自己クライアント証明書を作ってみよう(1)
2021 年 3 月 15 日 by fukuこんにちは。fukuです。
仕事でクライアント証明書の要件があったので、検証として自己認証局でのクライアント証明書を作ってみました。
その際に手順や必要な証明書などを整理したのでご紹介いたします。
【プライベート認証局(CA)の作成手順】
・ディレクトリ作成
# mkdir ./pki
・DN(Distinguished Name, 識別名)を指定する。
# SUBJECT='/CN=mobile.nextvision.co.jp'
・秘密鍵と自己署名のSSLサーバー証明書を同時に作成
# openssl req -x509 -newkey rsa:2048 -nodes -keyout ./pki/next-client.key -sha256 -days 3660 -out ./pki/next-client.crt -subj "${SUBJECT}"
・証明書の内容を確認する
# openssl x509 -text -noout < ./pki/next-client.crt
→指定した内容のファイルとなっていることを確認する
【手順(クライアント証明書)】
・ユーザー名を指定する
# cUSER=testuser01
# mkdir ${cUSER}
・DN(Distinguished Name, 識別名)を指定する。
# SUBJECT='/CN=test.nextvision.co.jp'
・秘密鍵を作成する
# openssl genrsa 2048 > ${cUSER}/cert_${cUSER}.key
・CSR の作成
# openssl req -new -key ${cUSER}/cert_${cUSER}.key -subj "${SUBJECT}" -sha256 > ${cUSER}/cert_${cUSER}.csr
・証明書を作成する
# openssl x509 -req -CA ./pki/ehime-client.crt -CAkey ./pki/ehime-client.key -CAcreateserial -days 833 -sha256 < ${cUSER}/cert_${cUSER}.csr > ${cUSER}/cert_${cUSER}.crt
・証明書の内容を確認する
# openssl x509 -text -noout < ${cUSER}/cert_${cUSER}.crt
●クライアント証明書を作成する際に作成されるファイルは以下となります。
・プライベート認証局(CA)
keyファイル
crtファイル
・クライアント証明書
keyファイル
csrファイル
crtファイル
ちなみに、ファイルの取り込みですが、
プライベート認証局(CA)のファイルは、サーバもしくはネットワーク機器へインポートします。
対象がWEBサーバの場合は、SSLサービスのプライベート認証局(CA)ファイルに読み込みして、クライアント端末側にはブラウザへクライアント証明書をインポートします。
