【無料ツールで作るセキュアな環境（34）】〜独自認証局〜（執筆：office）

　SSLによる暗号通信では、認証局からの電子証明によって、通信相手の確認が行われる。電子証明をするためには、証明する内容についてあらかじめ確認がなされていなければならないため、商用認証局では確認内容や信頼性をクラス分けを行い、クラスごとに課金体系を設定し

特集

2001.9.27 Thu 12:00

　SSLによる暗号通信では、認証局からの電子証明によって、通信相手の確認が行われる。電子証明をするためには、証明する内容についてあらかじめ確認がなされていなければならないため、商用認証局では確認内容や信頼性をクラス分けを行い、クラスごとに課金体系を設定している。つまり信頼性の高い証明がなされている通信には高いコストがかかることがわかる。
　しかし、例えば自分のサーバに外部からアクセスする時には、このような高いコストをかけて無意味に自分自身を証明する必要は通常ない。そこで自分自身専用の認証局を設けて、無料で認証を行いSSL通信を行うことができる。

　OpenSSLでは簡単に独自認証局が構築できるようになっており、そのためのツールとして、CA.shというShell スクリプトが用意されている。CA.shを用いて独自認証局を構築する方法を解説しよう。

　まずCA.shのあるディレクトリに移動し、新しいCAを作るコマンドを入れる
# cd /usr/local/ssl/bin
# CA.sh -newca

CA certificate filename (or enter to create)

と表示されるのでenterキーを押す

Enter PEM pass phrase:

と表示されたらパスフレーズを入力する。このパスフレーズは十分長く、また忘れないようなものを用いる。

Verifying password - Enter PEM pass phrase:

確認のためもう一度パスフレーズを入力する。

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:
Email Address []:

という表示に対してはそれぞれ国コード名（２文字で）、州（県）名、都市名、組織名、部署名、名前、メールアドレスを英数字で入力する。

この作業によってdemoCAというディレクトリが作られ、その下には独自認証局に必要な以下のようなディレクトリやファイルがある。

office
office@ukky.net
http://www.office.ac/

（詳しくはScan本誌でご覧下さい）
http://www.vagabond.co.jp/vv/m-sc.htm