PHPki で簡単証明書運用 (2) 【初期設定と Root CA 証明書作成】

PHPki
2014.02.01

さて,先日の「PHPki で簡単証明書運用 (1) 【修正版】」の続きです.以降は基本的にはブラウザでの操作がメインになります.

RootCA 証明書を作成する

Apacheの Alias で設定した URL にブラウザでアクセスすると,こんなトップ画面が表示されますので,画面右上の「Setup」をクリックしてください.
phpki001

すると,次の画面の「Certificate Authority Initial Setup」が表示され,ここで RootCA の必要情報を入力して行きます.

phpki002
phpki003

  

入力項目と各項目の説明は次のとおりです.

  • Organization

組織名,通常は会社名の英文字正式名称を入力します.
なお,GlobalSign の Root CA の場合「GlobalSign」が入力されています.

  • Department/Unit

所属名や部署名を英文字で入力します.OpenSSLでの自己認証局を作成する際の Organizational Unit Name になります.
なお,GlobalSign の Root CA の場合「GlobalSign Root CA – R3」等が入力されています.

  • Common Name

認証局の名前を英文字で入力します.サーバ証明書では無いのでここはホスト名(FQDN)である必要はありません.むしろ,証明書の表示をした際にわかりやすい名前にすべきです.
GlobalSign の Root CA の場合「GlobalSign」が入力されています.

  • Technical Contact E-mail Address

認証局を管理する所属が持つメールアドレスを入力します.PHPkiはメールアドレスの正当性を正規表現でチェックしていますので,正しいメールアドレス形式で入力してください.

  • Locality

市町村名を英文字で入力します.

  • State/Province

都道府県名を英文字で入力します.

  • Country

2文字の国コードを入力します.日本の場合は「JP」です.

  • Password

当然パスワードを入力します.このパスワードは今後サーバ証明書の署名等で利用しますので,推測しづらいけれど使いやすいパスワードが理想です.

  • Certificate Life

Root CA 証明書の有効年数を選択します.あまり長いのも本来は良くないことですので適切な有効年数を指定してください。
とはいえ,大体は自己認証局って長めで作っちゃいますよね…

  • Key Size

鍵長を選択します.大きいサイズの方が暗号強度が高いという事になりますが,2048bit もあれば十分じゃないでしょうか

  • Certficate Authority Base URL

認証局の URL を入力します.URL は最後に / (スラッシュ) で終える必要があります.今現在アクセスしている URL を入力で問題はありません.

  • Certificate Authority CRL Distribution Points

CRL (失効した証明書のリスト) を配布するポイントを入力します.上述の Base URL からの続きを入力するのですが,デフォルトのままで問題ありません.

  • Certificate Authority Revocation Check URL

証明書の失効を確認する為の URL を入力します.こちらも上述の Base URL からの続きを入力するのですが,デフォルトのままで問題ありません.

  • Certificate Authority Policy URL

認証局のポリシー (ステートメント・声明) を記載した URL を入力します.こちらも上述の Base URL からの続きを入力します.デフォルトのままで問題ありません.

  • Root Certificate Comment
  • Email Certificate Comment
  • Email/Signing Certificate Comment
  • SSL Server Certificate Comment
  • Time Stamping Certificate Comment

ルート証明書,電子メール証明書などのコメント属性に埋め込む文字列を入力します.英文字で好きな文字列を入力してかまいません.以上が認証局の証明書等の入力項目となります.次に,保存場所等のシステム情報を「Configuration Options」に入力していきます.

phpki004
  • Storage Directory

証明書などのファイルを保存する場所を入力します.Apache Web Server の DocumentRoot の外 (Web ブラウザでアクセスが出来ない場所) を指定しましょう.ここで入力したディレクトリはあらかじめ作成しておく必要があります.
また,作成したディレクトリは,Web Server のユーザ権限で読み書き出来るように,ディレクトリオーナーを Apache 動作ユーザに変更します (chown www など).また,他のユーザがアクセス出来ないようにパーミッションを絞ってください (chmod 700).

  • Location of OpenSSL Executable

openssl コマンドのパスを入力します.which openssl で表示されるパス名を入力しましょう.殆どの場合はデフォルトで大丈夫です.

  • Enter the location of your PHPki password

前に「secure.sh」を実行した時に入力したパスワードファイルのパスを入力します.secure.sh で入れているのにここで入力させる意味がぶっちゃけ良くわかりません.なんで統合していないのか…

  • File Upload Prefix

ここでプレフィックスを指定すると,ファイルをアップロードする際に必要であればプレフィックスを付けることが出来ます.複数の認証局を運用している場合などの環境では,どの認証局で署名したかわかりやすくなるとは思います.

  • Page Header Title

PHPki のページヘッダのタイトルを設定します.英文字で好きな文字列に変更してかまいません.

  • Help Document Contact Info

ヘルプページに埋め込む問い合わせ先情報を入力します.こちらも好きなように入力して構いません.

以上でシステムの設定項目も終了です.「Submit」ボタンをクリックするとこれら入力項目が反映され,Root CA 証明書が作成されます.
Submit」をクリックする前にディレクトリの作成を忘れないようにしましょう.正しく処理が完了すると次の画面が表示されます.「Procceed To The PHPki Main Menu」ボタンをクリックすると,PHPki トップ画面へ移動します。

phpki005
phpki006

  

トップ画面に移動でき,PUBLIC CONTENT MENU が表示されれば正常です。「Download Our Root Certificate」のリンクをクリックすると先ほど作成した Root CA 証明書がダウンロード出来ます.

今回も長くなってしまったので,次回にまわします.次回はようやくサーバ証明書等の発行です.

コメント

タイトルとURLをコピーしました