🎉
プライベート認証局の構築と証明書の一括配布
概要
ルートCAとするCentOS7のマシン:192.168.10.1
上記に作成してもらったリーフ証明書でTLS通信したいWebサーバー:192.168.10.2
手順1.ルートCA構築
192.168.10.1にて。
cd /etc/pki/tls
cp openssl.cnf openssl-root-ca.cnf
vi openssl-root-ca.cnf
# [ v3_ca ]セクション
# <変更>basicConstraints:CA:true→critical,CA:true
# <追加>keyUsage = critical, cRLSign, keyCertSign, digitalSignature
cd /etc/pki/tls
vi /etc/pki/tls/misc/CA
# 63,64行目の有効期限を100年に変更
OPENSSL_CONFIG="-config /etc/pki/tls/openssl-root-ca.cnf" /etc/pki/tls/misc/CA -newca
# 対話入力
# 1.(空Enter)
# 2.パスフレーズ
# 3.パスフレーズ
# 4.JP
# 5.Tokyo
# 6.Oota-ku
# 7.TestCompany
# 8.(空Enter)
# 9.TestCompanyRootCA
ルートCAの証明書:/etc/pki/CA/cacert.pem
ルートCAの秘密鍵:/etc/pki/CA/private/cakey.pem
が出来た。
手順2.署名対象ホスト用の秘密鍵とCSR作成
192.168.10.1にて。
cd /etc/pki/tls/certs
openssl genrsa -out mydomain.key 2048
openssl req -new -key mydomain.key -out mydomain.csr
# 対話入力(詳細省略)
対象ホスト用の秘密鍵:/etc/pki/tls/certs/mydomain.key
対象ホスト用のCSR:/etc/pki/tls/certs/mydomain.csr
が出来た。
手順3.リーフ証明書作成
192.168.10.1にて。
cp openssl.cnf openssl-mydomain.cnf
vi openssl-mydomain.cnf
# リーフ証明書用に8か所程度編集(詳細省略)
cd /etc/pki/tls/certs/
openssl ca -config /etc/pki/tls/openssl-mydomain.cnf -in /etc/pki/tls/certs/mydomain.csr -out /etc/pki/tls/certs/mydomain.crt -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -policy policy_anything
# 対話入力(詳細省略)
対象ホスト用の証明書:/etc/pki/tls/certs/mydomain.crt
が出来た。
手順4.リーフ証明書をWebサーバーに設置
192.168.10.1:/etc/pki/tls/certs/mydomain.key
192.168.10.1:/etc/pki/tls/certs/mydomain.crt
上記2ファイルを
192.168.10.2:/etc/pki/tls/certs/にコピー。
(コピー先は /etc/httpd/conf.d/ssl.conf などで指定されている場所)
httpd -t
systemctl restart httpd
手順5.ルート証明書をADのグループポリシーオブジェクトで一括配布
- ADサーバーにログオン
- ルート証明書(192.168.10.1:/etc/pki/CA/cacert.pem)をADサーバーの任意の場所に設置
- サーバーマネージャー>ツール>グループポリシーの管理 押下
- グループポリシーの管理>フォレスト>ドメイン>example.com>グループポリシーオブジェクト(右クリック)>新規 押下
- 名前「ルート証明書配付-TestCompanyRootCA」、ソーススターターGPO「(なし)」入力後「OK」 押下
- グループポリシーの管理>フォレスト>ドメイン>example.com(右クリック)>既存のGPOのリンク 押下
- GPOを指定するドメイン「example.com」、グループポリシーオブジェクト「ルート証明書配付-TestCompanyRootCA」選択後「OK」 押下
- 右ペインに表示された「ルート証明書配付-TestCompanyRootCA」(右クリック)>編集 押下
- コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>公開キーのポリシー>信頼されたルート証明機関(右クリック)>インポート 押下
- [証明書のインポート ウィザードの開始] ページで、[次へ] をクリックします。
- [インポートするファイル] ページで、適切な証明書ファイルへのパスを入力し、[次へ] をクリックします。
- [証明書ストア] ページで、[証明書をすべて次のストアに配置する] をクリックし、[次へ] をクリックします。
- [証明書のインポート ウィザードの完了] ページで、指定した情報が正しいことを確認し、[完了] をクリックします。
Discussion