- - PR -
独自のCAを構築したいのですが?
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2004-08-30 16:29
OpenSSL初心者ですが教えてください。
環境 WinNTServer4.0SP6a IIS4.0 にてOpensslを使った 独自のCAを構築したいのですが、うまく行えません。 どうか教えてください。 経緯 1.wwwサーバにCertificateServerがインストールされていませんでした のでWinNT OptionPack より追加インストール。 2.OpenSSLをダウンロードして以下のファイルを一つのフォルダにまとめま ました。(C:\\SSLという名のフォルダです。) 「openssl.exe」、「openssl.cnf」、「serial」、「index.txt」 3.以下を順次に実行してインストールを行いました。 a. C:\\ssl>openssl genrsa -out .\\cakey.pem b. C:\\ssl>openssl req -new -x509 -config .\\openssl.cnf -key .\\cakey.pem -out .\\cacert.pem c.問いに対して住所/会社名等を入力 d.IIS4.0の「キーマネージャ」を使い同様にCSRの作成。 e.C:\\ssl>openssl ca -config .\\openssl.cnf -days 30 -out .\\aaa.cer -infiles .\\certreq.txt f.C:\\ssl>openssl x509 -in .\\aaa.cer -out .\\bbb.cer g.wwwサーバに証明書をインストール(bbb.cer) h.C:\\ssl>openssl x509 -inform pem -outform der -in .\\cacert.pem -out .\\cacert.der i. <a href="cacert.der">CAの証明書</a> 証明書取得ページを作成 4.クライアントからSSL設定した通常のURL(Http://〜)を実行すると 「HTTPS://〜で実行して......」というメッセージが表示され HTTPSで実行しなおすと、誰でもキー取得が出来てしまう為、 何か設定を間違えたかと思い以下を実行。 ※この時はCA接続できていました。 1.IISの「キーマネージャ」でキーの削除。 2.今までに作成した認証キー (c:\\SSLも削除して新たに違う名前のフォルダを作成しました。) を削除。 再度上記3番を実行(今回は認証期間を365日にして)しました。 5.そして、WinNTのServicePack6aを再インストールするのを忘れ ていたのでインストール。 6.再度クライアントからHttpsで接続するとエラーが表示され、 証明書取得ページから証明書をダウンロードしてHTTPSで接続す ると エラー「ページを表示できません」 検索中のページは現在、利用できません。 Web サイトに技術的な問題が発生しているか、 ブラウザの設定を調整する必要があります。 ページが表示されてしまい、何度作成し直しても同じエラーが表示さ れダウンロードした証明書の期間も最初に設定した30日の期間が表示 されてしまいます。 ※サーバで確認しますと「aaa.cer」や「bbb.cer」の期間は365日なので すが「cacert.der」だけ30日になってしまいます。 これが原因なのでしょうか? 長くなりまして大変申し訳ありません。 どうかご教授ください。 お願いいたします。 _________________ |
1