自己クライアント証明書を作ってみよう(2)
2021 年 4 月 12 日 by fukuこんにちは。fukuです。
前回に引き続きクライアント証明書関連ですが、今回は、失効リストの作成方法をご紹介します。
【必要なファイル】
・プライベート認証局(CA)
keyファイル
crtファイル
・クライアント証明書
keyファイル
crtファイル
※前回作成した認証局と証明書ファイルが必要です。
【失効処理準備の作成手順】
・ディレクトリの準備
# cd /tmp # mkdir pki
・失効リストデータベースとCRL番号ファイルの作成
# touch index.txt && echo '01' > crlnumber
・設定ファイルの編集
# cp -p /etc/pki/tls/openssl.cnf ./
# vi openssl.cnf ------------------ dir = ./pki certs = $dir/[プライベート認証局(CA)].crt crl_dir = $dir/test-ca.crl database = ./index.txt certificate = $dir/[プライベート認証局(CA)].crt crlnumber = ./crlnumber crl = $dir/test-ca.crl private_key = $dir/[プライベート認証局(CA)].key default_days = 5000 ←発行した証明書の有効期限 default_crl_days= 5000 ←CRLファイル自体の有効期限 ------------------
・失効証明書の作成
# openssl ca -gencrl -config openssl.cnf -out test-ca.crl -verbose
・中身の確認
# openssl crl -in ehime-ca.crl -text
【失効リストの作成手順】
・失効するクライアント証明書を指定して失効リストを作成
# openssl ca -revoke ./[クライアント証明書].crt -config openssl.cnf
・失効データベースを確認
# cat index.txt R 260000000000X 210000000000X CE1A45B1B4XXXXXX unknown /CN=testuser01
・失効データベースの内容を失効証明書へ適用
# openssl ca -gencrl -config openssl.cnf -out test-ca.crl -verbose
・中身の確認
# openssl crl -in test-ca.crl -text
