自己クライアント証明書を作ってみよう(2)

2021 年 4 月 12 日 by fuku

こんにちは。fukuです。

前回に引き続きクライアント証明書関連ですが、今回は、失効リストの作成方法をご紹介します。

【必要なファイル】
 ・プライベート認証局(CA)
  keyファイル
  crtファイル
 ・クライアント証明書
  keyファイル
  crtファイル
 ※前回作成した認証局と証明書ファイルが必要です。

【失効処理準備の作成手順】
・ディレクトリの準備

 # cd /tmp
# mkdir pki

・失効リストデータベースとCRL番号ファイルの作成

# touch index.txt  && echo '01' > crlnumber 

・設定ファイルの編集

# cp -p /etc/pki/tls/openssl.cnf ./ 
# vi openssl.cnf
 ------------------
 dir             = ./pki
 certs           = $dir/[プライベート認証局(CA)].crt
 crl_dir         = $dir/test-ca.crl
 database        = ./index.txt

 certificate     = $dir/[プライベート認証局(CA)].crt

 crlnumber       = ./crlnumber
 crl             = $dir/test-ca.crl
 private_key     = $dir/[プライベート認証局(CA)].key
 default_days    = 5000    ←発行した証明書の有効期限
 default_crl_days= 5000    ←CRLファイル自体の有効期限
 ------------------

・失効証明書の作成

# openssl ca -gencrl -config openssl.cnf -out test-ca.crl -verbose 

・中身の確認

# openssl crl -in ehime-ca.crl -text 

【失効リストの作成手順】
・失効するクライアント証明書を指定して失効リストを作成

# openssl ca -revoke ./[クライアント証明書].crt -config openssl.cnf 

・失効データベースを確認

# cat index.txt
R       260000000000X   210000000000X   CE1A45B1B4XXXXXX   unknown /CN=testuser01
 

・失効データベースの内容を失効証明書へ適用

# openssl ca -gencrl -config openssl.cnf -out test-ca.crl -verbose

・中身の確認

# openssl crl -in test-ca.crl -text 

TrackBack