今の作り方


本体

日本人ならCAMELLIAを(`・ω・´)!
なおTLSv1.1、1.2は非対応。1.1.x系でTLSv1.1対応との事。
必要であればgnutlsを選択。

./config enable-camellia enable-tlsext threads shared zlib
make depend
make

enable-tlsextはSNI対応用。
CAMELLIA同様、既に規定値で有効とのこと。

インストール先で

cd /usr/local/ssl
ln -s lib lib64
または
ln -s lib64 lib

としておくと色々便利の様子。ldconfigの設定と反映を忘れずに。

CA局、証明書

自己認証局用のディレクトリ作成。

cd /usr/local/ssl
mkdir -p demoCA/certs
mkdir -p demoCA/crl
mkdir -p demoCA/newcerts
mkdir -p demoCA/private
echo "00" > demoCA/serial
echo "00" > demoCA/crlnumber
touch demoCA/index.txt

自己認証局証明書

0.ランダムファイル作成

/usr/local/ssl/bin/openssl rand 16777216 > /usr/local/ssl/demoCA/private/.rand

1.秘密鍵作成

/usr/local/ssl/bin/openssl genrsa -camellia256 \
-out /usr/local/ssl/demoCA/private/cakey.pem \
-rand /usr/local/ssl/demoCA/private/.rand 4096
Camellia使うぞ(`・ω・´)

2.証明書作成

/usr/local/ssl/bin/openssl req -new -x509 -sha512 \
-days 3652 -key /usr/local/ssl/demoCA/private/cakey.pem \
-out /usr/local/ssl/demoCA/certs/cacert.pem

サーバーなど証明書

1.秘密鍵作成

/usr/local/ssl/bin/openssl genrsa -camellia256 \
-out /usr/local/apache2/conf/server.key \
-rand /usr/local/ssl/demoCA/private/.rand 4096

パスフレーズなしの場合は
/usr/local/ssl/bin/openssl genrsa -out /tmp/server.key \
-rand /usr/local/ssl/demoCA/private/.rand 4096

2.証明書要求作成

/usr/local/ssl/bin/openssl req -new -sha512 -days 3652 \
-key /tmp/server.key -out /tmp/server.csr
出来たファイルやその中身をVeriSignなどで使用する。

3.自己認証局で発行するなら

/usr/local/ssl/bin/openssl ca -md sha512 -days 3652 \
-out /tmp/server.crt -in /tmp/server.csr \
-keyfile /usr/local/ssl/demoCA/private/cakey.pem \
-cert /usr/local/ssl/demoCA/certs/cacert.pem

トップ   編集 凍結解除 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2011-09-22 (木) 20:03:24