xca(X Certificate and key management)を使って自己認証局を作ってみよう[Vol.2]

今回はxcaで自己認証局を作成します。作成したCAのルート証明書をWindowsの証明書ストアにインポートします。

1.CA作成

　データベースをオープンします。

　xdbファイルを選択します。

　データベースのパスワードを入力します。

　CAの鍵を作成します。 New Keyボタンをクリックします。

　名前欄を入力します。鍵長(keysize)は1024bitを選びましたが、2048bit以上がお勧めです。

　鍵が作成できました。注意は、鍵を保護するパスワードがデフォルトです。

　鍵のパスワードを変更します。鍵を選択して、右クリックでChange passwordを選びます。

　パスワードを入力します。強固なパスワードをお勧めします。

　Password欄がPrivateになります。

　CAのルート証明書を作成します。Certificatesタブをクリックします。右ペインにあるNew Certificateをクリックします。

　CAのルート証明書なので、Templateが[default] CAになっていることを確認して、Apply allをクリックします。これにより、デフォルトのCAの設定が反映されます。また、Signature algorithmはSHA 1ですが、これからはSHA 256がお勧めです。

　Subjectタブをクリックして、DNの設定を行います。Internal name:Private-Root-CA（お好きな値）、countryName:JP、stateOrProvinceName:省略（Tokyoとか）、localityName:省略（Shinagawaとか）、organizationName:Home（お好きな値）、organizationUnitName:CA（お好きな値）、commonName:Private-Root-CA（お好きな値）にします。一番下にあるPrivate keyに先ほど作成したPrivate-Root-CA Keyが選ばれいることを確認します。

　Extensionsタブをクリックします。Basic constraintsのTypeがCertification Authorityになっていることと証明書の有効期間が10Years（必要に応じて変更してもかまいません）になっていることを確認して、画面下のOKボタンをクリックします。

　Private-Root-CA Keyのパスワードを入力します。

　うまくいけば、以下のCA証明書の作成ができますので、OKをクリックします。

2.ルート証明書のエクスポート

　Certificatesタブで先頭にPrivate-Root-CAの証明書が見えます。

　CAのルート証明書をエクスポートします。証明書を選択して、右ペインのExportをクリックします。

　出力先を選び、Export FormatはPEMを選びます。

3.ルート証明書のインポート

　デスクトップにルート証明書が出力されたので、ダブルクリックで開きます。

　WindowsはちゃんとCAの証明書と認識しています。ただ、信頼されていないので、ルート証明機関へインポートする必要があります。証明書のインストールをクリックします。

　次へをクリックします。

　証明書をすべて次のストアに配置するを選びます。ストアを表示するために参照ボタンをクリックします。

　物理ストアを表示するにチェックを入れます。信頼されたルート証明機関を展開し、ローカルコンピュータを選びます。OKをクリックします。

　次へをクリックします。

　内容を確認して、完了ボタンをクリックします。

　正しくインポートされたら、OKボタンをクリックします。

　もう一度、デスクトップにあるルート証明書をダブルクリックで開きます。

　エラーなく表示できます。

次回は、Webサーバの証明書を発行したいと思います。

次回もお楽しみに!!