はじめに

色々とスクリプトがあるけど、あえて使わないでいろいろやってみる。

RSA鍵作成

openssl genrsa -out <出力ファイル名> 2048

2048はビット長。4096とかでもできる。
これだとパスフレーズはつかないので注意。
CA局用などでパスフレーズをつけるときは -aes256を追加する。

CSR作成

openssl req -new -key <鍵ファイル名> -out <出力ファイル名> -sha256

-sha256はデフォルトになっているので、なくてもいいはずだけど一応
これでCNとか色々入力する。
サーバ証明書に使う場合はCNをホスト名にする必要がある。

普通に使う証明書を発行するときは、ここで作ったCSRをアップロードして署名してもらったりする。

署名

openssl x509 -req -in <CSRファイル名> -out <出力ファイル名> -CA <CA証明書ファイル名> -CAkey <CA鍵ファイル名> -set_serial <シリアル番号> -days <有効期間>

CA鍵ファイルにパスフレーズが必要な場合、入力が求められる。
今は有効期間1年以内にしないとブラウザでエラーになるかもしれない。
また、この方法ではchromeでエラーになる。これはsubjectAltNameが無いため。
subjectAltNameはテキストファイルに書いて extfileで指定する。

ファイルの内容はこんな感じ

subjectAltName = DNS:<ホスト名>

ワイルドカード証明書もこれで * を指定すると作れる。

pkcs12

openssl pkcs12 -export -in <証明書ファイル名> -inkey <鍵ファイル名> -certfile <CA局証明書ファイル名> -out <出力ファイル名>

実行するとパスワードを2回入力して設定することになる。
クライアント証明書とかはこれにしておくとよい。（Windowsで使うときは拡張子pfxにする）

CA局証明書

いわゆるオレオレ証明局。
CSR作る時に署名まで済ませるような形になる。

openssl req -new -x509 -days 3650 -key <鍵ファイル名> -sha256 -out <出力ファイル名>

ここで使った鍵と、これでできた証明書を署名の -CA, -CAkeyで指定するとオレオレ証明書が作れる。