SSL! SSL!

TLSでの運用のために、CAを作らなければなりません。
OpenSSL―暗号・PKI・SSL/TLSライブラリの詳細―の3.3に基づいて作成します。
まず、CAのためのディレクトリ構造を作り、適当な/root/cacertdb/openssl.cnfを作成します*1。

# mkdir -p /root/cacertdb/certs
# mkdir -p /root/cacertdb/private
# chmod 700 /root/cacertdb/private
# echo 01 > /root/cacertdb/serial
# touch /root/cacertdb/index.txt
# OPENSSL_CONF=/root/cacertdb/openssl.cnf; export OPENSSL_CONF

次に、自己署名ルート証明書(オレオレ証明書)の作成をします。

# cd /root/cacertdb
# openssl req -x509 -newkey rsa:2048 -days 365 -out cacert.pem -outform PEM

さて、CSR(Client Signing Request; 証明書要求)の生成ですが、DSCCからでもできるのですが、ここでは、OpenSSLの練習もかねて、OpenSSLを用いて行いました。
流れとしては、

1. CSR(証明書要求)生成
2. 証明書発行
3. pkcs12形式への変更

となります。

# unset OPENSSL_CONF
# mkdir -p /root/csrs/ldap
# cd /root/csrs/ldap
# openssl req -newkey rsa:2048 -keyout ldap_key.pem -keyform PEM -out ldap_req.pem -outform PEM

ここまででCSR(証明書要求)の生成です。CAの情報は不要なので、$OPENSSL_CONFをunsetしてます。

# OPENSSL_CONF=/root/cacertdb/openssl.cnf; export OPENSSL_CONF
# openssl ca -in ldap_req.pem -notext -out ldap.pem
# openssl pkcs12 -export -in ldap.pem -inkey ldap_key.pem -certfile /root/cacertdb/cacert.pem -name "LDAP certificate" -out ldap.p12

CAの情報をもう一度読みこんで、署名して、PKCS#12形式に変更します。
あとは、ldap.p12をサーバ証明書、cacert.pemをCA証明書としてインポートすればよいことになります。(DSCCからインポートしても大丈夫です)

# /opt/SUNWdsee/ds6/bin/dsadm import-cert /var/opt/SUNWdsee/dsins1 /root/csrs/ldap/ldap.p12

あとは、DSCCからだいたいのことはできます。

d:id:rigarash:20070813に続きます。