OpenSSLの脆弱性 で騒がしい今日この頃。

そんな中、会社でオレオレ証明書の話題が出たので、openssl でちょっと作ってみました。

自己認証局

自己認証局の秘密鍵を作成します。

openssl genrsa -out my-ca.key 2048

自己認証局の証明書を作成します。

openssl req -x509 -new -key my-ca.key -out my-ca.cer -days 365 -subj /CN="My CA"

自己証明書

自己認証局から署名された、サーバー証明書を作成します。

まずは秘密鍵を作成します。

openssl genrsa -out server.key 2048

証明書署名要求(CSR)を作成します。

openssl req -new -out server.csr -key server.key -subj /CN="myhost"

myhost は、サーバーの FQDN を指定します。

-subj 以降を省略すると、対話的に情報を入力できます。

あとは、自己認証局で署名して、サーバー証明書を作成します。

openssl x509 -req -in server.csr -out server.cer -CAkey my-ca.key -CA my-ca.cer -days 365

あとは、Webサーバーに、サーバー証明書の秘密鍵とサーバー証明書を指定したりして遊びます。