SSL/TLS 証明書の作成方法

重要

このセクションでは、OpenSSL を使用して自己署名 TLS 証明書を生成する方法について説明します。本番環境で安全な接続を確立するには、認証局(CA)発行の証明書を使用することをお勧めします。

このプロセスは、「プライベートキーの生成する」、それを使った「証明書署名要求(CSR)の作成する」、「証明書自体の作成する」、「プライベートキーの証明書ファイルの追加する」、「ウェブブラザを信用する」という5つのステップで構成されています。

1. プライベートキーを作成する

プライベートキーを生成するために、プロンプト/ターミナルコマンドを開き、以下のコマンドを入力してください:

openssl genrsa -out <filename>.key 2048

ここで <ファイル名> はプライベートキーにつけたい名称です。アウトプットは、このコマンドを実行しているディレクトリで生成されます。

キーに安全なパスワードを入力するよう求められます。強力なパスワードを入力し、後で忘れないようにしてください。

2. CSRを作成する

このコマンドを実行し、<ファイル名> をあなたのキーファイル名に置き換え、プロンプトが表示されたら詳細を入力します:

openssl req -new -key <filename>.key -out <filename>.csr

3. 証明書を作成する

最後に、このコマンドを実行して自己署名証明書を作成することができます:

openssl x509 -req -days <days> -in <filename>.csr -signkey <filename>.key -out <filename>.pem

何日 <日> はオプションで、証明書の有効期間を定義することができます。有効期限を設定したくない場合は削除してください。

4. 証明書ファイルにプライベートキーを追加する

EYE+ は必要なすべての情報を含む単一のファイルを期待するので、ステップ1で生成した <ファイル名>.key ファイルの内容を <ファイル名>.pem ファイルにコピーして、以下のようにする必要があります:

-----BEGIN CERTIFICATE-----
<Your certificate contents>
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
<Your private key>
-----END PRIVATE KEY-----

注釈

<ファイル名>.pem ファイルにはプライベートキーが含まれているため、このプライベートキーは誰とも共有せず、 EYE+ でのみ使用してください。

5. ウェブブラウザでファイルを信用する

初期設定では、最近のウェブブラウザは信用できる認証局のリストを保持し、これらの認証局によって署名されていない証明書は拒絶されます。つまり、先ほど作成した自己署名証明書はセキュリティ警告を表示することになります。 リスクを受け入れて続行する (Firefox)または アドレスに進む(安全でない) (Chrome)を選択して、セキュリティ例外を作成する必要があります。

../../../_images/certificate_security_exception_firefox.png

図 319 Firefox のセキュリティの例外

../../../_images/certificate_security_exception_chrome.png

図 320 クロームのセキュリティの例外