*

PHPki で簡単証明書運用 (2) 【初期設定と Root CA 証明書作成】

公開日: : 最終更新日:2014/02/03 FreeBSD, PHP, PHPki

Seichan です.こんばんわ.
さて,先日の「PHPki で簡単証明書運用 (1) 【修正版】」の続きです.以降は基本的にはブラウザでの操作がメインになります.

 SPONSORED LINK
 

RootCA 証明書を作成する

Apacheの Alias で設定した URL にブラウザでアクセスすると,こんなトップ画面が表示されますので,画面右上の「Setup」をクリックしてください.
phpki001

すると,次の画面の「Certificate Authority Initial Setup」が表示され,ここで RootCA の必要情報を入力して行きます.

phpki002  phpki003

入力項目と各項目の説明は次のとおりです.

  • Organization

組織名,通常は会社名の英文字正式名称を入力します.
なお,GlobalSign の Root CA の場合「GlobalSign」が入力されています.

  • Department/Unit

所属名や部署名を英文字で入力します.OpenSSLでの自己認証局を作成する際の Organizational Unit Name になります.
なお,GlobalSign の Root CA の場合「GlobalSign Root CA – R3」等が入力されています.

  • Common Name

認証局の名前を英文字で入力します.サーバ証明書では無いのでここはホスト名(FQDN)である必要はありません.むしろ,証明書の表示をした際にわかりやすい名前にすべきです.
GlobalSign の Root CA の場合「GlobalSign」が入力されています.

  • Technical Contact E-mail Address

認証局を管理する所属が持つメールアドレスを入力します.PHPkiはメールアドレスの正当性を正規表現でチェックしていますので,正しいメールアドレス形式で入力してください.

  • Locality

市町村名を英文字で入力します.

  • State/Province

都道府県名を英文字で入力します.

  • Country

2文字の国コードを入力します.日本の場合は「JP」です.

  • Password

当然パスワードを入力します.このパスワードは今後サーバ証明書の署名等で利用しますので,推測しづらいけれど使いやすいパスワードが理想です.

  • Certificate Life

Root CA 証明書の有効年数を選択します.あまり長いのも本来は良くないことですので適切な有効年数を指定してください。
とはいえ,大体は自己認証局って長めで作っちゃいますよね…

  • Key Size

鍵長を選択します.大きいサイズの方が暗号強度が高いという事になりますが,2048bit もあれば十分じゃないでしょうか

  • Certficate Authority Base URL

認証局の URL を入力します.URL は最後に / (スラッシュ) で終える必要があります.今現在アクセスしている URL を入力で問題はありません.

  • Certificate Authority CRL Distribution Points

CRL (失効した証明書のリスト) を配布するポイントを入力します.上述の Base URL からの続きを入力するのですが,デフォルトのままで問題ありません.

  • Certificate Authority Revocation Check URL

証明書の失効を確認する為の URL を入力します.こちらも上述の Base URL からの続きを入力するのですが,デフォルトのままで問題ありません.

  • Certificate Authority Policy URL

認証局のポリシー (ステートメント・声明) を記載した URL を入力します.こちらも上述の Base URL からの続きを入力します.デフォルトのままで問題ありません.

  • Root Certificate Comment
  • Email Certificate Comment
  • Email/Signing Certificate Comment
  • SSL Server Certificate Comment
  • Time Stamping Certificate Comment

ルート証明書,電子メール証明書などのコメント属性に埋め込む文字列を入力します.英文字で好きな文字列を入力してかまいません.以上が認証局の証明書等の入力項目となります.次に,保存場所等のシステム情報を「Configuration Options」に入力していきます.

phpki004

  • Storage Directory

証明書などのファイルを保存する場所を入力します.Apache Web Server の DocumentRoot の外 (Web ブラウザでアクセスが出来ない場所) を指定しましょう.ここで入力したディレクトリはあらかじめ作成しておく必要があります.
また,作成したディレクトリは,Web Server のユーザ権限で読み書き出来るように,ディレクトリオーナーを Apache 動作ユーザに変更します (chown www など).また,他のユーザがアクセス出来ないようにパーミッションを絞ってください (chmod 700).

  • Location of OpenSSL Executable

openssl コマンドのパスを入力します.which openssl で表示されるパス名を入力しましょう.殆どの場合はデフォルトで大丈夫です.

  • Enter the location of your PHPki password

前に「secure.sh」を実行した時に入力したパスワードファイルのパスを入力します.secure.sh で入れているのにここで入力させる意味がぶっちゃけ良くわかりません.なんで統合していないのか…

  • File Upload Prefix

ここでプレフィックスを指定すると,ファイルをアップロードする際に必要であればプレフィックスを付けることが出来ます.複数の認証局を運用している場合などの環境では,どの認証局で署名したかわかりやすくなるとは思います.

  • Page Header Title

PHPki のページヘッダのタイトルを設定します.英文字で好きな文字列に変更してかまいません.

  • Help Document Contact Info

ヘルプページに埋め込む問い合わせ先情報を入力します.こちらも好きなように入力して構いません.

以上でシステムの設定項目も終了です.「Submit」ボタンをクリックするとこれら入力項目が反映され,Root CA 証明書が作成されます.
Submit」をクリックする前にディレクトリの作成を忘れないようにしましょう.正しく処理が完了すると次の画面が表示されます.「Procceed To The PHPki Main Menu」ボタンをクリックすると,PHPki トップ画面へ移動します。

phpki005  phpki006

トップ画面に移動でき,PUBLIC CONTENT MENU が表示されれば正常です。「Download Our Root Certificate」のリンクをクリックすると先ほど作成した Root CA 証明書がダウンロード出来ます.

今回も長くなってしまったので,次回にまわします.次回はようやくサーバ証明書等の発行です.

SPONSORED LINK
  ☆ ブログランキング参加しました (*≧∀≦)ノシ
にほんブログ村 IT技術ブログ FreeBSDへ 

関連記事

no image

FreeNAS と m0n0wall

そういや,FreeSBIE で色々遊んでるわけなのだが, FreeNAS が気になる. 今の Fil

記事を読む

vmware_logo

VMware Server 上の FreeBSD の時刻がずれる

仕事中の Seichan です.忘れやすいので,メモメモ.隣の席の人から,「いつも見てるのに更新され

記事を読む

no image

もっともセキュアなOSはBSDだそうだ

ITmediaによると,もっともセキュアな OS はオープンソースプラットホームの BSD と Ma

記事を読む

ssl_icon

PHPki で簡単証明書運用 (4) 【作成した証明書を管理する】

Seichanです.こんばんわ. 先日の「PHPki で簡単証明書運用 (3) 【署名されたサーバ

記事を読む

no image

Multiple problems in crypto

FreeBSD の SA が出た.今回は OpenSSL.これインパクトでかい様なので,外部向けのサ

記事を読む

no image

papu さんへご報告

なんだか,稚内にいないようなのでこっちに書いておく. papu さんのサイトを,こっちのサーバに移動

記事を読む

no image

FreeBSD 2.2.8

部屋の掃除をしていたら,1999年の UNIXUSER の CD-ROM が見つかった. 読み込んで

記事を読む

no image

MyServerRooM

ばんわー Seichan です. ちょっと前に,DDS4 チェンジャードライブのエントリをのっけまし

記事を読む

no image

5.3-RELEASE から RC に…

FreeBSD-5.3-RELEASE がもう少しで出るなぁ〜 と思っていたら,cvsweb を見た

記事を読む

no image

qmail で SMTP-AUTH がでけたぽぃ

苦節3日.Yuuji Hirose さん作の SMTP-AUTH with qmapop schem

記事を読む

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Google Adsense

ssl_icon
PHPki で簡単証明書運用 (5) 【管理ユーザのメンテナンスとCRLの取得】

Seichanです.こんばんわ. いつものとおり,だいぶ日が経ってし

ssl_icon
PHPki で簡単証明書運用 (4) 【作成した証明書を管理する】

Seichanです.こんばんわ. 先日の「PHPki で簡単証明書運

ssl_icon
PHPki で簡単証明書運用 (3) 【署名されたサーバ証明書を作る】

Seichan です.こんばんわ. さて,先日の「PHPki で簡単

ssl_icon
PHPki で簡単証明書運用 (2) 【初期設定と Root CA 証明書作成】

Seichan です.こんばんわ. さて,先日の「PHPki で簡単

ssl_icon
PHPki で簡単証明書運用 (1) 【PHPki の修正と導入 (修正版)】

Seichan です.こんばんわ. 先日「PHPki で簡単証明書運

→もっと見る

PAGE TOP ↑