サーバー構築・運用(OpenSSL)

(最終更新日時:2012-11-27 10:58:05)
OpenSSL により自己認証局(自己認証サーバー)を構築し、認証サーバー証明書、サーバー証明書、クライアント証明書およびデジタル署名用証明書を作成、管理します。
  1. 認証サーバー(CA)証明書の作成
  2. 認証サーバー(CA)証明書の更新
  3. サーバー証明書の作成
  4. サーバー証明書の更新
  5. クライアント証明書の作成
  6. クライアント証明書の失効処理
  7. クライアント証明書の更新
  8. デジタル署名用証明書の作成

事前準備

OpenSSL の運用にあたり、事前に必要な準備を行います。
# (失効処理用に crlnumber が存在しない場合、新規に作成します)
# cd /home/ssl/CA
# echo "00" > crlnumber

認証サーバー(CA)証明書の作成

認証サーバー証明書の作成準備を行います。
認証サーバーの証明書ディレクトリを /home/ssl/CA にしています。
# mkdir /home/ssl
# cd /home/ssl
# cp /etc/pki/tls/openssl.cnf ca.cnf                          定義ファイルをカスタマイズします
# vi ca.cnf
----------(vi ここから)----------
       :
[ CA_default ]

dir             = /home/ssl/CA          # Where everything is kept
       :
x509_extensions = v3_ca                 # The extentions to add to the cert
       :
[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
countryName_default             = JP                          # 国名(2文字)
       :
stateOrProvinceName             = State or Province Name (full name)
stateOrProvinceName_default     = Tokyo                       # 州名

localityName                    = Locality Name (eg, city)
localityName_default            = Setagaya-ku                 # デフォルトの市名

0.organizationName              = Organization Name (eg, company)
0.organizationName_default      = System House ACT            # 組織(会社)名
       :
organizationalUnitName          = Organizational Unit Name (eg, section)
#organizationalUnitName_default =
organizationalUnitName_default  = Certification Authority     # 組織名
       :
[ v3_ca ]
       :
# Some might want this also
# nsCertType = sslCA, emailCA
nsCertType = sslCA, emailCA                                   # Netscape用にコメントを外します
       :
----------(vi ここまで)----------

# cd /etc/pki/tls/misc
# cp CA CA.new                                                スクリプトをカスタマイズします
# vi CA.new
----------(vi ここから)----------
       :
SSLEAY_CONFIG="-config /home/ssl/ca.cnf"                      # 定義ファイルの場所を指定します
DAYS="-days 365"        # 1 year
CADAYS="-days 3650"     # 10 years                            # 有効期限を10年に変更しています
       :
CATOP=/home/ssl/CA                                            # 証明書用のディレクトリを定義します
       :
----------(vi ここまで)----------

認証サーバー(CA)証明書を作成します。
# cd /etc/pki/tls                                             # 定義ファイルのディレクトリで作成します
# ps -ef > .rnd                                               # 乱数ファイルを作成します
# ./misc/CA.new -newca
CA certificate filename (or enter to create)
[enter]
Making CA certificate ...
Generating a 1024 bit RSA private key
.................++++++
..............++++++
writing new private key to '/home/ssl/CA/private/./cakey.pem'
Enter PEM pass phrase:認証サーバー(CA)証明書に設定するパスフレーズ
Verifying - Enter PEM pass phrase:認証サーバー(CA)証明書に設定するパスフレーズ(再入力)
        :
Country Name (2 letter code) [JP]:[enter]
State or Province Name (full name) [Tokyo]:[enter]
Locality Name (eg, city) [Setagaya-ku]:[enter]
Organization Name (eg, company) [System House ACT]:[enter]
Organizational Unit Name (eg, section) [Certification Authority]:[enter]
Common Name (eg, your name or your server's hostname) []:System House ACT CA
Email Address []:認証サーバー管理者のメールアドレス

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[enter]
An optional company name []:[enter]
Using configuration from /home/ssl/ca.cnf
Enter pass phrase for /home/ssl/CA/private/./cakey.pem:設定した認証サーバー(CA)証明書のパスフレーズ
Check that the request matches the signature
Signature ok
Certificate Details:
        :
     (認証サーバー証明書の情報)
        :
            X509v3 Basic Constraints:
                CA:TRUE                                       # TRUE であることを確認する
            Netscape Cert Type:                               # Netscape用の設定を確認する
                SSL CA, S/MIME CA
        :
Write out database with 1 new entries
Data Base Updated

# chmod 700 /home/ssl/CA/private
# chmod 400 /home/ssl/CA/private/cakey.pem

クライアントPCへインストールするため、認証サーバー(CA)証明書をバイナリDERフォーマットに変換します。
# cd /home/ssl/CA
# openssl x509 -inform PEM -in cacert.pem -outform DER -out cacert.der

作成された cacert.der をクライアントPCにインストールします。
クライアントPCで cacert.der をダブルクリックします。

(※)クリックすると別画面で拡大画像が開きます。画像は WindowsXP のものです。
openssl01.gif 証明書の内容を確認し、証明書のインストール(I)... へ進みます。
openssl02.gif 証明書のインポートウィザードが開始されます。

次へ(N) >』で次へ進みます。
openssl03.gif 証明書を保管するストアに「信頼されたルート証明機関」を指定します。

次へ(N) >』で次へ進みます。
openssl04.gif 確認画面です。

完了』で証明書のインポートが開始されます。
openssl05.gif セキュリティ警告が出ますので、内容を確認します。

はい(Y)』で、インポートを続行します。
openssl06.gif 完了メッセージです。

インターネットブラウザを起動して、インストールされた証明書を確認します。
IE の場合は、ツールバーから ツール(T) → インターネット オプション(I)... → コンテンツ → 証明書(C)... で確認できます。

(※)クリックすると別画面で拡大画像が開きます。画像は WindowsXP のものです。
openssl07.gif 信頼されたルート証明書機関内に存在することを確認します。

認証サーバー(CA)証明書の更新

認証サーバー証明書の有効期限が切れそうな場合、認証サーバー(CA)証明書を更新します。
# (有効期限を確認します)
# cd /home/ssl/CA
# openssl x509 -inform PEM -in cacert.pem -noout -text
        :
        Validity
            Not Before: 有効期限(開始日時)
            Not After : 有効期限(終了日時)
        :

# (有効期限を更新します)
# openssl req -config /home/ssl/ca.cnf -new -x509 -days 3650 -key private/cakey.pem -out cacert.pem
Enter pass phrase for private/cakey.pem:認証サーバー(CA)証明書のパスフレーズ
        :
-----
# (以下は、現認証サーバーと同じ内容を入力します)
Country Name (2 letter code) [JP]:[enter]
State or Province Name (full name) [Tokyo]:[enter]
Locality Name (eg, city) [Setagaya-ku]:[enter]
Organization Name (eg, company) [System House ACT]:[enter]
Organizational Unit Name (eg, section) [Certification Authority]:[enter]
Common Name (eg, your name or your server's hostname) []:System House ACT CA
Email Address []:認証サーバー管理者のメールアドレス

# (クライアントPCへの再配付用にバイナリDERフォーマットに変換します)
# openssl x509 -inform PEM -in cacert.pem -outform DER -out cacert.der

クライアントPCから古い認証サーバー(CA)証明書を削除し、更新された cacert.der をクライアントPCにインストールします。

サーバー証明書の作成

Web, Mail, FTP等の各サーバーでセキュア通信(SSL/TLS)を行うためのサーバー証明書を作成します。

サーバー証明書作成用に OpenSSL の定義ファイルをカスタマイズします。
# cd /home/ssl
# cp /etc/pki/tls/openssl.cnf server.cnf                      定義ファイルをカスタマイズします
# vi server.cnf
----------(vi ここから)----------
       :
[ CA_default ]

dir             = /home/ssl/CA          # Where everything is kept
       :
[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
countryName_default             = JP                          # 国名(2文字)
       :
stateOrProvinceName             = State or Province Name (full name)
stateOrProvinceName_default     = Tokyo                       # 州名

localityName                    = Locality Name (eg, city)
localityName_default            = Setagaya-ku                 # デフォルトの市名

0.organizationName              = Organization Name (eg, company)
0.organizationName_default      = System House ACT            # 組織(会社)名
       :
organizationalUnitName          = Organizational Unit Name (eg, section)
#organizationalUnitName_default =
organizationalUnitName_default  = Certification Authority     # 組織名
       :
[ usr_cert ]
       :
# This is OK for an SSL server.
# nsCertType                    = server
nsCertType                      = server                      # サーバー証明書を作成します
       :
----------(vi ここまで)----------

# cd /etc/pki/tls/misc
# cp CA CA.server                                             スクリプトをカスタマイズします
# vi CA.server
----------(vi ここから)----------
       :
SSLEAY_CONFIG="-config /home/ssl/server.cnf"                  # 定義ファイルの場所を指定します
DAYS="-days 365"        # 1 year
       :
----------(vi ここまで)----------

# (サーバー証明申請書、サーバー証明書、サーバー秘密鍵の保管場所を作成します)
# mkdir     /home/ssl/server
# chmod 400 /home/ssl/server

サーバー秘密鍵と証明申請書(Certificate Signing Request:CSR)を生成します。
ここでは、メールサーバー を例にします。
# mkdir     /home/ssl/server/mail                             サーバー証明書の生成・保管場所を作成します
# chmod 400 /home/ssl/server/mail
# cd        /home/ssl/server/mail
# /etc/pki/tls/misc/CA.server -newreq
Generating a 1024 bit RSA private key
.....++++++
............................................................++++++
writing new private key to 'newkey.pem'
Enter PEM pass phrase:サーバー証明書に設定するパスフレーズ
Verifying - Enter PEM pass phrase:サーバー証明書に設定するパスフレーズ(再入力)
       :
Country Name (2 letter code) [JP]:[enter]
State or Province Name (full name) [Tokyo]:[enter]
Locality Name (eg, city) [Setagaya-ku]:[enter]
Organization Name (eg, company) [System House ACT]:[enter]
Organizational Unit Name (eg, section) [Certification Authority]:[enter]
Common Name (eg, your name or your server's hostname) []:mail.system-act.com          サーバーのFQDN
Email Address []:サーバ管理者のメールアドレス

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[enter]
An optional company name []:[enter]
Request (and private key) is in newreq.pem

サーバー証明申請書に認証サーバー(CA)の署名を行いサーバー証明書を生成します。
# cd /home/ssl/mail/web
# /etc/pki/tls/misc/CA.server -sign
Using configuration from /home/ssl/server.cnf
Enter pass phrase for /home/ssl/CA/private/cakey.pem:認証サーバー(CA)のパスフレーズ
Check that the request matches the signature
Signature ok
Certificate Details:
        :
     (証明申請書の内容)
        :
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
        :
     (署名済証明書の内容)
        :
Signed certificate is in newcert.pem

# mv newreq.pem  server.req
# mv newcert.pem server.crt

パスフレーズ付きサーバー秘密鍵を作成します。
# cd /home/ssl/server/mail
# openssl rsa -in newkey.pem -out server.key
Enter pass phrase for newreq.pem:サーバー証明書のパスフレーズ
writing RSA key

# chmod 400 server.key
# rm newkey.pem

サーバー証明書の更新

サーバー証明書の有効期限が切れそうな場合は、現在のサーバー証明書を失効させ、新たにサーバー証明書を作成します。

まず、最初に失効処理を行います。
# (証明書を失効させます)
# cd /home/ssl/server/mail
# openssl ca -config /home/ssl/ca.cnf -gencrl -revoke server.crt
Using configuration from /home/ssl/ca.cnf
Enter pass phrase for /home/ssl/CA/private/cakey.pem:認証サーバーのパスフレーズ
-----BEGIN X509 CRL-----
        :
     (証明書の内容)
        :
-----END X509 CRL-----
Revoking Certificate 04.
Data Base Updated

# (失効の確認を行います)
# cat /home/ssl/CA/index.txt
        :
R      101013064153Z   101018060302Z   04      ~(略)~
# R(Revoke)     : 失効しています
# 101013064153Z : 有効期限(UTC)です
# 101018060302Z : 失効処理を行った日時(UTC)です
        :

# (証明書失効リスト CRL:Certificate Revocation List を作成します)
# openssl ca -config /home/ssl/ca.cnf -gencrl -out /home/ssl/CA/crl/ca.crl
Using configuration from /home/ssl/ca.cnf
Enter pass phrase for /home/ssl/CA/private/cakey.pem:認証サーバーのパスフレーズ

# (証明書失効リストを確認します)
# openssl crl -in /home/ssl/CA/crl/ca.crl -text
Certificate Revocation List (CRL):
        :
Revoked Certificates:
        :
    Serial Number: 04
        Revocation Date: Oct 18 06:03:02 2010 GMT
    Signature Algorithm: sha1WithRSAEncryption
        :
-----BEGIN X509 CRL-----
        :
-----END X509 CRL-----

新たにサーバー証明書を作成します。
なお、ここでは、既存のサーバー証明申請書を使用して、有効期限の延長で作成することにします。
# cd /home/ssl/server/mail

# (既存のサーバー証明申請書に認証サーバー(CA)の署名を行いサーバー証明書を生成します)
# (失効させたサーバー申請書の有効期限から1年間の延長させています)
# openssl ca -config /home/ssl/server.cnf -policy policy_anything -out newcert.pem \
> -startdate 101013064153Z -enddate 111013064153Z \
> -infiles server.req
Using configuration from /home/ssl/server.cnf
Enter pass phrase for /home/ssl/CA/private/cakey.pem:認証サーバーのパスフレーズ
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 5 (0x5)
        Validity
            Not Before: Oct 13 06:41:53 2010 GMT              有効期間開始日時
            Not After : Oct 13 06:41:53 2011 GMT              有効期間終了日時
        :
     (証明申請書の内容)
        :
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

# mv -f newcert.pem server.crt

作成された server.crt をサーバーの既存サーバー証明書に置き換えます。
なお、新しいサーバー証明書を有効にするためには、サーバーの再起動が必要です。

クライアント証明書の作成

サーバーアクセスのクライアント認証を行うため、クライアント証明書を作成します。

クライアント証明書作成用に OpenSSL の定義ファイルをカスタマイズします。
# cd /home/ssl
# cp /etc/pki/tls/openssl.cnf client.cnf
# vi client.cnf
----------(vi ここから)----------
       :
[ CA_default ]

dir             = /home/ssl/CA          # Where everything is kept
       :
[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
countryName_default             = JP                          # 国名(2文字)
       :
stateOrProvinceName_default     = Tokyo                       # 州名

localityName                    = Locality Name (eg, city)
localityName_default            = Setagaya-ku                 # デフォルトの市名
       :
0.organizationName_default      = System House ACT            # 組織(会社)名
       :
#organizationalUnitName_default =
organizationalUnitName_default  = Certification Authority     # 組織名
       :
[ usr_cert ]
       :
# For normal client use this is typical
# nsCertType = client, email
nsCertType = client, email                                    # コメントを外します
       :
----------(vi ここまで)----------

# cd /etc/pki/tls/misc
# cp CA CA.client                                             スクリプトをカスタマイズします
# vi CA.client
----------(vi ここから)----------
       :
SSLEAY_CONFIG="-config /home/ssl/client.cnf"                  # 定義ファイルの場所を指定します
DAYS="-days 365"
       :
----------(vi ここまで)----------

クライアント証明書の秘密鍵と証明申請書(Certificate Signing Request:CSR)を生成します。
証明書の格納場所を /home/ssl/client にしています。
# mkdir     /home/ssl/client                                  クライアント証明書の生成・保管場所を作成します
# chmod 400 /home/ssl/client
# cd        /home/ssl/client
# /etc/pki/tls/misc/CA.client -newreq
Generating a 1024 bit RSA private key
.....................................++++++
.......................................++++++
writing new private key to 'newkey.pem'
Enter PEM pass phrase:クライアント証明書に設定するパスフレーズ
Verifying - Enter PEM pass phrase:クライアント証明書に設定するパスフレーズ(再入力)
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [JP]:[enter]
State or Province Name (full name) [Tokyo]:[enter]
Locality Name (eg, city) [Setagaya-ku]:[enter]
Organization Name (eg, company) [System House ACT]:[enter]
Organizational Unit Name (eg, section) [Certification Authority]:[enter]
Common Name (eg, your name or your server's hostname) []:クライアント名
Email Address []:証明書管理者のメールアドレス

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[enter]
An optional company name []:[enter]
Request (and private key) is in newreq.pem

# mv newkey.pem クライアント名.key
# chmod 400 クライアント名.key

証明申請書に認証サーバー(CA)の署名を行い証明書を生成します。
# cd /home/ssl/client
# /etc/pki/tls/misc/CA.client -sign
Using configuration from /home/ssl/client.cnf
Enter pass phrase for /home/ssl/CA/private/cakey.pem:認証サーバーのパスフレーズ
Check that the request matches the signature
Signature ok
Certificate Details:
        :
     (証明申請書の内容)
     (認証サーバー証明書の情報)
        :
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
        :
     (署名済証明書の内容)
        :
Signed certificate is in newcert.pem

# mv -f newcert.pem クライアント名.crt
# chmod 644 クライアント名.crt

# 失効処理用に証明申請書を保存しておきます
# mv -f newreq.pem クライアント名.req

証明書、秘密鍵、認証サーバー(CA)証明書のセットを PKCS#12 形式で作成します。
# openssl pkcs12 -export -in クライアント名.crt -inkey クライアント名.key \
>   -certfile /home/ssl/CA/private/cakey.pem \
>   -out クライアント名.p12
Enter pass phrase for objsign.key:クライアント証明書に設定したパスフレーズ
Enter Export Password:クライアント証明書をインストールする際のパスフレーズ
Verifying - Enter Export Password:クライアント証明書をインストールする際のパスフレーズ(再入力)

作成された クライアント名.p12 をクライアントPCにインストールします。

クライアント証明書の失効処理

クライアント証明書の紛失や秘密鍵が漏れてしまった場合、速やかにクライアント証明書を失効させる必要があります。
また、クライアント証明書の更新時においても、旧クライアント証明書を失効させます。
# cd /home/ssl/client
# (証明書を失効させます)
# openssl ca -config /home/ssl/client.cnf -gencrl -revoke クライアント名.crt
Using configuration from /home/ssl/client.cnf
Enter pass phrase for /home/ssl/CA/private/cakey.pem:認証サーバー(CA)のパスフレーズ
-----BEGIN X509 CRL-----
        :
     (証明書の内容)
        :
-----END X509 CRL-----
Revoking Certificate 08.
Data Base Updated

# (失効の確認を行います)
# cat /home/ssl/CA/index.txt
        :
R      110225081359Z   101216090900Z   08      ~(略)~
# R(Revoke)     : 失効しています
# 110225081359Z : 有効期限(UTC)です
# 101216090900Z : 失効処理を行った日時(UTC)です
        :

# (証明書失効リスト CRL:Certificate Revocation List を作成します)
# openssl ca -config /home/ssl/ca.cnf -gencrl -out /home/ssl/CA/crl/ca.crl
Using configuration from /home/ssl/ca.cnf
Enter pass phrase for /home/ssl/CA/private/cakey.pem:認証サーバー(CA)のパスフレーズ

# (証明書失効リストを確認します)
# openssl crl -in /home/ssl/CA/crl/ca.crl -text
Certificate Revocation List (CRL):
        :
Revoked Certificates:
        :
    Serial Number: 08
        Revocation Date: Dec 16 09:09:00 2010 GMT
    Signature Algorithm: sha1WithRSAEncryption
        :
-----BEGIN X509 CRL-----
        :
-----END X509 CRL-----

クライアント証明書の更新

クライアント証明書の更新は、旧クライアント証明書を失効させ、新たにクライアント証明書を作成することにより行います。
クライアント証明書においては、既存のクライアント証明申請書を使用することなく、新たにクライアント証明申請書から作成を行います。

デジタル署名用証明書の作成

Microsoft Office の VBA コードに署名するため、デジタル署名用証明書を作成します。

デジタル署名用証明書作成用に OpenSSL の定義ファイルをカスタマイズします。
# cd /home/ssl
# cp /etc/pki/tls/openssl.cnf objsign.cnf
# vi objsign.cnf
----------(vi ここから)----------
       :
[ CA_default ]

dir             = /home/ssl/CA          # Where everything is kept
       :
default_days    = 1825                                        # 有効期間(5年)
       :
[ req_distinguished_name ]
countryName                     = Country Name (2 letter code)
countryName_default             = JP                          # 国名(2文字)
       :
stateOrProvinceName_default     = Tokyo                       # 州名

localityName                    = Locality Name (eg, city)
localityName_default            = Setagaya-ku                 # デフォルトの市名
       :
0.organizationName_default      = System House ACT            # 組織(会社)名
       :
#organizationalUnitName_default =
organizationalUnitName_default  = Certification Authority     # 組織名
       :
[ usr_cert ]
       :
# For an object signing certificate this would be used.
# nsCertType = objsign
nsCertType = objsign                                          # コメントを外します
       :
----------(vi ここまで)----------

# cd /etc/pki/tls/misc
# cp CA CA.objsign                                             スクリプトをカスタマイズします
# vi CA.objsign
----------(vi ここから)----------
       :
SSLEAY_CONFIG="-config /home/ssl/objsign.cnf"                 # 定義ファイルの場所を定義します
DAYS="-days 365"
       :
----------(vi ここまで)----------

デジタル署名用証明書の秘密鍵と証明申請書(Certificate Signing Request:CSR)を生成します。 証明書の格納場所を /home/ssl/objsign にしています。
# mkdir     /home/ssl/objsign                                  クライアント証明書の生成・保管場所を作成します
# chmod 400 /home/ssl/objsign
# cd        /home/ssl/objsign
# /etc/pki/tls/misc/CA.objsign -newreq
Generating a 1024 bit RSA private key
....++++++
.........++++++
writing new private key to 'newkey.pem'
Enter PEM pass phrase:デジタル署名用証明書に設定するパスフレーズ
Verifying - Enter PEM pass phrase:デジタル署名用証明書に設定するパスフレーズ(再入力)
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [JP]:[enter]
State or Province Name (full name) [Tokyo]:[enter]
Locality Name (eg, city) [Setagaya-ku]:[enter]
Organization Name (eg, company) [System House ACT]:[enter]
Organizational Unit Name (eg, section) [Certification Authority]:[enter]
Common Name (eg, your name or your server's hostname) []:System House ACT VBA Authority
Email Address []:証明書管理者のメールアドレス

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[enter]
An optional company name []:[enter]
Request is in newreq.pem, private key is in newkey.pem

# mv newkey.pem objsign.key
# chmod 400 objsign.key

証明申請書に認証サーバー(CA)の署名を行い証明書を生成します。
# cd /home/ssl/objsign
# /etc/pki/tls/misc/CA.objsign -sign
Using configuration from /home/ssl/objsign.cnf
Enter pass phrase for /home/ssl/CA/private/cakey.pem:認証サーバー(CA)のパスフレーズ
Check that the request matches the signature
Signature ok
Certificate Details:
        :
     (証明申請書の内容)
        :
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
        :
     (署名済証明書の内容)
        :
Signed certificate is in newcert.pem

# mv -f newcert.pem objsign.crt

証明書、秘密鍵、認証サーバー(CA)証明書のセットを PKCS#12形式 で作成します。
# openssl pkcs12 -export -in objsign.crt -inkey objsign.key \
>   -certfile /home/ssl/CA/private/cakey.pem \
>   -out vbacert.p12
Enter pass phrase for objsign.key:デジタル署名用証明書のパスフレーズ
Enter Export Password:デジタル署名用証明書をインストール際のパスフレーズ
Verifying - Enter Export Password:デジタル署名用証明書をインストール際のパスフレーズ(再入力)

作成された vbacert.p12 を利用者の環境にインストールします。

フィードバック

記事の内容についてのご質問、ご指摘、その他ご意見等は、Weblog/Twitter にて受け付けております。

System House ACT Weblog 内記事 : サーバー構築・運用 OpenSSL

トラックバックまたはコメントにてお寄せください。

Twitter では .@systemact 宛につぶやいてください。
また、こちら から、この記事についてつぶやくことができます。
a System House to build an Accounting system by the Computer Technology