メンテナンス・トラブルシュート - SSL 自前の証明書を作成 - 準備 - FreeBSD 12.3

 クラウディア
1. 概要
2. 証明書発行用ディレクトリ作成
3. 証明書作成用コンフィグレーションファイル編集

1. 概要

 バージョンにより、元となる

/etc/ssl/openssl.cnf
 の行数が微妙に変わっていたりしますので、改めて記述することにします。  変更内容は、変わっていません。  以下の項目は、すべて、「root」ユーザ権限で。

2. 証明書発行用ディレクトリ作成

 「mkdir」コマンドで、以下のディレクトリを

/etc/ssl/demoCA             キー、認証証明書作成用ルート
/etc/ssl/demoCA/private     プライベートキー配置用
/etc/ssl/demoCA/crl         証明書失効リスト用
/etc/ssl/demoCA/newcerts    認証証明書配置用
 作成します。

mkdir -pv /etc/ssl/demoCA
mkdir -pv /etc/ssl/demoCA/private
mkdir -pv /etc/ssl/demoCA/crl
mkdir -pv /etc/ssl/demoCA/newcerts

3. 証明書作成用コンフィグレーションファイル編集

 コンフィグレーションファイルを編集します。  本項では、「FreeBSD 12.3 RELEASE」でデフォルトで用意されているものを元としています。  この標準ファイルを以下の手順で、実際のホスト用に編集しておきます。  編集しておけば、後で証明書発行用のプログラムを動作させるときに何度も同じ内容を入力しなくてもすむようになります。  編集すべきところを順次説明していきます。

vi /etc/ssl/openssl.cnf

####################################################################
[ CA_default ]

dir		= ./demoCA		# Where everything is kept
certs		= $dir/certs		# Where the issued certs are kept
crl_dir		= $dir/crl		# Where the issued crl are kept
database	= $dir/index.txt	# database index file.
 前項で作成したディレクトリの絶対定義に書き換えます。(この箇所は、意識的に行うならば書き換える必要はありません)

####################################################################
[ CA_default ]

dir             = /etc/ssl/demoCA	# Where everything is kept
 [ req_distinguished_name ] のセクションの項目を書き換えます。  (先頭行以降は、少し行番号がずれていますのでご注意)

[ req_distinguished_name ]
countryName			= Country Name (2 letter code)
countryName_default		= AU
countryName_min			= 2
countryName_max			= 2
 131、132行を下記へ変更します。

[ req_distinguished_name ]
countryName			= JP
countryName_default		= JP

stateOrProvinceName		= State or Province Name (full name)
stateOrProvinceName_default	= Some-State

localityName			= Locality Name (eg, city)

0.organizationName		= Organization Name (eg, company)
0.organizationName_default	= Internet Widgits Pty Ltd

# we can do this but it is not needed normally :-)
#1.organizationName		= Second Organization Name (eg, company)
#1.organizationName_default	= World Wide Web Pty Ltd

organizationalUnitName		= Organizational Unit Name (eg, section)
#organizationalUnitName_default	=
 136、137行の値を都道府県名へ書き換えます。  139行の値を市町村名へ書き換えます。  141、142行の値をを会社名・団体名へ書き換えます。  必要であれば、147行の値を部署名へ書き換えます。

commonName			= Common Name (e.g. server FQDN or YOUR name)
commonName_max			= 64

emailAddress			= Email Address
emailAddress_max		= 64
 151行の値をフルドメイン名に書き換えます。  154行の値を管理者の電子メールアドレスに書き換えます。  151行の後に続けて、下記の項目を追加して、151行と同じ値を設定します。

commonName_default		=
 154行の値に続けて、下記の項目を追加して、154行と同じ値を設定します。

emailAddress_fault		=
ハイスピードプランマイニングベース