付録C 証明書

C.1. SSL/TLS 証明書の作成

概要
SSL/TLS 証明書は、HTTPS を経由したインストールへのアクセスにセキュリティ層を提供します。以下の手順では、証明書を作成し、それらを使用してホストを設定する方法を説明します。
以下の手順には openssl が必要です。このツールをインストールするには、ホストで以下のコマンドを実行します。
# yum install openssl

手順C.1 認証局の作成

認証局 (CA) は、証明書に署名をして、有効性の検証を提供します。Web ブラウザーには、セキュリティ保護された Web サイトの HTTPS 通信の検証に使用する CA 証明書が数多く含まれています。これらの CA には、お使いのホスト用の CA ペアを提供するのに料金を支払う必要がある場合と、オープンかつ無償で CA ペアを提供する場合とがあります。以下の手順では、お客様が社内ネットワークで使用するための独自の認証局 (CA) 証明書と鍵を生成する方法を説明します。
  1. 次のコマンドを実行します。
    # openssl req -new -x509 -keyout ca.key -out ca.crt -days 3650
    
    このコマンドは、3650 日間有効な 新規 CA ペアを要求します。
  2. CA を保護するためのパスワードを入力します。
    Generating a 2048 bit RSA private key
    ......................................................................................................................................+++
    ..................................................................................................+++
    writing new private key to 'ca.key'
    Enter PEM pass phrase: 
    Verifying - Enter PEM pass phrase:
    
  3. お客様の組織についての情報を入力します。
    Country Name (2 letter code) [XX]:AU
    State or Province Name (full name) []:Queensland
    Locality Name (eg, city) [Default City]:Brisbane
    Organization Name (eg, company) [Default Company Ltd]:Red Hat
    Organizational Unit Name (eg, section) []:Engineering Content Services
    Common Name (eg, your name or your server's hostname) []:www.example.com
    Email Address []:dmacpher@redhat.com
    
    この情報により、証明書の識別名 (DN) が形成されます。
結論
認証局を作成しました。openssl により、管理者が証明書の署名に使用するキー ca.key と、ユーザーが受信した署名済み証明書の有効性を検証するために取得する公開 CA 証明書 ca.crt の 2 つのファイルが作成されました。ホストにアクセスするユーザーが ca.crt のコピーを所有しており、クライアントの信頼された CA ストアにインポートできることを確認しました。