ACMのPrivate認証局を試してみる

はじめに

ACMのプライベート認証局作成の手順メモです。

上位CAとなる認証局の作成　※EC2インスタンスなどで実施

ACMでPvivate CA作成

ACMでPrvate証明書作成

上位CAとなる認証局を作成

Amazon Linuxで作成します。opensslの設定ファイルを編集します。

作成するサーバ証明書の期限が１年なのでdefault_daysを１年より長くする。

[ v3_ca ]のbasicConstraintsをcritical,CA:trueに設定する。

[root@ip-10-0-1-127 ~]# diff /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf.bk 
73c73 
< default_days  = 3650          # how long to certify for 
--- 
> default_days  = 365           # how long to certify for 
223c223 
< basicConstraints = critical,CA:true #[ v3_ca ] 
--- 
> basicConstraints = CA:FALSE

criticalがないと証明書のインポート時に以下のエラーがでて失敗します。

ルートCAを作成します。

# /etc/pki/tls/misc/CA -newca 
CA certificate filename (or enter to create) 
 
Making CA certificate ... 
Generating a 2048 bit RSA private key 
.......................+++ 
..+++ 
writing new private key to '/etc/pki/CA/private/./cakey.pem' 
Enter PEM pass phrase: 
Verifying - Enter PEM pass phrase: 
----- 
You are about to be asked to enter information that will be incorporated 
into your certificate request. 
What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 
For some fields there will be a default value, 
If you enter '.', the field will be left blank. 
----- 
Country Name (2 letter code) [XX]:JP 
State or Province Name (full name) []:Tokyo 
Locality Name (eg, city) [Default City]:Meguro-ku 
Organization Name (eg, company) [Default Company Ltd]:Company 
Organizational Unit Name (eg, section) []:section 
Common Name (eg, your name or your server's hostname) []:private-root-ca 
Email Address []: 
 
Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []: 
An optional company name []: 
Using configuration from /etc/pki/tls/openssl.cnf 
Enter pass phrase for /etc/pki/CA/private/./cakey.pem: 
Check that the request matches the signature 
Signature ok 
Certificate Details: 
        Serial Number: 
            c2:0a:82:6f:c7:22:be:0c 
        Validity 
            Not Before: Jan  1 16:18:09 2019 GMT 
            Not After : Dec 31 16:18:09 2021 GMT 
        Subject: 
            countryName               = JP 
            stateOrProvinceName       = Tokyo 
            organizationName          = Company 
            organizationalUnitName    = section 
            commonName                = private-root-ca 
        X509v3 extensions: 
            X509v3 Subject Key Identifier:  
                30:2A:9A:EF:6D:FC:29:40:16:75:D2:0F:AB:A3:F6:5A:90:12:B7:30 
            X509v3 Authority Key Identifier:  
                keyid:30:2A:9A:EF:6D:FC:29:40:16:75:D2:0F:AB:A3:F6:5A:90:12:B7:30 
 
            X509v3 Basic Constraints: critical 
                CA:TRUE 
Certificate is to be certified until Dec 31 16:18:09 2021 GMT (1095 days) 
 
Write out database with 1 new entries 
Data Base Updated

プライベートCAを作成する

ACMのダッシュボードでCreate CAをクリックする。

下位CAを選択してNext。

ルートCAの設定値を記入する。

Confirm and create。

上位CAで下位CAの証明書を署名してインポート

Import CA certificateをクリック。

CSRファイルをダウンロードする。

証明書を署名

CSRをリネームする。

mv /Downloads/CSR.pem newreq.pem

証明書を署名する。

# /etc/pki/tls/misc/CA -signCA 
Using configuration from /etc/pki/tls/openssl.cnf 
Enter pass phrase for /etc/pki/CA/private/cakey.pem: 
Check that the request matches the signature 
Signature ok 
Certificate Details: 
        Serial Number: 
            c2:0a:82:6f:c7:22:be:0d 
        Validity 
            Not Before: Jan  1 16:19:03 2019 GMT 
            Not After : Dec 29 16:19:03 2028 GMT 
        Subject: 
            countryName               = JP 
            stateOrProvinceName       = Tokyo 
            localityName              = Meguro-ku 
            organizationName          = Company 
            organizationalUnitName    = section 
            commonName                = private-ca 
        X509v3 extensions: 
            X509v3 Subject Key Identifier:  
                36:B1:80:7C:B0:42:77:67:1A:9A:15:D7:7C:66:C0:68:86:7A:95:93 
            X509v3 Authority Key Identifier:  
                keyid:30:2A:9A:EF:6D:FC:29:40:16:75:D2:0F:AB:A3:F6:5A:90:12:B7:30 
 
            X509v3 Basic Constraints: critical 
                CA:TRUE 
Certificate is to be certified until Dec 29 16:19:03 2028 GMT (3650 days) 
Sign the certificate? [y/n]:y 
 
 
1 out of 1 certificate requests certified, commit? [y/n]y 
Write out database with 1 new entries 
Data Base Updated 
Signed CA certificate is in newcert.pem

署名した証明書(newcert.pem)とCA証明書(cacert.pem)をコピペする。以下の箇所。

-----BEGIN CERTIFICATE REQUEST----- 
略) 
-----END CERTIFICATE REQUEST-----

Confirm and importをクリックする。

private証明書の発行

Request a certificateをクリックする。

プライベート証明書を選択する。

CAとして作成した下位CAを選択する。

Comfirm and requestをクリックする。

お約束

投稿内容は私個人の意見であり、所属企業・部門見解を代表するものではありません。

このブログを検索

IT音痴アラフィフおやじのストック記事倉庫