーバーの DNS 名と IP アドレスは自身の環境に置き換え root@dlp:/etc/ssl/private# echo 'subjectAltName = DNS:dlp.srv.world, IP:10.0.0.30' > /tmp/altname.txt # 有効期限が 10 年の自己署名証明書を作成 root@dlp:/etc/ssl/private# openssl x509 -in server.csr -out server.crt -req -signkey server.key -extfile /tmp/altname.txt -days 3650 Certificate request self-signature ok subject=C=JP, ST=Hiroshima, L=Hiroshima, O=GTS, OU=Server World, CN=dlp.srv.world, emailAddress=root@srv.worldroot@dlp:/etc/ssl/private# total 20 drwx------ 2 root root 4096 Apr 21 01:08 ./ drwxr-xr-x 4 root root 4096 Apr 15 17:21 ../ -rw-r--r-- 1 root root 895 Apr 21 01:08 server.crt -rw-r--r-- 1 root root 525 Apr 21 01:06 server.csr -rw------- 1 root root 302 Apr 21 01:05 server.key |