web 2008 導入 (60) 信頼性モニタ

信頼性モニタのスコアが 8 ヵ月かかって 10.00 に戻りました。この値、ちょっとしたことでガツンと下がり、なかなか上昇しないのです。

2009/4 末の 10.00

2009/12/31 の 10.00

openssl で第四種オレオレ証明書

 

第四種オレオレ証明書 を makecert や selfssl じゃなくて openssl でやってみる。

 

手順の概要はこんな感じ

  • web 鯖の持ち主の立場で、、、身元保証 (?) 要求を作る
  • オレオレ認証局 (?) を作る
  • 認証局職員の立場で、、、身元保証要求にサインする
  • web 鯖の持ち主の立場で、、、証明書を IIS (?) に放り込む
  • web 鯖の持ち主の立場で、、、証明書を web サイトと関連付ける

 

web 鯖の持ち主の立場で、、、身元保証 (?) 要求を作る

身元保証要求を作ります。

 

左側ペインでサーバーを選択。中央のペインで [サーバー証明書] をダブルクリック。

右側ペインで [証明書の要求の作成] をクリック。

それらしく、適当に入力。

変更せずにそのままで進む。

拡張子は何でもいいので適当にファイル名を付けて保存。

生成した身元保証要求 (?) ファイルはこんな感じ。

生成した身元保証 (?) 要求を認証局に提出してください。
(今回は何もしなくていいです)

 

オレオレ認証局 (?) を作る

ベリサイン、サイバートラスト、グローバルサインのような認証局 (?) を自分の PC に作ります。

 

IIS と同じ PC でも別の PC でも構わないので cygwin をインストール。
今回は IIS が動いている PC に cygwin を入れてます。
cygwin の setup.exe は http://www.cygwin.com/ から入手。

cygwin の setup.exe を起動。

インストール時に色々質問されるけど説明は省略。

Net の左側の印をクリックして、Net を広げる。

Net の中に openssl と書いてある行を探し、謎の印をクリックし、Skip と表示されているのをバージョン番号っぽい表示に変えて、左下の Next ボタンをクリック。

cygwin のシェルを起動。

user4@peach ~
$ /usr/ssl/misc/CA.sh -newca
CA certificate filename (or enter to create)
何も入力せず Enter キーをたたく
Making CA certificate …
Generating a 1024 bit RSA private key
………………++++++
…++++++
writing new private key to ‘./demoCA/private/./cakey.pem
Enter PEM pass phrase: それっぽいパスワード (password1) を入力する
Verifying – Enter PEM pass phrase: 同じパスワード (password1) を入れる
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Kanagawa
Locality Name (eg, city) []:Fujisawa
Organization Name (eg, company) [Internet Widgits Pty Ltd]:aiueo
Organizational Unit Name (eg, section) []:operation
Common Name (eg, YOUR name) []:yamada
Email Address []:yamada@example.jp

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: 何も入力せず Enter キーをたたく
An optional company name []: 何も入力せず Enter キーをたたく
Using configuration from /usr/ssl/openssl.cnf
Enter pass phrase for ./demoCA/private/./cakey.pem: 先ほど入力したパスワード (password1) を入れる
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 0 (0x0)
        Validity
            Not Before: Dec 22 17:14:12 2009 GMT
            Not After : Dec 21 17:14:12 2012 GMT
        Subject:
            countryName               = JP
            stateOrProvinceName       = Kanagawa
            organizationName          = aiueo
            organizationalUnitName    = operation
            commonName                = yamada
            emailAddress              = yamada@example.jp
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                E1:7A:A3:04:7A:F0:83:09:84:D5:28:FD:88:05:C1:18:12:99:CD:0A
            X509v3 Authority Key Identifier:
                keyid:E1:7A:A3:04:7A:F0:83:09:84:D5:28:FD:88:05:C1:18:12:99:CD:0
A

Certificate is to be certified until Dec 21 17:14:12 2012 GMT (1095 days)

Write out database with 1 new entries
Data Base Updated

 

認証局職員の立場で、、、身元保証要求にサインする

-days 3650 で 10 年先。
-in /cygdrive/e/www.tryiis7.net.csr で身元保証要求ファイルを指定。
身元保証した結果は -out /cygdrive/e/www.tryiis7.net.cer に出来上がります。

user4@peach ~
$ openssl.exe x509 -req -days 3650 -in /cygdrive/e/www.tryiis7.net.csr -CA ./de
moCA/cacert.pem -CAkey ./demoCA/private/cakey.pem -CAcreateserial -out /cygdriv
e/e/www.tryiis7.net.cer

Signature ok
subject=/C=JP/ST=Nara/L=Yamato-Koriyama/O=2nd/OU=Sales/CN=www.tryiis7.net
Getting CA Private Key
Enter pass phrase for ./demoCA/private/cakey.pem: 先ほど入力したパスワード (password1) を入れる

 

身元保証した結果がこれ。

 

web 鯖の持ち主の立場で、、、証明書を IIS (?) に放り込む

 

[証明書の要求の完了] をクリック。

認証局に署名してもらった結果を取り込みます。
[Friendly name] には適当な文字列を入れる。

証明書が増えました。

 

web 鯖の持ち主の立場で、、、証明書を web サイトと関連付ける

 

web サイトを右クリックして、[バインドの編集] をクリック。

[https]、[未使用の IP アドレスすべて]、[443] を選んで、ドロップダウンで証明書を選ぶ。

おめでとうございます。10 年先まで有効なオレオレが web サイトに導入されました。