研究室のSolarisサーバ設定覚書part 2
d:id:rigarash:20070807の続きです。
SSL! SSL!
TLSでの運用のために、CAを作らなければなりません。
OpenSSL―暗号・PKI・SSL/TLSライブラリの詳細―の3.3に基づいて作成します。
まず、CAのためのディレクトリ構造を作り、適当な/root/cacertdb/openssl.cnfを作成します*1。
# mkdir -p /root/cacertdb/certs # mkdir -p /root/cacertdb/private # chmod 700 /root/cacertdb/private # echo 01 > /root/cacertdb/serial # touch /root/cacertdb/index.txt # OPENSSL_CONF=/root/cacertdb/openssl.cnf; export OPENSSL_CONF
次に、自己署名ルート証明書(オレオレ証明書)の作成をします。
# cd /root/cacertdb # openssl req -x509 -newkey rsa:2048 -days 365 -out cacert.pem -outform PEM
さて、CSR(Client Signing Request; 証明書要求)の生成ですが、DSCCからでもできるのですが、ここでは、OpenSSLの練習もかねて、OpenSSLを用いて行いました。
流れとしては、
- CSR(証明書要求)生成
- 証明書発行
- pkcs12形式への変更
となります。
# unset OPENSSL_CONF # mkdir -p /root/csrs/ldap # cd /root/csrs/ldap # openssl req -newkey rsa:2048 -keyout ldap_key.pem -keyform PEM -out ldap_req.pem -outform PEM
ここまででCSR(証明書要求)の生成です。CAの情報は不要なので、$OPENSSL_CONFをunsetしてます。
# OPENSSL_CONF=/root/cacertdb/openssl.cnf; export OPENSSL_CONF # openssl ca -in ldap_req.pem -notext -out ldap.pem # openssl pkcs12 -export -in ldap.pem -inkey ldap_key.pem -certfile /root/cacertdb/cacert.pem -name "LDAP certificate" -out ldap.p12
CAの情報をもう一度読みこんで、署名して、PKCS#12形式に変更します。
あとは、ldap.p12をサーバ証明書、cacert.pemをCA証明書としてインポートすればよいことになります。(DSCCからインポートしても大丈夫です)
# /opt/SUNWdsee/ds6/bin/dsadm import-cert /var/opt/SUNWdsee/dsins1 /root/csrs/ldap/ldap.p12
あとは、DSCCからだいたいのことはできます。
d:id:rigarash:20070813に続きます。
*1:内部向け: star:/home/dataにバックアップあり