HTTPS通信の際に使用するサーバー証明書は認証局の署名が必要です。自身で署名したものを自己署名証明書と言います。自分で認証するのでオレオレ証明書とも呼ばれています。自己署名証明書を作ってみたので、そのやり方を書いておきます。
実施した環境はCentOS7でOpenSSLがインストール済みです。
まずは、秘密鍵を作成します。
$ openssl genrsa -out server.key
opensslコマンドのオプションの意味です。
- genrsa・・・ RSA秘密鍵を作成します。
- -out・・・出力ファイルの指定をします。
鍵長はデフォルトでは2048bitです。ローカルディレクトリに server.key という名前の秘密鍵が作成されます。
次に、証明書署名要求(Certificate Signing Request)の作成を行います。証明書署名要求はCSRとも呼ばれます。
$ openssl req -new -key server.key -out server.csr
- req・・・ 証明書署名要求の処理を行います。
- -new・・・ 新しい証明書要求を生成します。
- -key・・・ 秘密鍵を指定します。
- -out・・・出力ファイルの指定をします。
CSRは認証局の署名のない状態のサーバー証明書です。秘密鍵から公開鍵の生成は可能でCSRには公開鍵が含まれます。通常のサーバー証明書はこのCSRを認証局に提出して、公開鍵が正当なものであるという署名をしてもらいます。
なお、CSRの作成時は対話形式となり入力が必要になります。自己署名証明書であれば入力が必要なものは Common Name のところで他のものは未入力(リターンキーの押下)で構いません。Common Name には www.dummy.com と入力しています。以下は実行時のものです。
$ openssl req -new -key server.key -out server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]: Locality Name (eg, city) []: Organization Name (eg, company) [Internet Widgits Pty Ltd]: Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []:www.dummy.com Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:
ローカルディレクトリに server.csr という名前の証明書署名要求が作成されます。
最後に、証明書署名要求に署名をします。自分の秘密鍵を使って署名する(自分で認証していると言い張る)のでオレオレ証明書とも呼ばれるのだと思います。
$ openssl x509 -req -days 3650 -signkey server.key -in server.csr -out server.crt
- x509・・・ X.509のフォーマットでサーバー証明書を作成します。
- -req・・・ 証明書署名要求の読み取りをします。
- -days・・・ 証明書の有効期限の日数を指定します。
- -signkey・・・証明書に署名する秘密鍵を指定します。
- -in・・・ 読み取る証明書署名要求を指定します。
- -out・・・出力ファイルの指定をします。
-signkey オプションで指定する秘密鍵は通常は認証局の秘密鍵ですが、自己署名証明書の場合は自分の秘密鍵です。ローカルディレクトリに server.crt という名前のサーバー証明書が作成されます。
このサーバー証明書と秘密鍵をウェブサーバーに設定するとHTTPS通信が可能になります。Nginxの場合は ssl_certificate ディレクィブと ssl_certificate_key ディレクィブになります。