- PR -

独自のCAを構築したいのですが？

投稿者	投稿内容
未記入会議室デビュー日: 2004/08/30 投稿数: 1	投稿日時: 2004-08-30 16:29 OpenSSL初心者ですが教えてください。環境　WinNTServer4.0SP6a IIS4.0　にてOpensslを使った独自のCAを構築したいのですが、うまく行えません。どうか教えてください。経緯 1.ｗｗｗサーバにCertificateServerがインストールされていませんでした　のでWinNT OptionPack より追加インストール。 2.OpenSSLをダウンロードして以下のファイルを一つのフォルダにまとめま　ました。（C:\\SSLという名のフォルダです。）　「openssl.exe」、「openssl.cnf」、「serial」、「index.txt」 3.以下を順次に実行してインストールを行いました。　　a. C:\\ssl>openssl genrsa -out .\\cakey.pem 　　b. C:\\ssl>openssl req -new -x509 -config 　　　　.\\openssl.cnf -key .\\cakey.pem -out .\\cacert.pem 　　c.問いに対して住所/会社名等を入力　　d.IIS4.0の「キーマネージャ」を使い同様にCSRの作成。　　e.C:\\ssl>openssl ca -config .\\openssl.cnf -days 30 　　　　-out .\\aaa.cer -infiles .\\certreq.txt 　　f.C:\\ssl>openssl x509 -in .\\aaa.cer -out .\\bbb.cer 　　g.wwwサーバに証明書をインストール（bbb.cer）　　h.C:\\ssl>openssl x509 -inform pem -outform der -in 　　　　.\\cacert.pem -out .\\cacert.der 　　i. <a href="cacert.der">CAの証明書</a> 証明書取得ページを作成 4.クライアントからSSL設定した通常のURL（Http://～）を実行すると　　「HTTPS://～で実行して......」というメッセージが表示され　　ＨＴＴＰＳで実行しなおすと、誰でもキー取得が出来てしまう為、　　何か設定を間違えたかと思い以下を実行。　　※この時はCA接続できていました。　　1.ＩＩＳの「キーマネージャ」でキーの削除。　　2.今までに作成した認証キー　　（c:\\SSLも削除して新たに違う名前のフォルダを作成しました。）　　　を削除。　　再度上記3番を実行（今回は認証期間を365日にして）しました。 5.そして、ＷｉｎＮＴのServicePack6aを再インストールするのを忘れ　　ていたのでインストール。 6.再度クライアントからＨｔｔｐｓで接続するとエラーが表示され、　　証明書取得ページから証明書をダウンロードしてHTTPSで接続す　　ると　　エラー「ページを表示できません」　　検索中のページは現在、利用できません。　　　Web サイトに技術的な問題が発生しているか、　　　ブラウザの設定を調整する必要があります。　　ページが表示されてしまい、何度作成し直しても同じエラーが表示さ　　れダウンロードした証明書の期間も最初に設定した30日の期間が表示　　されてしまいます。　※サーバで確認しますと「aaa.cer」や「bbb.cer」の期間は365日なので　　すが「cacert.der」だけ30日になってしまいます。　　これが原因なのでしょうか？長くなりまして大変申し訳ありません。どうかご教授ください。お願いいたします。 _________________

投稿者

投稿内容

未記入: 会議室デビュー日: 2004/08/30; 投稿数: 1

投稿日時: 2004-08-30 16:29

OpenSSL初心者ですが教えてください。
環境　WinNTServer4.0SP6a IIS4.0　にてOpensslを使った
独自のCAを構築したいのですが、うまく行えません。
どうか教えてください。

経緯
1.ｗｗｗサーバにCertificateServerがインストールされていませんでした
　のでWinNT OptionPack より追加インストール。
2.OpenSSLをダウンロードして以下のファイルを一つのフォルダにまとめま
　ました。（C:\\SSLという名のフォルダです。）
　「openssl.exe」、「openssl.cnf」、「serial」、「index.txt」
3.以下を順次に実行してインストールを行いました。
　　a. C:\\ssl>openssl genrsa -out .\\cakey.pem
　　b. C:\\ssl>openssl req -new -x509 -config
　　　　.\\openssl.cnf -key .\\cakey.pem -out .\\cacert.pem
　　c.問いに対して住所/会社名等を入力
　　d.IIS4.0の「キーマネージャ」を使い同様にCSRの作成。
　　e.C:\\ssl>openssl ca -config .\\openssl.cnf -days 30
　　　　-out .\\aaa.cer -infiles .\\certreq.txt
　　f.C:\\ssl>openssl x509 -in .\\aaa.cer -out .\\bbb.cer
　　g.wwwサーバに証明書をインストール（bbb.cer）
　　h.C:\\ssl>openssl x509 -inform pem -outform der -in
　　　　.\\cacert.pem -out .\\cacert.der
　　i. <a href="cacert.der">CAの証明書</a> 証明書取得ページを作成

4.クライアントからSSL設定した通常のURL（Http://～）を実行すると
　　「HTTPS://～で実行して......」というメッセージが表示され
　　ＨＴＴＰＳで実行しなおすと、誰でもキー取得が出来てしまう為、
　　何か設定を間違えたかと思い以下を実行。
　　※この時はCA接続できていました。

　　1.ＩＩＳの「キーマネージャ」でキーの削除。
　　2.今までに作成した認証キー
　　（c:\\SSLも削除して新たに違う名前のフォルダを作成しました。）
　　　を削除。
　　再度上記3番を実行（今回は認証期間を365日にして）しました。

5.そして、ＷｉｎＮＴのServicePack6aを再インストールするのを忘れ
　　ていたのでインストール。
6.再度クライアントからＨｔｔｐｓで接続するとエラーが表示され、
　　証明書取得ページから証明書をダウンロードしてHTTPSで接続す
　　ると

　　エラー「ページを表示できません」
　　検索中のページは現在、利用できません。
　　　Web サイトに技術的な問題が発生しているか、
　　　ブラウザの設定を調整する必要があります。

　　ページが表示されてしまい、何度作成し直しても同じエラーが表示さ
　　れダウンロードした証明書の期間も最初に設定した30日の期間が表示
　　されてしまいます。

　※サーバで確認しますと「aaa.cer」や「bbb.cer」の期間は365日なので
　　すが「cacert.der」だけ30日になってしまいます。
　　これが原因なのでしょうか？

長くなりまして大変申し訳ありません。
どうかご教授ください。
お願いいたします。

_________________

＠IT SpecialPR

独自のCAを構築したいのですが？

スキルアップ／キャリアアップ（JOB@IT）