xca(X Certificate and key management)を使って自己認証局を作ってみよう[Vol.2] [xca]
今回はxcaで自己認証局を作成します。作成したCAのルート証明書をWindowsの証明書ストアにインポートします。
1.CA作成
2.ルート証明書のエクスポート
3.ルート証明書のインポート
次回は、Webサーバの証明書を発行したいと思います。
次回もお楽しみに!!
1.CA作成
データベースをオープンします。
xdbファイルを選択します。
データベースのパスワードを入力します。
CAの鍵を作成します。 New Keyボタンをクリックします。
名前欄を入力します。鍵長(keysize)は1024bitを選びましたが、2048bit以上がお勧めです。
鍵が作成できました。注意は、鍵を保護するパスワードがデフォルトです。
鍵のパスワードを変更します。鍵を選択して、右クリックでChange passwordを選びます。
パスワードを入力します。強固なパスワードをお勧めします。
Password欄がPrivateになります。
CAのルート証明書を作成します。Certificatesタブをクリックします。右ペインにあるNew Certificateをクリックします。
CAのルート証明書なので、Templateが[default] CAになっていることを確認して、Apply allをクリックします。これにより、デフォルトのCAの設定が反映されます。また、Signature algorithmはSHA 1ですが、これからはSHA 256がお勧めです。
Subjectタブをクリックして、DNの設定を行います。Internal name:Private-Root-CA(お好きな値)、countryName:JP、stateOrProvinceName:省略(Tokyoとか)、localityName:省略(Shinagawaとか)、organizationName:Home(お好きな値)、organizationUnitName:CA(お好きな値)、commonName:Private-Root-CA(お好きな値)にします。一番下にあるPrivate keyに先ほど作成したPrivate-Root-CA Keyが選ばれいることを確認します。
Extensionsタブをクリックします。Basic constraintsのTypeがCertification Authorityになっていることと証明書の有効期間が10Years(必要に応じて変更してもかまいません)になっていることを確認して、画面下のOKボタンをクリックします。
Private-Root-CA Keyのパスワードを入力します。
うまくいけば、以下のCA証明書の作成ができますので、OKをクリックします。
2.ルート証明書のエクスポート
Certificatesタブで先頭にPrivate-Root-CAの証明書が見えます。
CAのルート証明書をエクスポートします。証明書を選択して、右ペインのExportをクリックします。
出力先を選び、Export FormatはPEMを選びます。
3.ルート証明書のインポート
デスクトップにルート証明書が出力されたので、ダブルクリックで開きます。
WindowsはちゃんとCAの証明書と認識しています。ただ、信頼されていないので、ルート証明機関へインポートする必要があります。証明書のインストールをクリックします。
次へをクリックします。
証明書をすべて次のストアに配置するを選びます。ストアを表示するために参照ボタンをクリックします。
物理ストアを表示するにチェックを入れます。信頼されたルート証明機関を展開し、ローカルコンピュータを選びます。OKをクリックします。
次へをクリックします。
内容を確認して、完了ボタンをクリックします。
正しくインポートされたら、OKボタンをクリックします。
もう一度、デスクトップにあるルート証明書をダブルクリックで開きます。
エラーなく表示できます。
次回は、Webサーバの証明書を発行したいと思います。
次回もお楽しみに!!