かなり閉じた世界でやりとりするだけなので、Verisignなんかでお金をかけずに、自己CAで署名します。opensslをコマンドで叩くのはよくあるので、せっかくMac OSなのでここではGUIでいきます。
なお、本記事の内容は保証できません。何かあっても責任は取りませんので、自己責任で参考程度にして下さい。
1. キーチェーンアクセスを起動。
キーチェーンはここで紹介するために「テスト」を作っていますが、その必要はありません。
ちなみに「ログイン」とは、今ログインしているユーザーに限定したキーチェーン、「システム」とは、このMacのユーザーすべてで共有するキーチェーンという意味っぽいです。なので、全ユーザーに影響していい証明書は「システム」に、今ログインしているユーザーだけの証明書は「ログイン」に入れるのがいいかと思います。
2. まず、自己CA局を作ります。
[キーチェーンアクセス]-[証明書アシスタント]-[認証局を作成...]で証明書アシスタントを起動。
- 名前: 自己CA局の名前を入力。ここでは「NH787 Test Certification Authority」にしておく。
- 固有名のタイプ: 「自己署名ルートCA」を選択。
- ユーザ証明書: 「S/MIME(メール)」を選択。
- デフォルトを無効化: デフォルト設定でCA局を作成するのを無効にして、設定を詳細に決定できます。
- このCAをデフォルトにする: お好きなように。ここではチェックしません。
- メールの送信元: 何に使うメールアドレスか分からないけど、ここではCA局用のメールアドレスである「testca at nh787 dot cc」を入力しておく。
3. 証明書情報を入力します。
ここは、何となくで。
- シリアル番号: そのまま「1」にしておく。
- 有効期間(日数): お好きなように。ここでは「3650」にしておく。
- CAサイトを作成: なんのことやら。チェックしません。
- インビテーションに署名: なんのことやら。チェックしません。
4. さらに証明書情報を入力します。
ここも、なんとなくで。
- メールアドレス: CA局のメールアドレスと思うので「testca at nh787 dot cc」にします。
- 名前(通称): CA局の通称名なので「NH787 Test Certification Authority」にします。
- 組織・部署・都市(地域)・都道府県/州・国: 必要に応じて。ここでは国だけ「JP」にします。
5. 鍵ペア情報はデフォルトのままで行きましょう。
6. ユーザーが使う鍵ペア情報もデフォルトのままで行きましょう。
ちなみに、“ユーザー”とはこのCA局に認証を受ける人のことだと思っています。
7. この証明書の用途を設定します。
CA局としてでしか使わないつもりなので、「証明書署名」だけチェックしておきます。
8. ユーザーの証明書の用途を設定します。
出来るだけ用途は絞りたいけど、何を選んだらいいのかよく分からないので、「署名」・「鍵の暗号化」・「データ暗号化」だけを選んでおきます。
9. 拡張鍵用途拡張領域、ってなに?
分からないのでデフォルトのままです。
10. ユーザーの拡張鍵用途拡張領域の設定です。
出来るだけ用途は絞るべきだと思うんですが、閉じた世界でしか使わないつもりなので全部チェックしておきます。
11. 基本制約ナントカ
CA局として使う証明書なのでそれをチェックしておきます。
12. ユーザーの基本制約ナントカ
よくわからないのでデフォルトです。
13. サブジェクト代替名...?
よくわからないのでデフォルトです。
14. ユーザーのサブジェクト代替名
上に同じ。
15. 証明書の保管先
お好きなように。ここでは「テスト」にしますが、実際には「システム」を選びました。
- このコンピュータ上ではこのCAに署名された証明書を信頼: チェックしていいでしょう。そのために作ってますから。
16. 証明書が完成しました。
「認証局を作成」すると秘密鍵と公開鍵のペアも同時に作成されます。
CA証明書を表示してみるとこんな感じになると思います。
キーチェーンにはこんな感じで表示されます。証明書と秘密鍵が紐づいているのが分かります。
鍵だけを表示させるとこんな感じに。
これで自己CA局が作成されたことになります。次はこのCA局に証明書の作成依頼を出します。それはまた次回。
0 件のコメント:
コメントを投稿