【無料ツールで作るセキュアな環境(34)】〜独自認証局〜(執筆:office) | ScanNetSecurity
2024.03.29(金)

【無料ツールで作るセキュアな環境(34)】〜独自認証局〜(執筆:office)

 SSLによる暗号通信では、認証局からの電子証明によって、通信相手の確認が行われる。電子証明をするためには、証明する内容についてあらかじめ確認がなされていなければならないため、商用認証局では確認内容や信頼性をクラス分けを行い、クラスごとに課金体系を設定し

特集 特集
 SSLによる暗号通信では、認証局からの電子証明によって、通信相手の確認が行われる。電子証明をするためには、証明する内容についてあらかじめ確認がなされていなければならないため、商用認証局では確認内容や信頼性をクラス分けを行い、クラスごとに課金体系を設定している。つまり信頼性の高い証明がなされている通信には高いコストがかかることがわかる。
 しかし、例えば自分のサーバに外部からアクセスする時には、このような高いコストをかけて無意味に自分自身を証明する必要は通常ない。そこで自分自身専用の認証局を設けて、無料で認証を行いSSL通信を行うことができる。

 OpenSSLでは簡単に独自認証局が構築できるようになっており、そのためのツールとして、CA.shというShell スクリプトが用意されている。CA.shを用いて独自認証局を構築する方法を解説しよう。

 まずCA.shのあるディレクトリに移動し、新しいCAを作るコマンドを入れる
# cd /usr/local/ssl/bin
# CA.sh -newca

CA certificate filename (or enter to create)

と表示されるのでenterキーを押す

Enter PEM pass phrase:

と表示されたらパスフレーズを入力する。このパスフレーズは十分長く、また忘れないようなものを用いる。

Verifying password - Enter PEM pass phrase:

確認のためもう一度パスフレーズを入力する。

Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:
Email Address []:

という表示に対してはそれぞれ国コード名(2文字で)、州(県)名、都市名、組織名、部署名、名前、メールアドレスを英数字で入力する。

この作業によってdemoCAというディレクトリが作られ、その下には独自認証局に必要な以下のようなディレクトリやファイルがある。


office
office@ukky.net
http://www.office.ac/

(詳しくはScan本誌でご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×