/etc/pki/tls/misc/CAを読む

UNIX系OSで自己署名証明署を作る

Linuxサーバなどに元々インストールされているOpenSSLにおいて自己署名証明署(=RootCA証明署、通称オレオレRootCA証明署)を作るには、一般的に次のコマンドで作成する。

/etc/pki/tls/misc/CA -newca

また、中間CA証明署やサーバ証明署、クライアント証明署の場合にはこちら。

/etc/pki/tls/misc/CA -newreq
/etc/pki/tls/misc/CA -signCA

これを読み解き、願わくば一般ユーザがインストールしたOpenSSLで、一般ユーザの権限でRootCA証明署を作成する方法を理解したい。

/etc/pki/tls/misc/CAの中身

#!/bin/sh
#
# CA - wrapper around ca to make it easier to use ... basically ca requires
#      some setup stuff to be done before you can use it and this makes
#      things easier between now and when Eric is convinced to fix it :-)
#
# CA -newca ... will setup the right stuff
# CA -newreq ... will generate a certificate request
# CA -sign ... will sign the generated request and output
#
# At the end of that grab newreq.pem and newcert.pem (one has the key
# and the other the certificate) and cat them together and that is what
# you want/need ... I'll make even this a little cleaner later.
#
#
# 12-Jan-96 tjh    Added more things ... including CA -signcert which
#                  converts a certificate to a request and then signs it.
# 10-Jan-96 eay    Fixed a few more bugs and added the SSLEAY_CONFIG
#                  environment variable so this can be driven from
#                  a script.
# 25-Jul-96 eay    Cleaned up filenames some more.
# 11-Jun-96 eay    Fixed a few filename missmatches.
# 03-May-96 eay    Modified to use 'ssleay cmd' instead of 'cmd'.
# 18-Apr-96 tjh    Original hacking
#
# Tim Hudson
# tjh@cryptsoft.com
#

# default openssl.cnf file has setup as per the following
# demoCA ... where everything is stored
cp_pem() {
    infile=$1
    outfile=$2
    bound=$3
    flag=0
    exec <$infile;
    while read line; do
	if [ $flag -eq 1 ]; then
		echo $line|grep "^-----END.*$bound"  2>/dev/null 1>/dev/null
		if [ $? -eq 0 ] ; then
			echo $line >>$outfile
			break
		else
			echo $line >>$outfile
		fi
	fi

	echo $line|grep "^-----BEGIN.*$bound"  2>/dev/null 1>/dev/null
	if [ $? -eq 0 ]; then
		echo $line >$outfile
		flag=1
	fi
    done
}

usage() {
 echo "usage: $0 -newcert|-newreq|-newreq-nodes|-newca|-sign|-verify" >&2
}

if [ -z "$OPENSSL" ]; then OPENSSL=openssl; fi

if [ -z "$DAYS" ] ; then DAYS="-days 365" ; fi	# 1 year
CADAYS="-days 1095"	# 3 years
REQ="$OPENSSL req $SSLEAY_CONFIG"
CA="$OPENSSL ca $SSLEAY_CONFIG"
VERIFY="$OPENSSL verify"
X509="$OPENSSL x509"
PKCS12="openssl pkcs12"

if [ -z "$CATOP" ] ; then CATOP=/etc/pki/CA ; fi
CAKEY=./cakey.pem
CAREQ=./careq.pem
CACERT=./cacert.pem

RET=0

while [ "$1" != "" ] ; do
case $1 in
-\?|-h|-help)
    usage
    exit 0
    ;;
-newcert)
    # create a certificate
    $REQ -new -x509 -keyout newkey.pem -out newcert.pem $DAYS
    RET=$?
    echo "Certificate is in newcert.pem, private key is in newkey.pem"
    ;;
-newreq)
    # create a certificate request
    $REQ -new -keyout newkey.pem -out newreq.pem $DAYS
    RET=$?
    echo "Request is in newreq.pem, private key is in newkey.pem"
    ;;
-newreq-nodes) 
    # create a certificate request
    $REQ -new -nodes -keyout newreq.pem -out newreq.pem $DAYS
    RET=$?
    echo "Request (and private key) is in newreq.pem"
    ;;
-newca)
    # if explicitly asked for or it doesn't exist then setup the directory
    # structure that Eric likes to manage things
    NEW="1"
    if [ "$NEW" -o ! -f ${CATOP}/serial ]; then
	# create the directory hierarchy
	mkdir -p ${CATOP}
	mkdir -p ${CATOP}/certs
	mkdir -p ${CATOP}/crl
	mkdir -p ${CATOP}/newcerts
	mkdir -p ${CATOP}/private
	touch ${CATOP}/index.txt
    fi
    if [ ! -f ${CATOP}/private/$CAKEY ]; then
	echo "CA certificate filename (or enter to create)"
	read FILE

	# ask user for existing CA certificate
	if [ "$FILE" ]; then
	    cp_pem $FILE ${CATOP}/private/$CAKEY PRIVATE
	    cp_pem $FILE ${CATOP}/$CACERT CERTIFICATE
	    RET=$?
	    if [ ! -f "${CATOP}/serial" ]; then
		$X509 -in ${CATOP}/$CACERT -noout -next_serial \
		      -out ${CATOP}/serial
	    fi
	else
	    echo "Making CA certificate ..."
	    $REQ -new -keyout ${CATOP}/private/$CAKEY \
			   -out ${CATOP}/$CAREQ
	    $CA -create_serial -out ${CATOP}/$CACERT $CADAYS -batch \
			   -keyfile ${CATOP}/private/$CAKEY -selfsign \
			   -extensions v3_ca \
			   -infiles ${CATOP}/$CAREQ
	    RET=$?
	fi
    fi
    ;;
-xsign)
    $CA -policy policy_anything -infiles newreq.pem
    RET=$?
    ;;
-pkcs12)
    if [ -z "$2" ] ; then
	CNAME="My Certificate"
    else
	CNAME="$2"
    fi
    $PKCS12 -in newcert.pem -inkey newreq.pem -certfile ${CATOP}/$CACERT \
	    -out newcert.p12 -export -name "$CNAME"
    RET=$?
    exit $RET
    ;;
-sign|-signreq)
    $CA -policy policy_anything -out newcert.pem -infiles newreq.pem
    RET=$?
    cat newcert.pem
    echo "Signed certificate is in newcert.pem"
    ;;
-signCA)
    $CA -policy policy_anything -out newcert.pem -extensions v3_ca -infiles newreq.pem
    RET=$?
    echo "Signed CA certificate is in newcert.pem"
    ;;
-signcert)
    echo "Cert passphrase will be requested twice - bug?"
    $X509 -x509toreq -in newreq.pem -signkey newreq.pem -out tmp.pem
    $CA -policy policy_anything -out newcert.pem -infiles tmp.pem
    RET=$?
    cat newcert.pem
    echo "Signed certificate is in newcert.pem"
    ;;
-verify)
    shift
    if [ -z "$1" ]; then
	    $VERIFY -CAfile $CATOP/$CACERT newcert.pem
	    RET=$?
    else
	for j
	do
	    $VERIFY -CAfile $CATOP/$CACERT $j
	    if [ $? != 0 ]; then
		    RET=$?
	    fi
	done
    fi
    exit $RET
    ;;
*)
    echo "Unknown arg $i" >&2
    usage
    exit 1
    ;;
esac
shift
done
exit $RET

L32-55: cp_pem() $infile $outfile $bound

“—–BEGIN.*$bound”から”—–END.*$bound”で囲まれた行を、これらを含む形で$infileから抜き出し$outfileにコピーする関数の定義。

L61: $OPENSSL

opensslバイナリの指定。
デフォルトで、PATHの通っているopensslが指定される。

L63: $DAYS

有効期間オプションの指定。
後に分かるが、これはSSL証明署を発行する場合の有効期間を表す。
デフォルトで、”-days 365″が指定される。

L64: $CADAYS

有効期間オプションの指定。
後に分かるが、これはCAを発行する場合の有効期間を表す。
デフォルトで、”-days 1095″が指定される。

L65: $REQ

openssl reqコマンドの指定。

L66: $CA

openssl caコマンドの指定。

L67: $VERIFY

openssl verifyコマンドの指定。

L68: $509

openssl x509コマンドの指定。

L69: $PKCS12

openssl pkcs12コマンドの指定。

L71: $CATOP

CAの関連ファイルを保存する、トップディレクトリの指定。

L72-74: $CAKEY $CAREQ $CACERT

証明署を作るための暗号鍵、署名要求、証明署のファイル名の指定。

L102-139: /etc/pki/tls/misc/CA -newcaの場合の処理

初期化が必要な場合、以下のコマンドを実施。

mkdir -p $CATOP/{,certs,crl,newcerts,private,private}
touch $CATOP/index.txt

CAを新規作成する場合

$REQ -new -keyout $CATOP/private/$CAKEY -out $CATOP/$CAREQ
$CA -create_serial -out $CATOP/$CACERT $CADAYS -batch -keyfile $CATOP/private/$CAKEY -selfsign -extensions v3_ca -infiles $CATOP/$CAREQ

分かりやすく書き直すとこちら。

# 環境に応じて設定
_key_ca=
_req_ca=
_cert_ca=
_days_ca=1095
_conf_ca=

openssl req ${_conf_ca} -new -keyout ${_key_ca} -out ${_req_ca}
openssl ca ${_conf_ca} -create_serial -out ${_cert_ca} -days ${_days_ca} -batch -keyfile ${_key_ca} -selfsign -extensions v3_ca -infiles ${_req_ca}

新規作成の時は、openssl reqコマンドとopenssl caコマンドを用いて作成している。

CAが既に存在する場合

cp_pem $FILE $CATOP/private/$CAKEY PRIVATE
cp_pem $FILE $CATOP/$CACERT CERTIFICATE
$X509 -in $CATOP/$CACERT -noout -next_serial -out $CATOP/serial

最初の2行はファイルから特定の部分を抜き出しているだけ。
最後の行はopenssl x509コマンドで、現在作成済みの証明署を元に次のシリアル番号を作成している。

L90-95: /etc/pki/tls/misc/CA -newreqの場合の処理

$REQ -new -keyout newkey.pem -out newreq.pem $DAYS

先のように書き直すとこちら。

_key=
_req=
#_cert=
_days=
_conf=
openssl req ${_conf} -new -keyout ${_key} -out ${_req} -days ${_days}

L161-165: /etc/pki/tls/misc/CA -signCAの場合の処理

$CA -policy policy_anything -out newcert.pem -extensions v3_ca -infiles newreq.pem

先のように書き直すとこちら。

#_key=
_req=
_cert=
#_days=
_conf=
openssl ca ${_conf} -policy policy_anything -out ${_cert} -extensions v3_ca -infiles ${_req}

結局、自己署名だろうと何だろうとopenssl reqおよびopenssl caコマンドの2つで行われていることが分かった。
(必要に応じて-selfsignなどをつけているだけ)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です