Debian 10で認証局(CA)を設定および設定する方法
序章
認証局(CA)は、インターネット上のIDを検証するためのデジタル証明書の発行を担当するエンティティです。 パブリックCAは、一般の人々に提供されるWebサイトやその他のサービスのIDを確認するための一般的な選択肢ですが、プライベートCAは通常、クローズドグループやプライベートサービスに使用されます。
プライベート認証局を構築すると、クライアントとサーバー間の暗号化された接続を必要とするプログラムを構成、テスト、および実行できるようになります。 プライベートCAを使用すると、インフラストラクチャ内のユーザー、サーバー、または個々のプログラムとサービスの証明書を発行できます。
独自のプライベートCAを使用するLinux上のプログラムの例としては、OpenVPNおよびPuppetがあります。 開発環境とステージング環境をTLSを使用して接続を暗号化する本番サーバーと一致させるために、プライベートCAによって発行された証明書を使用するようにWebサーバーを構成することもできます。
このガイドでは、Debian 10サーバーにプライベート認証局を設定する方法と、新しいCAを使用してテスト証明書を生成して署名する方法を学習します。 また、CAサーバーの公開証明書をオペレーティングシステムの証明書ストアにインポートして、CAとリモートサーバーまたはユーザー間の信頼の鎖を確認する方法についても学習します。 最後に、証明書を失効させ、証明書失効リストを配布して、許可されたユーザーとシステムのみがCAに依存するサービスを使用できるようにする方法を学習します。
前提条件
このチュートリアルを完了するには、CAサーバーをホストするためのDebian10サーバーにアクセスする必要があります。 このガイドを開始する前に、root以外のユーザーにsudo
権限を設定する必要があります。 Debian 10初期サーバーセットアップガイドに従って、適切な権限を持つユーザーをセットアップできます。 リンクされたチュートリアルでは、ファイアウォールも設定されます。これは、このガイド全体で使用されていると想定されています。
このチュートリアルでは、このサーバーをCAサーバーと呼びます。
CAServerがスタンドアロンシステムであることを確認します。 これは、証明書要求のインポート、署名、および取り消しにのみ使用されます。 他のサービスを実行しないでください。理想的には、CAをアクティブに操作していないときは、オフラインになるか、完全にシャットダウンされます。
注:証明書の署名と取り消しについて学習したい場合、このチュートリアルの最後のセクションはオプションです。 これらの練習手順を完了することを選択した場合は、2台目のDebian 10サーバーが必要になります。または、DebianまたはUbuntu、あるいはこれらのいずれかから派生したディストリビューションを実行している独自のローカルLinuxコンピューターを使用することもできます。
ステップ1—Easy-RSAのインストール
このチュートリアルの最初のタスクは、easy-rsa
スクリプトセットをCAサーバにインストールすることです。 easy-rsa
は、秘密鍵と公開ルート証明書を生成するために使用する認証局管理ツールであり、CAに依存するクライアントおよびサーバーからの要求に署名するために使用します。
初期設定手順で作成したroot以外のsudoユーザとしてCAServerにログインし、以下を実行します。
- sudo apt update
- sudo apt install easy-rsa
パッケージをダウンロードしてインストールするように求められます。 y
を押して、パッケージをインストールすることを確認します。
この時点で、必要なものがすべてセットアップされ、Easy-RSAを使用する準備が整いました。 次のステップでは、公開鍵インフラストラクチャを作成してから、認証局の構築を開始します。
ステップ2—公開鍵インフラストラクチャディレクトリの準備
easy-rsa
をインストールしたので、CAサーバーにスケルトン公開鍵インフラストラクチャ(PKI)を作成します。 root以外のユーザーとしてログインしていることを確認し、easy-rsa
ディレクトリを作成します。 通常のユーザーは昇格された特権なしでCAを管理および操作する必要があるため、sudoを使用して次のコマンドを実行しないでください。
- mkdir ~/easy-rsa
これにより、ホームフォルダにeasy-rsa
という新しいディレクトリが作成されます。 このディレクトリを使用して、前の手順でインストールしたeasy-rsa
パッケージファイルを指すシンボリックリンクを作成します。 これらのファイルは、CAサーバの/usr/share/easy-rsa
フォルダにあります。
ln
コマンドを使用してシンボリックリンクを作成します。
- ln -s /usr/share/easy-rsa/* ~/easy-rsa/
注:他のガイドがeasy-rsa
パッケージファイルをPKIディレクトリにコピーするように指示する場合がありますが、このチュートリアルではシンボリックリンクアプローチを採用しています。 その結果、easy-rsa
パッケージへの更新は、PKIのスクリプトに自動的に反映されます。
新しいPKIディレクトリへのアクセスを制限するには、chmod
コマンドを使用して所有者のみがアクセスできるようにします。
- chmod 700 /home/sammy/easy-rsa
最後に、easy-rsa
ディレクトリ内のPKIを初期化します。
- cd ~/easy-rsa
- ./easyrsa init-pki
Outputinit-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/sammy/easy-rsa/pki
このセクションを完了すると、認証局の作成に必要なすべてのファイルを含むディレクトリが作成されます。 次のセクションでは、CAの秘密鍵と公開証明書を作成します。
ステップ3—認証局を作成する
CAの秘密鍵と証明書を作成する前に、vars
というファイルを作成していくつかのデフォルト値を入力する必要があります。 最初にcd
をeasy-rsa
ディレクトリに配置し、次にvars
ファイルをnano
またはお好みのテキストエディタで作成および編集します。
- cd ~/easy-rsa
- nano vars
ファイルを開いたら、次の行を貼り付け、強調表示された各値を編集して、独自の組織情報を反映させます。 ここで重要なのは、値を空白のままにしないようにすることです。
~/easy-rsa/varsset_var EASYRSA_REQ_COUNTRY "US"
set_var EASYRSA_REQ_PROVINCE "NewYork"
set_var EASYRSA_REQ_CITY "New York City"
set_var EASYRSA_REQ_ORG "DigitalOcean"
set_var EASYRSA_REQ_EMAIL "[email protected]"
set_var EASYRSA_REQ_OU "Community"
set_var EASYRSA_ALGO "ec"
set_var EASYRSA_DIGEST "sha512"
終了したら、ファイルを保存して閉じます。 nano
を使用している場合は、CTRL+X
、Y
、ENTER
の順に押して確定します。 これで、CAを構築する準備が整いました。
認証局のルート公開鍵と秘密鍵のペアを作成するには、./easy-rsa
コマンドを再度実行します。今回は、build-ca
オプションを使用します。
- ./easyrsa build-ca
出力には、OpenSSLバージョンに関するいくつかの行が表示され、キーペアのパスフレーズを入力するように求められます。 必ず強力なパスフレーズを選択し、安全な場所に書き留めてください。 証明書に署名したり取り消したりするなど、CAとやり取りする必要があるときはいつでも、パスフレーズを入力する必要があります。
また、CAの共通名(CN)を確認するように求められます。 CNは、認証局のコンテキストでこのマシンを参照するために使用される名前です。 CAの共通名には任意の文字列を入力できますが、簡単にするために、Enterキーを押してデフォルト名を受け入れます。
Output. . .
Enter New CA Key Passphrase:
Re-Enter New CA Key Passphrase:
. . .
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/home/sammy/easy-rsa/pki/ca.crt
注: CAと対話するたびにパスワードの入力を求められたくない場合は、nopass
オプションを指定してbuild-ca
コマンドを実行できます。これ:
- ./easyrsa build-ca nopass
これで、認証局のパブリックコンポーネントとプライベートコンポーネントを構成する~/easy-rsa/pki/ca.crt
と~/easy-rsa/pki/private/ca.key
の2つの重要なファイルができました。
-
ca.crt
は、CAの公開証明書ファイルです。 ユーザー、サーバー、およびクライアントは、この証明書を使用して、それらが同じ信頼のWebの一部であることを確認します。 CAを使用するすべてのユーザーとサーバーは、このファイルのコピーを持っている必要があります。 すべての関係者は、誰かがシステムになりすまして中間者攻撃を実行していないことを確認するために、公開証明書に依存します。 -
ca.key
は、CAがサーバーとクライアントの証明書に署名するために使用する秘密鍵です。 攻撃者があなたのCAにアクセスし、次にあなたのca.key
ファイルにアクセスした場合、あなたはあなたのCAを破壊する必要があります。 これが、ca.key
ファイルがCAマシン上にのみあるべきであり、理想的には、追加のセキュリティ対策として証明書要求に署名しない場合、CAマシンをオフラインに保つ必要がある理由です。
これで、CAが配置され、証明書要求に署名したり、証明書を失効させたりするために使用できるようになります。
ステップ4—認証局の公開証明書を配布する
これで、CAが構成され、それを使用するように構成するシステムの信頼のルートとして機能する準備が整いました。 CAの証明書をOpenVPNサーバー、Webサーバー、メールサーバーなどに追加できます。 ネットワーク内の別のユーザーまたはサーバーのIDを確認する必要があるユーザーまたはサーバーは、ca.crt
ファイルのコピーをオペレーティングシステムの証明書ストアにインポートする必要があります。
CAの公開証明書を別のサーバーやローカルコンピューターなどの2番目のLinuxシステムにインポートするには、最初にCAサーバーからca.crt
ファイルのコピーを取得します。 cat
コマンドを使用して端末に出力し、証明書をインポートしている2台目のコンピューター上のファイルにコピーして貼り付けることができます。 scp
、rsync
などのツールを使用して、システム間でファイルを転送することもできます。 ただし、すべてのシステムで機能するため、このステップではnano
でコピーアンドペーストを使用します。
CA Serverのroot以外のユーザとして、次のコマンドを実行します。
- cat ~/easy-rsa/pki/ca.crt
次のような出力が端末に表示されます。
Output-----BEGIN CERTIFICATE-----
MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQEL
BQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw
. . .
. . .
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
と-----END CERTIFICATE-----
の線とダッシュを含むすべてをコピーします。
2番目のLinuxシステムでは、nano
またはお好みのテキストエディタを使用して、/tmp/ca.crt
というファイルを開きます。
- nano /tmp/ca.crt
CAServerからコピーした内容をエディタに貼り付けます。 終了したら、ファイルを保存して閉じます。 nano
を使用している場合は、CTRL+X
、Y
、ENTER
の順に押して確定します。
2番目のLinuxシステムにca.crt
ファイルのコピーができたので、次に、オペレーティングシステムの証明書ストアに証明書をインポートします。
DebianおよびUbuntuベースのシステムでは、次のコマンドを実行して証明書をインポートします。
- cp /tmp/ca.crt /usr/local/share/ca-certificates/
- update-ca-certificates
CentOS、Fedora、またはRedHatベースのシステムにCAサーバーの証明書をインポートするには、前の例と同じように、ファイルの内容を/tmp/ca.crt
というファイルにコピーしてシステムに貼り付けます。 次に、証明書を/etc/pki/ca-trust/source/anchors/
にコピーしてから、update-ca-trust
コマンドを実行します。
- sudo cp /tmp/ca.crt /etc/pki/ca-trust/source/anchors/
- update-ca-trust
これで、2番目のLinuxシステムは、CAサーバーによって署名されたすべての証明書を信頼します。
注: WebサーバーでCAを使用していて、Firefoxをブラウザーとして使用している場合は、パブリックca.crt
証明書をFirefoxに直接インポートする必要があります。 Firefoxはローカルオペレーティングシステムの証明書ストアを使用しません。 CAの証明書をFirefoxに追加する方法の詳細については、 Firefoxでの認証局(CA)の設定に関するMozillaのこのサポート記事を参照してください。
CAを使用してWindows環境またはデスクトップコンピューターと統合している場合は、certutil.exe
を使用してCA証明書をインストールする方法に関するドキュメントを参照してください。
このチュートリアルを別のチュートリアルの前提条件として使用している場合、または証明書に署名して取り消す方法に精通している場合は、ここで停止できます。 証明書に署名して取り消す方法について詳しく知りたい場合は、次のオプションのセクションで各プロセスについて詳しく説明します。
(オプション)—証明書署名要求の作成と証明書の取り消し
チュートリアルの次のセクションはオプションです。 これまでのすべての手順を完了した場合は、他のチュートリアルの前提条件として使用できる、完全に構成され機能している認証局があります。 CAのca.crt
ファイルをインポートして、CAによって署名されたネットワーク内の証明書を検証できます。
証明書要求に署名する方法、および証明書を取り消す方法について練習し、詳細を知りたい場合は、これらのオプションのセクションで、両方のプロセスがどのように機能するかを説明します。
(オプション)—実践証明書リクエストの作成と署名
CAを使用する準備ができたので、秘密鍵と証明書の要求の生成を練習して、署名と配布のプロセスに慣れることができます。
証明書署名要求(CSR)は、要求システムに関する識別情報である公開鍵と、要求側の秘密鍵を使用して作成された要求自体の署名の3つの部分で構成されます。 秘密鍵は秘密にされ、署名された公開証明書を持っている人なら誰でも復号化できる情報を暗号化するために使用されます。
次の手順は、2番目のLinuxシステムDebian、Ubuntu、またはこれらのいずれかから派生したディストリビューションで実行されます。 別のリモートサーバー、またはラップトップやデスクトップコンピューターなどのローカルLinuxマシンの場合があります。 easy-rsa
はデフォルトですべてのシステムで使用できるわけではないため、openssl
ツールを使用して練習用の秘密鍵と証明書を作成します。
openssl
は通常、ほとんどのLinuxディストリビューションにデフォルトでインストールされますが、念のため、システムで次のコマンドを実行してください。
- sudo apt update
- sudo apt install openssl
openssl
をインストールするように求められたら、y
と入力して、インストール手順を続行します。 これで、openssl
を使用して実践的なCSRを作成する準備が整いました。
CSRを作成するために完了する必要がある最初のステップは、秘密鍵を生成することです。 openssl
を使用して秘密鍵を作成するには、practice-csr
ディレクトリを作成し、その中に鍵を生成します。 ユーザーまたは別のCAを識別するために使用される証明書を作成するのではなく、sammy-server
と呼ばれる架空のサーバーに対してこの要求を行います。
- mkdir ~/practice-csr
- cd ~/practice-csr
- openssl genrsa -out sammy-server.key
OutputGenerating RSA private key, 2048 bit long modulus (2 primes)
. . .
. . .
e is 65537 (0x010001)
秘密鍵ができたので、openssl
ユーティリティを使用して対応するCSRを作成できます。 国、州、市などのいくつかのフィールドに入力するように求められます。 フィールドを空白のままにする場合は、.
を入力できますが、これが実際のCSRである場合は、場所と組織に正しい値を使用するのが最善であることに注意してください。
- openssl req -new -key sammy-server.key -out sammy-server.req
Output. . .
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:New York
Locality Name (eg, city) [Default City]:New York City
Organization Name (eg, company) [Default Company Ltd]:DigitalOcean
Organizational Unit Name (eg, section) []:Community
Common Name (eg, your name or your server's hostname) []:sammy-server
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
インタラクティブプロンプトではなく、openssl
呼び出しの一部としてこれらの値を自動的に追加する場合は、-subj
引数をOpenSSLに渡すことができます。 練習場所、組織、サーバー名に一致するように、強調表示された値を必ず編集してください。
- openssl req -new -key sammy-server.key -out server.req -subj \
- /C=US/ST=New\ York/L=New\ York\ City/O=DigitalOcean/OU=Community/CN=sammy-server
CSRの内容を確認するには、openssl
を含むリクエストファイルを読み込んで、次のフィールドを調べます。
- openssl req -in sammy-server.req -noout -subject
Outputsubject=C = US, ST = New York, L = New York City, O = DigitalOcean, OU = Community, CN = sammy-server
練習証明書リクエストの件名に満足したら、scp
を使用してsammy-server.req
ファイルをCAサーバーにコピーします。
- scp sammy-server.req sammy@your_ca_server_ip:/tmp/sammy-server.req
このステップでは、sammy-server
という架空のサーバーの証明書署名要求を生成しました。 実際のシナリオでは、要求は、テスト用にTLS証明書を必要とするステージングまたは開発Webサーバーのようなものからのものである可能性があります。 または、ユーザーがVPNに接続できるように証明書を要求しているOpenVPNサーバーから取得することもできます。 次のステップでは、CAServerの秘密鍵を使用して証明書署名要求に署名します。
(オプション)—CSRへの署名
前の手順では、架空のサーバーの練習証明書リクエストとキーを作成しました。 これをCAサーバーの/tmp
ディレクトリにコピーし、署名が必要なCSR要求を送信する実際のクライアントまたはサーバーがある場合に使用するプロセスをエミュレートしました。
架空のシナリオを続けると、CAServerは練習用証明書をインポートして署名する必要があります。 証明書要求がCAによって検証され、サーバーに中継されると、認証局を信頼するクライアントは、新しく発行された証明書も信頼できるようになります。
easy-rsa
ユーティリティを使用できるCAのPKI内で動作するため、署名手順では、openssl
を使用するのではなく、easy-rsa
ユーティリティを使用して作業を簡単にします。前の例で行ったように直接。
架空のCSRに署名するための最初のステップは、easy-rsa
スクリプトを使用して証明書要求をインポートすることです。
- cd ~/easy-rsa
- ./easyrsa import-req /tmp/sammy-server.req sammy-server
Output. . .
The request has been successfully imported with a short name of: sammy-server
You may now use this name to perform signing operations on this request.
これで、sign-req
オプションを指定してeasyrsa
スクリプトを実行し、続いて要求タイプとCSRに含まれる共通名を実行して要求に署名できます。 リクエストタイプは、client
、server
、またはca
のいずれかになります。 架空のサーバーの証明書を使用して練習しているため、必ずserver
リクエストタイプを使用してください。
- ./easyrsa sign-req server sammy-server
出力では、リクエストが信頼できるソースからのものであることを確認するように求められます。 yes
と入力し、ENTER
を押して、これを確認します。
OutputYou are about to sign the following certificate.
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.
Request subject, to be signed as a server certificate for 3650 days:
subject=
commonName = sammy-server
Type the word 'yes' to continue, or any other input to abort.
Confirm request details: yes
. . .
Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt
CAキーを暗号化した場合は、この時点でパスワードの入力を求められます。
これらの手順が完了すると、/home/sammy/easy-rsa/pki/private/ca.key
のCAサーバーの秘密鍵を使用してsammy-server.req
CSRに署名したことになります。 結果のsammy-server.crt
ファイルには、練習用サーバーの公開暗号化キーと、CAサーバーからの新しい署名が含まれています。 署名のポイントは、CAを信頼するすべての人に、sammy-server
証明書も信頼できることを伝えることです。
この要求がWebサーバやVPNサーバなどの実サーバに対するものである場合、CAサーバでの最後のステップは、新しいsammy-server.crt
およびca.crt
ファイルをCAサーバからリモートに配布することです。 CSR要求を行ったサーバー:
- scp pki/issued/sammy-server.crt sammy@your_server_ip:/tmp
- scp pki/ca.crt sammy@your_server_ip:/tmp
この時点で、発行された証明書をWebサーバー、VPN、構成管理ツール、データベースシステムなどで使用したり、クライアント認証の目的で使用したりできるようになります。
(オプション)—証明書の取り消し
場合によっては、ユーザーまたはサーバーが証明書を使用できないようにするために、証明書を取り消す必要があります。 誰かのラップトップが盗まれたか、Webサーバーが侵害されたか、従業員または請負業者が組織を去った可能性があります。
証明書を取り消すには、一般的なプロセスは次の手順に従います。
./easyrsa revoke client_name
コマンドで証明書を取り消します。./easyrsa gen-crl
コマンドを使用して新しいCRLを生成します。- 更新された
crl.pem
ファイルをCAに依存するサーバーに転送し、それらのシステムで、それを参照するプログラムに必要なディレクトリにコピーします。 - CAとCRLファイルを使用するすべてのサービスを再起動します。
このプロセスを使用して、以前に発行した証明書をいつでも取り消すことができます。 次のセクションでは、revoke
コマンドから始めて、各ステップについて詳しく説明します。
証明書の取り消し
証明書を取り消すには、CAサーバーのeasy-rsa
ディレクトリに移動します。
- cd ~/easy-rsa
次に、revoke
オプションを指定してeasyrsa
スクリプトを実行し、その後に取り消したいクライアント名を続けます。 上記の実践例に従うと、証明書の共通名はsammy-server
です。
- ./easyrsa revoke sammy-server
これにより、yes
と入力して、失効を確認するように求められます。
OutputPlease confirm you wish to revoke the certificate with the following subject:
subject=
commonName = sammy-server
Type the word 'yes' to continue, or any other input to abort.
Continue with revocation: yes
. . .
Revoking Certificate 8348B3F146A765581946040D5C4D590A
. . .
Revoking Certificate
行で強調表示されている値に注意してください。 この値は、取り消される証明書の一意のシリアル番号です。 このセクションの最後のステップで失効リストを調べて、証明書が含まれていることを確認する場合は、この値が必要になります。
アクションを確認した後、CAは証明書を取り消します。 ただし、CAに依存するリモートシステムには、証明書が取り消されているかどうかを確認する方法がありません。 ユーザーとサーバーは、CAの証明書失効リスト(CRL)がCAに依存するすべてのシステムに配布されるまで、引き続き証明書を使用できます。
次のステップでは、CRLを生成するか、既存のcrl.pem
ファイルを更新します。
証明書失効リストの生成
証明書を失効させたので、CAサーバー上の失効した証明書のリストを更新することが重要です。 失効リストを更新すると、CAに有効な証明書を持っているユーザーとシステムを確認できます。
CRLを生成するには、~/easy-rsa
ディレクトリ内で、gen-crl
オプションを指定してeasy-rsa
コマンドを実行します。
- ./easyrsa gen-crl
ca.key
ファイルの作成時にパスフレーズを使用した場合は、パスフレーズを入力するように求められます。 gen-crl
コマンドは、crl.pem
というファイルを生成します。このファイルには、そのCAの失効した証明書の更新されたリストが含まれています。
次に、gen-crl
コマンドを実行するたびに、更新されたcrl.pem
ファイルをこのCAに依存するすべてのサーバーとクライアントに転送する必要があります。 それ以外の場合、クライアントとシステムは、CAを使用するサービスとシステムにアクセスできます。これらのサービスは、証明書の失効ステータスを知る必要があるためです。
証明書失効リストの転送
CAサーバーでCRLを生成したので、CAに依存するリモートシステムにCRLを転送する必要があります。 このファイルをサーバーに転送するには、scp
コマンドを使用できます。
注:このチュートリアルでは、CRLを手動で生成および配布する方法について説明します。 OCSP-Stapling のような失効リストを配布およびチェックするためのより堅牢で自動化された方法がありますが、これらの方法の構成はこの記事の範囲を超えています。
root以外のユーザーとしてCAサーバーにログインしていることを確認し、your_server_ip
の代わりに独自のサーバーIPまたはDNS名を使用して次のコマンドを実行します。
- scp ~/easy-rsa/pki/crl.pem sammy@your_server_ip:/tmp
ファイルがリモートシステム上にあるので、最後のステップは、失効リストの新しいコピーでサービスを更新することです。
CRLをサポートするサービスの更新
crl.pem
ファイルを使用するサービスを更新するために使用する必要のある手順をリストすることは、このチュートリアルの範囲を超えています。 通常、crl.pem
ファイルをサービスが期待する場所にコピーしてから、systemctl
を使用して再起動する必要があります。
新しいcrl.pem
ファイルでサービスを更新すると、サービスは、失効した証明書を使用しているクライアントまたはサーバーからの接続を拒否できるようになります。
CRLの内容の調査と検証
失効した証明書のリストを確認するなど、CRLファイルを調べたい場合は、CAサーバーのeasy-rsa
ディレクトリ内から次のopenssl
コマンドを使用します。
- cd ~/easy-rsa
- openssl crl -in pki/crl.pem -noout -text
このコマンドは、openssl
ツールがcrl.pem
ファイルのコピーとともにインストールされている任意のサーバーまたはシステムで実行することもできます。 たとえば、crl.pem
ファイルを2番目のシステムに転送し、sammy-server
証明書が取り消されていることを確認する場合は、次のようにopenssl
コマンドを使用できます。ここで強調表示されているものの代わりに証明書を取り消したときにメモしたシリアル番号:
- openssl crl -in /tmp/crl.pem -noout -text |grep -A 1 8348B3F146A765581946040D5C4D590A
Output Serial Number: 8348B3F146A765581946040D5C4D590A
Revocation Date: Apr 1 20:48:02 2020 GMT
grep
コマンドを使用して、失効手順でメモした一意のシリアル番号を確認する方法に注目してください。 これで、ユーザーとサービスへのアクセスを制限するために証明書失効リストに依存しているシステムで、証明書失効リストの内容を確認できます。
結論
このチュートリアルでは、スタンドアロンのDebian10サーバーでEasy-RSAパッケージを使用してプライベート認証局を作成しました。 CAに依存する当事者間で信頼モデルがどのように機能するかを学びました。 また、練習用サーバーの証明書署名要求(CSR)を作成して署名し、証明書を取り消す方法を学びました。 最後に、CAに依存するシステムの証明書失効リスト(CRL)を生成および配布して、サービスにアクセスしてはならないユーザーまたはサーバーがアクセスできないようにする方法を学びました。
これで、ユーザーに証明書を発行して、OpenVPNなどのサービスで使用できるようになりました。 CAを使用して、証明書を使用して開発およびステージングWebサーバーを構成し、非実稼働環境を保護することもできます。 開発中にTLS証明書でCAを使用すると、コードと環境が本番環境と可能な限り一致するようになります。
OpenSSLの使用方法について詳しく知りたい場合は、 OpenSSL Essentials:SSL証明書、秘密鍵、およびCSRの操作チュートリアルに、OpenSSLの基本を理解するのに役立つ多くの追加情報があります。