証明書を作成するには、まず証明書署名要求 (CSR) を作成する必要があります。CSR を認証機関に送信するか、または自己署名証明書を作成するために使用します。
OpenSSLを使用して CSRを生成する
OpenSSL は、ほとんどの GNU/Linux 配布とともにインストールされます。ソース コードまたは Windows バイナリ ファイルをダウンロードするには、http://www.openssl.org/ にアクセスし、使用しているオペレーティング システムのインストール手順に従います。OpenSSL を使用すれば、証明書および証明書署名要求を 1 つの形式から別の形式に変換できます。詳細については、OpenSSL のマニュアル ページまたはオンライン マニュアルを参照してください。
- Command Line Interface ターミナルを開きます。
管理者としてコマンド プロンプトを実行していることを確認します。このためには、Windows のコマンド プロンプトのショートカットを右クリックします。
- 現在の作業ディレクトリに privkey.pem というプライベート キーを生成するには、openssl genrsa -out privkey.pem 1024 と入力します。
- openssl req -new -key privkey.pem -out request.csr と入力します。
このコマンドは現在の作業ディレクトリにある PEM 形式で CSR を生成します。 - x509 の一般名属性情報を入力するよう要求された場合、完全修飾ドメイン名 (FQDN) を入力します。必要に応じて他の情報を使用します。
- 認証機関から提供された手順に従って CSR を送信します。
CA が署名済み証明書を返すまでの一時的な自己署名証明書を作成するには、次の手順に従います。
- extensions.txt という名前のプレーン テキスト形式のファイルを作成します。
- ファイルに次のテキストを追加します:
basicConstraints=CA:TRUE,pathlen:0
keyUsage=digitalSignature,keyEncipherment,keyCertSign,cRLSign
extendedKeyUsage=serverAuth
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
- Command Line Interface ターミナルを開きます。
- 次のコマンドを入力します。 openssl x509 -req -days 30 -in request.csr -signkey privkey.pem -extfile extensions.txt -out sscert.cert
このコマンドを実行すると、プライベート キーおよび前記の手順で作成した CSR のある 30 日で期限の切れる証明書が現在のディレクトリ内に作成されます。
VPN リモートゲートウェイ 認証の場合、自己署名証明書は使用できません。信頼される認証機関によって署名された証明書を使用することをお勧めします。