Zenn
🎉

プライベート認証局の構築と証明書の一括配布

2023/08/26に公開
Linux
SSL 証明書
Active Directory
暗号化
OpenSSL
tech

概要

ルートCAとするCentOS7のマシン:192.168.10.1
上記に作成してもらったリーフ証明書でTLS通信したいWebサーバー:192.168.10.2

手順1.ルートCA構築

192.168.10.1にて。

cd /etc/pki/tls
cp openssl.cnf openssl-root-ca.cnf
vi openssl-root-ca.cnf
# [ v3_ca ]セクション
# <変更>basicConstraints:CA:true→critical,CA:true
# <追加>keyUsage = critical, cRLSign, keyCertSign, digitalSignature
cd /etc/pki/tls
vi /etc/pki/tls/misc/CA
# 63,64行目の有効期限を100年に変更
OPENSSL_CONFIG="-config /etc/pki/tls/openssl-root-ca.cnf" /etc/pki/tls/misc/CA -newca
# 対話入力
# 1.(空Enter)
# 2.パスフレーズ
# 3.パスフレーズ
# 4.JP
# 5.Tokyo
# 6.Oota-ku
# 7.TestCompany
# 8.(空Enter)
# 9.TestCompanyRootCA

ルートCAの証明書:/etc/pki/CA/cacert.pem
ルートCAの秘密鍵:/etc/pki/CA/private/cakey.pem
が出来た。

手順2.署名対象ホスト用の秘密鍵とCSR作成

192.168.10.1にて。

cd /etc/pki/tls/certs
openssl genrsa -out mydomain.key 2048
openssl req -new -key mydomain.key -out mydomain.csr
# 対話入力(詳細省略)

対象ホスト用の秘密鍵:/etc/pki/tls/certs/mydomain.key
対象ホスト用のCSR:/etc/pki/tls/certs/mydomain.csr
が出来た。

手順3.リーフ証明書作成

192.168.10.1にて。

cp openssl.cnf openssl-mydomain.cnf
vi openssl-mydomain.cnf
# リーフ証明書用に8か所程度編集(詳細省略)
cd /etc/pki/tls/certs/
openssl ca -config /etc/pki/tls/openssl-mydomain.cnf -in /etc/pki/tls/certs/mydomain.csr -out /etc/pki/tls/certs/mydomain.crt -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything
# 対話入力(詳細省略)

対象ホスト用の証明書:/etc/pki/tls/certs/mydomain.crt
が出来た。

手順4.リーフ証明書をWebサーバーに設置

192.168.10.1:/etc/pki/tls/certs/mydomain.key
192.168.10.1:/etc/pki/tls/certs/mydomain.crt
上記2ファイルを
192.168.10.2:/etc/pki/tls/certs/にコピー。
(コピー先は /etc/httpd/conf.d/ssl.conf などで指定されている場所)

httpd -t
systemctl restart httpd

手順5.ルート証明書をADのグループポリシーオブジェクトで一括配布

  1. ADサーバーにログオン
  2. ルート証明書(192.168.10.1:/etc/pki/CA/cacert.pem)をADサーバーの任意の場所に設置
  3. サーバーマネージャー>ツール>グループポリシーの管理 押下
  4. グループポリシーの管理>フォレスト>ドメイン>example.com>グループポリシーオブジェクト(右クリック)>新規 押下
  5. 名前「ルート証明書配付-TestCompanyRootCA」、ソーススターターGPO「(なし)」入力後「OK」 押下
  6. グループポリシーの管理>フォレスト>ドメイン>example.com(右クリック)>既存のGPOのリンク 押下
  7. GPOを指定するドメイン「example.com」、グループポリシーオブジェクト「ルート証明書配付-TestCompanyRootCA」選択後「OK」 押下
  8. 右ペインに表示された「ルート証明書配付-TestCompanyRootCA」(右クリック)>編集 押下
  9. コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>公開キーのポリシー>信頼されたルート証明機関(右クリック)>インポート 押下
  10. [証明書のインポート ウィザードの開始] ページで、[次へ] をクリックします。
  11. [インポートするファイル] ページで、適切な証明書ファイルへのパスを入力し、[次へ] をクリックします。
  12. [証明書ストア] ページで、[証明書をすべて次のストアに配置する] をクリックし、[次へ] をクリックします。
  13. [証明書のインポート ウィザードの完了] ページで、指定した情報が正しいことを確認し、[完了] をクリックします。

Discussion