CSR証明書オレオレ認証局で署名① - ネットワークエンジニア備忘録

CSR証明書　オレオレ認証局で署名①

セキュリティ

2023.08.062024.04.14

Fortigateで作成したCSRにオレオレ認証局で署名してみました、手順のメモ

各証明書の確認コマンド
FortigateでCSRを発行してダウンロードする
PietoroCAを作成する
CAを作成する
自己認証CA局でCSRに署名する
署名後のファイルをFortigateにインポートする

各証明書の確認コマンド

openssl req -text -noout -in CSR名　　・・・CSRの内容を確認

openssl rsa -text -noout -in 秘密鍵ファイル名　　・・・秘密鍵の中身を確認

openssl x509 -text -noout -in 証明書ファイル名　　・・・証明書の中身を確認

FortigateでCSRを発行してダウンロードする

CSRを作成　※各パラメータは適当に入れてます

作成すると保留中となっているので、こちらをダウンロードする

PietoroCAを作成する

openssl.conf ファイルを修正します

/etc/ssl/openssl.cnf

修正箇所*****************************
dir = /etc/ssl/PietoroCA
certificate = $dir/Pietoro-CAcert.pem
private_key = $dir/private/Pietoro-CAkey.pem

PietoroCA の配下に certs,private,crl,newcerts のディレクトリを作成する

mkdir -p /etc/ssl/PietoroCA
mkdir -p /etc/ssl/PietoroCA/private
mkdir -p /etc/ssl/PietoroCA/crl
mkdir -p /etc/ssl/PietoroCA/newcerts

シリアルを作成する

echo “0120” > PietoroCA/serial

証明書データベースを作成する

touch PietoroCA/index.txt

CAを作成する

cd /etc/ssl

今回のファイル名は下記にしてます
秘密鍵名＝Pietoro-CAkey.pem
認証局証明書名＝Pietoro-CAcert.pem
有効期限＝3650日:10年

認証局用の秘密鍵と証明書を作成

openssl req -new -x509 -newkey rsa:2048 -out PietoroCA/Pietoro-CAcert.pem -keyout PietoroCA/private/Pietoro-CAkey.pem -days 3650

※このパスフレーズは次回使うので忘れずに
Enter PEM pass phrase:
Verifying – Enter PEM pass phrase:

各値は適当に
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:TOKYO
Locality Name (eg, city) []:SHINJYUKU
Organization Name (eg, company) [Internet Widgits Pty Ltd]:TEST-com
Organizational Unit Name (eg, section) []:TEST-section
Common Name (e.g. server FQDN or YOUR name) []:PIETORO.jp
Email Address []:

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y”

下記のファイルが作成される
PietoroCA/Pietoro-CAcert.pem : 自己署名済みCA証明書
PietoroCA/private/Pietoro-CAkey.pem : CA証明書の秘密鍵

自己認証CA局でCSRに署名する

openssl ca -policy policy_anything -out 署名後のファイル名.pem -infiles CSRファイルパス.csr

例：openssl ca -policy policy_anything -out Forti-TEST-cert.pem -infiles Forti-TEST-cert.csr

※パスフレーズを聞かれるので先ほど指定した値を入力
※サーバー証明書CSRと認証局の国・都市名等の値が違うと「The stateOrProvinceName field XXXX」というようなエラーが出るようなので、オプション「-policy policy_anything」をつけてます

署名後のファイル名＝Forti-Pietoro_cert.pem
CSRファイルパス＝Fortigate-TEST-cert.csr

下記のファイルが作成される
Forti-Pietoro_cert.pem

署名後のファイルをFortigateにインポートする

署名後のファイルをFortigateにインポートしてサーバ証明書を完成させる

OKを押すと証明書のステータスが保留中からOKに変わる

今回作成した証明書をFortigateの管理画面用のサーバ証明書にしてみます

下記のようになりました