Web サーバを SSL 暗号化する場合の全体像をまとめました。
CA局の構築
- OpenSSL の CA 用のひな型の openssl.cnf を修正します。(デフォルトの demoCA を修正)
- CA 局用に暗号鍵・秘密鍵ペアを作成します。
- CA 証明書を作成します。
Webサーバの構築
- SSL 用の Web サーバを作成します。
- SSL サイトは VirtualHost で 443 番ポートで用意します。
Webサーバの証明書の作成
- Web サーバ用に暗号鍵・秘密鍵ペアを作成します。
- Web サーバで証明書要求(CSR)を発行します。
- Web サーバの CSR を CA 局でサインします。
- サインしてできあがったサーバ証明書(CST)を SSL サイトに取り込みます。
クライアントPCでhttpsアクセス
- CA 証明書をクライアントPCにインポートします。
- hosts ファイルで URL の名前解決をします。
- Web サーバに https アクセスします。
証明書の種類
証明書はよく3種類の名前が使われ混同しやすいです。
サーバ証明書やクライアント証明書は CA 局がサインします。
CA 証明書
- CA 局の証明書です。対になる秘密鍵は証明書要求(CSR)をサインするのに使います。
- この証明書をクライアントのブラウザにインストールするとブラウザは安全な通信と認識します。
- CA 局ごとに作成します。
- Web サーバなどのサーバにインストールする証明書です。
- サーバのサイトごとに作成します。
- 個人のメールを暗号化するといった場合に用意し、PC にインストールします。
- クライアント(個人)ごとに作成します。
0 件のコメント:
コメントを投稿