Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
4.7.2. 証明書の生成
OpenSSL を使用して証明書を生成するには、秘密鍵を利用可能にしておく必要があります。以下の例では、秘密鍵は privkey.pem と呼ばれます。秘密鍵を生成していない場合は、を参照してください。 「暗号化キーの作成と管理」
認証局(CA) が署名する証明書を設定するには、証明書を生成し、署名するために CA に送信する必要があります。これは、証明書署名要求と呼ばれます。詳細は、「証明書署名要求の作成」 を参照してください。別の方法として、自己署名証明書を作成します。詳細は、「自己署名証明書の作成」 を参照してください。
4.7.2.1. 証明書署名要求の作成
CA に送信するための証明書を作成するには、以下の形式でコマンドを実行します。
~]$ openssl req -newこれにより、cert.csr という名前の X.509 証明書が作成され、デフォルトの privacy-enhanced electronic mail (PEM)形式でエンコードされます。名前が PEM は、RFC 1424 「で説明されているインターネット Electronic メールのプライバシー機能強化から派生します」。別の DER 形式で証明書ファイルを生成するには、-outform DER コマンドオプションを使用します。
上記のコマンドを発行すると、証明書の識別名 (DN)を作成するために、顧客と組織に関する情報の入力が求められます。以下の情報が必要になります。
- 国の 2 文字国の国名コード
- 状態のフルネームまたは承認
- City または Town
- 組織の名前
- 組織内のユニット名
- システムのホスト名またはホスト名
- メールアドレス
req(1) の man ページでは、PKCS# 10 証明書の要求と生成ユーティリティーが説明されています。
証明書作成プロセスで使用されるデフォルト設定は、/etc/pki/tls/openssl.cnf ファイル内に含まれます。詳細は、man openssl.cnf(5) を参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。