[Nginx]オレオレCA認証局でSSL通信をする手順。サーバ証明書・秘密鍵・証明書署名要求の作成方法。

目次

記事の目的

Linuxサーバ(今回Nginx利用)のSSL通信に必要な、

  • サーバ証明書(.crtファイル、.pemファイル)
  • 秘密鍵(.keyファイル)
  • 証明書署名要求(.csrファイル)

を作成する。

この記事の内容を実施する前に以下の記事を必ず実施すること。

[Linux] Opensslを使用したオレオレCA証明局の作成

SSL通信のために必要なファイル

SSL通信に必要なファイルは以下である。

  • サーバ証明書(server.pem)
  • 秘密鍵(server.key)
  • 証明書署名要求(server.csr)
  • CA証明書(cacert.pem)

CA証明書は[Linux] Opensslを使用したオレオレCA証明局の作成で作成しているファイル。

SSL通信について理解が足りない場合は以下の証明書・秘密鍵・証明局の関係をきちんと理解することをおすすめする。

準備中

サーバ秘密鍵を作成

まずは通信を暗号化するためのサーバ秘密鍵を作成する。

openssl genrsa -out server.key 2048

証明書署名要求を作成

CA認証局に依頼するための証明書署名要求(CSR)を作成する。

openssl req -new -key server.key -out server.csr

証明書情報は任意に入力すること。

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Tokyo
Locality Name (eg, city) []:Minato-ku
Organization Name (eg, company) [Internet Widgits Pty Ltd]:TodoONada
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:*.libproc.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

CA署名したサーバ証明書を作成

[Linux] Opensslを使用したオレオレCA証明局の作成 のCA認証局で署名したサーバ証明書を作成。

その前にsubject alternative name(SAN)を設定をする必要がある。
GoogleChromeなどはCommon Nameを非推奨にしており、SAN情報を元にと突合する。
この設定をしないとブラウザで,NET::ERR_CERT_COMMON_NAME_INVALID が出る。

まずはsubjectnames.txtを作成し、以下を追記。

subjectAltName = DNS:your-domain.com, IP:your-IP

作成したらopenssl caで署名付きサーバ証明書作成する。

openssl ca -out server.pem -in server.csr -extfile  subjectnames.txt

すると以下のようになる。

Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for /etc/ssl/CA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Sep  7 10:27:52 2021 GMT
            Not After : Sep  7 10:27:52 2022 GMT
        Subject:
            countryName               = JP
            stateOrProvinceName       = Tokyo
            organizationName          = TodoONada
            organizationalUnitName    = IT
            commonName                = *.libproc
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                FF:11:11:22:33:44:55:66:AA:BB:7F:2E:18:7D:B7:71:B3:DB:C3:C2
            X509v3 Authority Key Identifier:
                keyid:FF:11:11:22:33:44:55:66:AA:BB:7F:2E:18:7D:B7:71:B3:DB:C3:C2

Certificate is to be certified until Sep  7 10:27:52 2022 GMT (365 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

クライアント(ローカルPC)で証明書を有効化する

WindowsおよびMacで
cacert.pem
を有効すること。(省略)

  • Windows + ルート証明書 + インストール
  • Mac + ルート証明書 + 有効化

でググると手順があるので参考にしてほしい。

NginxにSSL通信を有効化

nginx.confに以下を設定。

server {
        listen  80;
        listen 443 ssl;
        include  "/opt/bitnami/nginx/conf/bitnami/*.conf";
        ssl_certificate   "/etc/ssl/sample/server.pem";
        ssl_certificate_key "/etc/ssl/sample/server.key";

        server_name libproc.com;

各種ファイルは以下に配置

  • ssl_certificateにCA署名付きサーバ証明書
  • ssl_certificate_keyにサーバ秘密鍵

Nginxのdry-runとNginxの再起動を行う。

nginx -t
systemctl restart nginx
よかったらシェアしてね!
  • URLをコピーしました!
目次