付録C.7 署名付き証明書を取得
秘密鍵と公開鍵を作成したら、公開鍵の署名付き証明書ファイルを取得してください。署名付き証明書ファイルの取得には、次の3つの方法があります。
-
自己署名をして証明書を作成する方法
-
自社内で運用している認証局の証明書を取得する方法
-
信頼された社外の認証局に依頼して、証明書を取得する方法
認証局に依頼する場合は、SVPをホスト名で指定してください。また、別途費用がかかります。
なお、自己署名証明書は暗号化通信のテストなどの目的でだけ使用することをお勧めします。
自己署名付きの証明書を取得する
認証局に署名を依頼せずに、自己署名をして、署名付きの公開鍵証明書(サーバ証明書)を作成できます。自己署名をするには、Windowsのコマンドプロンプトで、次に示すコマンドを実行します。
OpenSSLをインストールした場合:C:\key>c:\openssl\bin\openssl x509 -req -sha256 -days 10000 -in server.csr -signkey server.key -out server.crt
SVPのOpenSSLを使用する場合:C:\key>c:\Mapp\OSS\apache\bin\openssl x509 -req -sha256 -days 10000 -in server.csr -signkey server.key -out server.crt
この例では、有効期間を10,000日に設定しています。また、上記のコマンドを実行すると、ハッシュアルゴリズムにSHA-256が使用されます。
- メモ
-
セキュリティ上の問題が起きるため、ハッシュアルゴリズムには、MD5やSHA-1を使用しないで、SHA-256を使用してください。
server.crtファイルがC:\keyフォルダに作成されます。このserver.crtファイルが署名付きの公開鍵証明書になります。